Un riesgo es un evento imprevisto que, de consolidarse, tiene un efecto positivo o negativo en los objetivos del producto, es decir, supondría amenazas u oportunidades. Un riesgo tiene una causa y, por lo tanto, una consecuencia o efecto. La palabra “riesgo” es de uso cotidiano y se emplea constantemente en diversas disciplinas. Un aspecto clave en la definición de riesgo en el contexto del desarrollo de producto, es la incertidumbre de estos eventos que, de consolidarse, supondrían amenazas u oportunidades. 

En la siguiente imagen se puede ver la curva de riesgos. Las oportunidades de que un riesgo se produzca son mayores en los primeros estadios del desarrollo del producto, pero su impacto se minimiza. Esto es así, porque el proceso iterativo y empírico del desarrollo Ágil basado en la inspección y adaptación de un incremento de producto consigue adaptarse a la situación del ecosistema en el que el desarrollo del producto se desenvuelve. Durante las primeras iteraciones este conocimiento es embrionario, por lo que la oportunidad de que el riesgo se consolide y del volumen total de esos riesgos, es mayor; sin embargo, dado que el producto se encuentra en sus etapas iniciales, el coste de adaptación, tanto del producto como de las consecuencias exógenas derivadas (formación a usuarios, cambios de estrategia de marketing, aumento de partidas presupuestarias) son menos graves y las ocasiones de sobreponerse, mayores.

La gestión de riesgos es un proceso proactivo, no reactivo. Es un proceso preventivo diseñado para minimizar el número de sucesos inesperados y sus consecuencias negativas asociadas. El equipo encargado del producto, sea Scrum o Kanban, debe estar preparado para tomar la acción cuando el tiempo, coste o solución técnica lo aconseje. Una gestión de riesgos adecuada aumenta el horizonte sobre el que poder observar el producto y la probabilidad de satisfacer los objetivos de tiempo, coste y valor, tanto extrínseco como aportación del producto, como intrínseca, entendida como calidad… 

El proceso de identificación y gestión de riesgos es recurrente y debe incluirse, dependiendo de las naturaleza del producto, como un evento planificado dentro de la cadencia de incremento de valor. De forma habitual, se recomienda una sesión por iteración cuya duración puede aumentar o disminuir en función de la incertidumbre en la que el producto se halle.

En este proceso de gestión repetitivo cada sesión está orientada a trabajar en su gestión, tomando como material de entrada el resultado de la sesión anterior y de la propia cadencia iterativa ya que en ella se trabaja de forma orgánica en los riesgos como parte habitual y relacionada de la actividad del equipo propias del framework.

Los riesgos son consuetudinarios a la construcción de productos. Ningún estudio, planificación o estimación pueden evitar que aparezcan, la manifestación de estos eventos es inherentemente azarosa y como tal deben considerarse. Cuando un riesgo ocurre ya no es incierto o impredecible, puesto que sucedió.

Un riesgo puede ser potencial cuando está presente y controlado; también puede estar latente, presente pero aún no controlado. Algunos de los riesgos de un proyecto pertenecen a la primera categoría y pueden identificarse antes de que el desarrollo comience. Un riesgo podría detectarse a través de sus consecuencias, por ejemplo, el aumento inesperado en el caudal de un río podría indicar que las presas se derrumbaron. Los riesgos pueden ser también incontrolables, latentes, una plaga de langosta, el colapso del sistema financiero en 2008 o la crisis del Covid-19; en grado superlativo, se constituyen como “cisnes negros”, tal y como indica Nassim Taleb en su libro homónimo.

El tiempo y esfuerzo requerido para llevar a cabo la gestión de riesgos debe contar con el apoyo del equipo, del sponsor, del management y de los demás stakeholders. Esta gestión de riesgos, una vez acordada entre los actores intervinientes, debe pertenecer a la definición de los objetivos del producto.

La gestión de riesgos juega un papel fundamental dando una información realista sobre las esperanzas acerca del avance en la entrega de valor del producto, en la consecución de los objetivos y en el coste. Estos riesgos, revisados iterativamente, presentarán oportunidades para corregir, mitigar o, al menos, calibrar el riesgo con vistas a futuros incrementos del desarrollo en sí y del resto de productos de la compañía.

La gestión de riesgos incluye todos los procesos concernientes a ella, su identificación, análisis, respuestas, y monitorización y control, dentro del desarrollo del producto. El resultado perseguido es disminuir el impacto y la probabilidad de los eventos disparadores de los riesgos negativos y aumentar la probabilidad en impacto de los eventos positivos.

 

Factores para el éxito de una gestión de riesgos.

La gestión de riesgos debe ser conducida en el desarrollo y lanzamiento de todos los productos. El esfuerzo, grado de detalle, sofisticación de las herramientas empleadas, tiempo, recursos o personas involucradas será proporcional a las características y ambición del producto que se aborde y añadirá el valor correspondiente a su outcome. Cada gestión de riesgos escala apropiadamente con el producto en el que se inserta, cambiando su peso en función de lo que determine el grado de incertidumbre previsto.

Proceso de gestión de riesgos.

 

1 –  Identificación de riesgos

Un riesgo no puede ser gestionado si no es primero identificado. El propósito es identificar todos los riesgos posibles hasta donde sea aconsejable. El hecho real es que habrá riesgos que no resulten conocidos y cuya emergencia requiera de sucesivas iteraciones y del avance en el desarrollo del producto. Cuando un riesgo es identificado, inmediatamente aparecen, percibidas o latentes, posibles respuestas. Esto debe ser explicitado durante el proceso. 

Los stakeholders deben ser involucrados en el proceso puesto que pueden ser origen, destino o fórmula de mitigación de un riesgo, y, en cualquier caso, son corresponsables en el proceso junto con el equipo en tanto en cuanto los riesgos afectan al producto del que son parte aneja. Este proceso no es repetitivo puesto que en cada sesión orquestada se parte del estadio anterior para avanzar en el flujo de gestión de los riesgos.

2 – Evaluación de los riesgos

La identificación solo produce una lista de riesgos potenciales ordenados por área de efecto. No todos esos riesgos merecen atención, algunos son triviales, otros inevitables, mientras que algunos amenazan la viabilidad del producto. Es necesario que se eliminen inconsistencias, redundancias y se orden por importancia y necesidad de atención.

El orden que determina la importancia de un riesgo viene determinado por su impacto dentro de los factores de éxito de un producto. De esta forma, si el desarrollo puede permitirse un aumento de coste pero no de tiempo, aquellos riesgos que incrementen la posibilidad de incurrir en ello serán los que deban considerarse prioritarios.

3 – Risk Response Development

El plan de riesgos debe determinar la respuesta efectiva y apropiada en función de la prioridad de los riesgos individuales o generales del producto. Se debe tener en cuenta también las actitudes de los stakeholders ante los riesgos y las convenciones establecidas en el plan de riesgos, además de las asunciones y limitaciones que hayan sido determinadas cuando los riesgos se identificaron y evaluaron. 

Los stakeholders y las áreas a las que pertenecen tienen nombres y apellidos y de esa forma deben ser referidos cuando se identifiquen como responsables para liderar los planes de respuesta ante los riesgos del desarrollo. Un riesgo debe tener un propietario como figura responsable, más allá de que de voz a un comité formado por más personas.

4 – Control de respuesta al riesgo

El control de riesgos involucra la ejecución de una estrategia definida, hacer seguimiento de los eventos desencadenantes, lanzar los planes de contingencia cuando sea necesario y actualizar las plantillas y matrices con nuevos riesgos o de su evolución.

Un plan de contingencia se produce cuando el riesgo se ha manifestado, mientras que un plan de riesgos son acciones encaminadas a trabajar sobre el evento que lo desencadena. Un plan de riesgos trabajará en la mitigación de la rotación del personal de una empresa (mejores condiciones, formación o salario) mientras que un plan de contingencia lo hará en las consecuencias producidas (contratación de candidatos, reasignaciones).

Conclusiones

El objetivo del artículo ha sido introducir la traslación de una estrategia de gestión de riesgos en un marco ágil. La organización puede disponer de un plan de gestión de riesgos sobre las que el scrum master puede trabajar, adaptándolo a las necesidades particulares; en cualquier caso, exista una estrategia o deba constituirse ad hoc, dependerá de la incertidumbre del marco del producto y de su alcance, no es lo mismo un producto acotado a un equipo scrum para un desarrollo de cuatro meses que un escalado con ocho equipos, dependencias externas e internas y un calendario para los próximos dos años. Abordar el lanzamiento de un producto complejo sin una gestión de riesgos es garantía de tropiezos y problemas graves que pueden lastrar el desarrollo de forma determinante.

Es imperativo acordar un marco de actuación posterior a la primera sesión de trabajo en la gestión de riesgos. La adecuada gestión de riesgos es un proceso dinámico, vivo, que requiere de compromiso y responsabilidad.

Imagen: unsplash | @edulauton

Author

  • Jorge Alarcón

    Scrum Master en Keepler. “Working with people to build products that solve problems. Digital transformation is the new industrial revolution based on the fractal creation of team-based development systems. I collaborate with companies to understand problems and develop solution strategies.”