Si tengo que formular objetivos para un proyecto, existe el paradigma SMART bien establecido. Ayuda tener metas al final, de las cuales se pueden deducir fácilmente las acciones necesarias. Evita tener objetivos que puedan interpretarse de manera diferente, lo que causa muchos problemas con las partes interesadas y los patrocinadores.
Me pregunto si existen paradigmas similares para formular riesgos al hacer un análisis de riesgos. A menudo me encuentro buscando riesgos simplemente haciendo un mapa mental sobre cada tema que me viene a la mente o haciéndolo junto con un equipo. La cantidad de situaciones y constelaciones teóricas que plantean riesgos suele ser abrumadora. Una hora después de una reunión, escribimos y contamos 60 nodos terminales en un mapa mental que representan algún tipo de riesgo en diferentes áreas y puntos de vista. Creo que no somos malos en "identificación de riesgos".
La cuestión es que esos "riesgos" encontrados por el mapeo mental tienden a superponerse y, a menudo, se formulan de una manera que describen a veces el riesgo en sí, a veces la causa y, a veces, una mitigación fallida y casos mixtos de todo eso.
Por ejemplo, si trato de evaluar los riesgos de limpiar mi baño (por supuesto, puedo saltarme eso esta semana para reducir el riesgo general), encuentro muchas oportunidades en las que puedo tropezar con superficies resbaladizas. Puedo usar detergentes inapropiados que son corrosivos para mi bañera, así como para mi piel, ojos y sistema de aspiración e incluso exacerbados si los mezclo sin darme cuenta. Pero si quiero descomponer el "detergente inapropiado", que es quizás más una causa de un riesgo que un riesgo en sí mismo, tengo muchos riesgos superpuestos, porque puedo dañar mi piel con diferentes productos químicos, pero esos pueden o no arruinar mi esmalte de bañera. Eso es lo que quiero llamar "riesgos superpuestos".
Espero que entiendas mi punto. Creo que no se pueden evaluar los riesgos de forma fiable si no se pueden formular bien. Me gustaría tener algún tipo de piedra de toque para comprobar si un riesgo está bien formulado. Lo mismo que hay para los goles.
Está luchando con el nivel de abstracción cuando intenta capturar el riesgo. No hay un formato fácil para resolver esto porque, y odio escribir esto, depende. El nivel de abstracción depende de a quién necesita escalar el riesgo y cómo pretende tratarlo o manejarlo. Si el nivel de abstracción es demasiado alto, como conducir su automóvil puede causar que sucedan cosas malas, entonces la pregunta es, ¿cómo lo maneja en términos de mitigación?
Si lo toma demasiado bajo, como mirar cada componente del automóvil que puede estropearse y luego causar algún evento adverso en su vida, entonces su mitigación se superpondrá fácilmente.
Sus declaraciones de riesgo se pueden estructurar como: SI-ENTONCES; CONDICIÓN- PREOCUPACIÓN; Y CONDICIÓN-EVENTO-CONSECUENCIA. Estos son buenos formatos; sin embargo, no ayuda a su nivel de abstracción. Esencialmente, tendrá que redactar el riesgo que cree que existe y luego pasar al siguiente paso para analizarlo y elaborar una estrategia de manejo. Creo que lo que encontrará es que, a medida que avanza en los próximos pasos, descubrirá si tiene que desglosar el riesgo y crear dos o más riesgos a partir de uno, o si puede colapsar dos o más riesgos en uno a medida que descubren que tienen la misma estrategia de mitigación.
Este es el arte de la gestión de riesgos. No es una respuesta fácil, pero creo que se vuelve más fácil si no lo piensas demasiado y lo haces simple. Al final del día, la gestión de riesgos se trata de navegar en aguas turbulentas, no de cuán genial se ve su registro de riesgos.
prefacio: la respuesta de David Espina es correcta y es la mejor primera opción. Es este un problema difícil; hay tan balas de plata/respuestas simples. Al menos en mi opinión, aquí es donde los gestores de riesgos (deberían) ganar su dinero. Simplemente enumerar los riesgos e ingresarlos en un registro de riesgos está bien, pero en mi opinión tanto el valor como el desafío intelectual satisfactorio de la gestión de riesgos es el análisis para comprender la naturaleza de los riesgos. En mi opinión, el valor de la gestión de riesgos no es en realidad el registro de riesgos o la mitigación de riesgos; el valor de la gestión de riesgos es la comprensión adicional de los procesos comerciales que surgen del análisis de riesgos.
En mi experiencia, parte de la superposición se puede eliminar a través de la estructura y la clasificación. A medida que comience a registrar los riesgos en un registro (particularmente si estructura los riesgos como recomienda @DavidEspina), reconocerá las similitudes y reducirá la superposición. También comenzará a calibrar umbrales internos e instintivos sobre qué riesgos es probable que sean procesables, cuáles necesitan un análisis formal y cuáles se pueden posponer para el futuro. Esos son efectos colaterales del tipo de análisis disciplinado mencionado por el Sr. Espina. (En realidad, nunca me han gustado las categorías; muchos juran por ellas, pero las considero un anti-patrón que inhibe el pensamiento profundo).
Es posible que desee echar un vistazo a FAIR (Análisis de factores de riesgo de la información): justo es específico de la gestión de riesgos de la información, no de la gestión de riesgos del proyecto, pero abordan el problema de la "superposición", no a la perfección, pero sí razonablemente bien. FAIR tiene muchos factores, pero la jerarquía le permite concentrarse en los factores más generales e ignorar los factores de nivel inferior que no manejan la superposición.
Está mezclando dos procesos diferentes en el superproceso general de gestión de riesgos: Identificación de riesgos y Análisis de riesgos. Te recomendaría mi libro, pero está en alemán, así que probablemente no te resulte útil. En muy breve:
En Identificación de Riesgos usted reúne sistemáticamente todos los riesgos que enfrenta su proyecto, sistema u otro tema de gestión de riesgos. Este es un problema sin resolver tanto en la seguridad de la información (mi campo) como en la gestión de proyectos. Hay una serie de enfoques para ayudarlo, como SWIFT (técnica hipotética estructurada) o, en campos más específicos, existen catálogos de amenazas y asignaciones de activos. Pero el resumen es que nadie ha encontrado todavía un enfoque sistemático que garantice la integridad. Algunas personas (incluyéndome a mí) están trabajando en varias ideas para lograr ese objetivo, pero por el momento su enfoque para encontrar los riesgos no parece peor que cualquier otro.
El análisis de riesgos es el paso de cuantificar (idealmente, no sea un idiota, haga un análisis cuantitativo, vea los dos excelentes libros de Hubbard sobre el tema) o, de lo contrario, diseccione el riesgo para comprender qué tan arriesgado es en realidad. Su pregunta es hacia el comienzo de este proceso:
Antes de que pueda poner números en riesgo, debe expresarlo. Dado que tiene múltiples riesgos, necesita encontrar una expresión unificada, abstracta y consistente que pueda describir todos sus riesgos de una manera que permita las comparaciones. FAIR (ya mencionado en otra respuesta) es un enfoque para hacer eso, hay muchos otros.
En seguridad de la información, tenemos algunos "descriptores" estándar: confidencialidad, integridad, disponibilidad. O el Parkerian Hexad. O cualquier otra variación. Desea encontrar un conjunto similar de descriptores para su campo para describir cualitativamente cuál es el impacto de un riesgo.
Para su baño, eso podría ser "riesgo para la salud", "daños en muebles" o "riesgo de accidente". Un riesgo podría caer en múltiples categorías.
Para un riesgo de proyecto, podría tener categorías como "retraso en la entrega", "reducción de la calidad", "motivación de los empleados", "satisfacción del cliente", etc. Nuevamente, un riesgo podría caer en varias categorías.
Esto cubre su problema de "superposición". Ahora puede evaluar el impacto en las distintas categorías para priorizar sus riesgos.
Es normal que un riesgo tenga más de un tipo de impacto. En FAIR, donde todo se resume en un impacto comercial en dinero, de todos modos identificamos cuánto afecta un riesgo a la productividad, a la reputación, o causa costos de respuesta, etc.
El cambio que recomendaría a su proceso es identificar primero sus categorías o descriptores y luego unir sus riesgos en esas categorías en lugar de recopilar los riesgos y luego tratar de encontrar superposiciones o puntos en común. Si sabe lo que está buscando, le resultará relativamente fácil categorizar los riesgos que encuentre. Y si algo no encaja en ninguna categoría, siempre puede ampliar sus categorías.
Como otros han señalado, este es un tema difícil y pocas personas lo hacen bien todo el tiempo. No entraré en la teoría ya que otros la han expresado mucho mejor que yo, sin embargo, desde una perspectiva práctica, sugiero lo siguiente.
Un marco que usamos en una gran institución financiera fue para documentar los riesgos en el formato:
Así que en tu ejemplo
Luego, puede desarrollar una estrategia de mitigación de riesgos para aceptar, reducir o transferir el riesgo en función de su apetito por el riesgo y la probabilidad y el impacto del riesgo.
Si no puede expresarlos usando el formato acordado, debe revisar nuevamente los riesgos propuestos y decidir si los "riesgos" de su análisis son riesgos genuinos o resultados en caso de que el riesgo cristalice, o simplemente temores y preocupaciones. .
Le sugiero que evite ser demasiado específico en su declaración inicial del riesgo (por ejemplo, no enumere todos los posibles productos de limpieza), aunque luego debe registrar los detalles y los factores mitigantes como parte del análisis continuo del riesgo. riesgo.
Tomás