Agregando valor desde auditoría interna

en la gestión de riesgos de proyectos

Presentado por Miguel Gneco, CIA, PMP, MBA

AsoInstituto de Auditores Internos de la República Dominicana

2

Historia

Una empresa ha tenido dos intentos fallidos en los últimos 5 años para implementar un sistema automatizado de todas sus operaciones, incluyendo la gestión de sus clientes, sistemas de contabilidad, producción, inventario, etc.

Decidió contratar a una persona con muchos años de experiencia en la industria, que había sido director técnico en una empresa competidora.

3

Historia…

Durante la ejecución del proyecto, muchos de los problemas reaparecieron, pero a diferencia de las ocasiones anteriores, esta persona tenía una gran capacidad para encontrar soluciones creativas al menor costo posible; convocaba a reuniones con las partes involucradas para buscar soluciones comunes. Todos estaban positivamente impresionados por la gran capacidad de convocatoria, sentido de urgencia, compromiso y trabajo en equipo que exhibía este nuevo director.

4

Historia…

Se involucraba personalmente, hasta altas horas de la noche, y su entusiasmo y compromiso eran evidentes.

Logró implementar finalmente el esperado sistema y funcionó según las expectativas. Se hizo con un retraso considerable y costó menos que la última vez, aunque tuvo un 40% adicional que el presupuesto, debido a todos los temas que debieron resolverse a lo largo del proyecto.

5

Historia…

Muchos lo apodaban “El nuevo, el que resuelve”.

Se le ha pedido a usted como auditor que evalúe el proyecto y su director. El director ya ha recibido múltiples felicitaciones por lograr lo que tanto esfuerzo les había costado.

6

Historia…

En nuestra historia, ¿Qué hacía muy bien el director del proyecto?

7

Volvamos a la historia…

• ¿Este nuevo director podría catalogarse como un buen gerente de proyectos?

• ¿Por qué?

8

Gestionar riesgos es…

• ¿Lidiar con los problemas?

• o, ¿EVITARLOS?

9

Realizar auditorías de riesgo

10

El Proceso de Gestión de Riesgos

1. Planificación de la Gestión de Riesgos2. Identificación de Riesgos3. Análisis de Riesgos Cualitativo4. Análisis de Riesgos Cuantitativo5. Planificación de las Respuestas a los Riesgos6. Monitoreo y Control de Riesgos

La gestión de riesgos es un proceso iterativo

11

Cuadro de responsabilidadesGerencia Gerente

proyectoOtrosparticipantes

Equipo Dueñoriesgo

Plan de gestión de riesgos

X

Identificación de riesgos

X X X X

Análisis cualitativo X X X X

Análisis cuantitativo X X X

Plan de respuestade riesgos

X X X

Monitoreo y control de riesgos

X X X

12

Areas de Tolerancia a Riesgos

Costo

Satisfacción del cliente

13

Formato Causa-Riesgo-Efecto (Amenazas)

Causa Riesgo EfectoDebido/como resultado de (Causa definitiva)

(Evento incierto) puede ocurrir

Que podría llevar al (Efecto)

Debido a la falta de entendimiento de las aduanas de un país

Un director de proyectos sin querer puede ofender al cliente

Lo que podría resultar en dificultad para manejar la relación

Un error del servidor Puede resultar en una hora de transacciones no disponibles en el servidor de conmutación por error

Causando que el consumidor final vuelva a usar los procesos manuales

14

Documentar los Riesgos

• Métodos:– Formularios – Listas de verificación (checklists)– Notas adhesivas (sticky notes)

15

“Pre-Mortem”

• Como una sesión de lluvia de ideas, un “pre-mortem” es una reunión para hacer surgir ideas imaginando que el proyecto está completo o ha sido terminado y ha fallado en alcanzar uno o más objetivos

• Luego se le pide al grupo que describa por qué el proyecto ha fallado

(Para encontrar oportunidades, se le pide al grupo imaginar que el proyecto es un éxito)

16

Ejemplo de Registro de RiesgosRegistro de Riesgos

Amenazas y Oportunidades CausaRaiz

DueñoPoten‐cial del Riesgo

Res‐puestasPoten‐ciales

Dispa‐radores

Cate‐goríaCausa Riesgo Efecto

RiesgosGenera‐les del Proyec‐to

Riesgos por Actividad

A

B

C

D

Análisis Cualitativo de Riesgos

18

Escalas de Probabildad e Impacto

• Probabilidad es la posibilidad de que un riesgo ocurra

• Impacto es el efecto que el riesgo tendrá en el proyecto si este ocurre

Escalas de Probabilidad e Impacto

Opción Valoración

1 Muy Bajo Bajo Moderado Alto Muy Alto

2 .05 0.1 0.2 0.4 0.8

3 0.1 0.3 0.5 0.7 0.9

4 1 2 3 4 5 6 7 8 9 10

19

Interpretar las Escalas de Impacto

• Advertencia: Escalas Altas, Medianas y BajasEscala de Impacto

Clasificación Interpretación

10 Fracaso del proyecto

9 Por encima de presupuesto por 40% o proyecto retrasado por 40%

8 Por encima de presupuesto por 30% a 40% o proyecto retrasado por 30% o 40%

7 Por encima de presupuesto por 20% a 30% o proyecto retrasado por 20% o 30%

6 Por encima de presupuesto por 10% a 20% o proyecto retrasado por 10% o 20%

5 Ligeramente por encima de presupuesto

4 Gran reducción de reserva de tiempo o costo

3 Reducción media de reserva de tiempo o costo

2 Pequeña reducción de tiempo o reservas de costo

1 No impacto real

20

Cómo Determinar la Probabilidad y el Impacto (Continuación)

• Opción: Tabla de Análisis Cualitativo de Riesgo. Este es el método (favorito de RMC) para organizar un gran número de riesgos—rápido

21

Clasificación de Riesgos

• Determinar la clasificación de (ranking) de riesgos del proyecto

• La clasificación de riesgos se determina en base a la puntuación (score)de riesgos de cada riesgo

Riesgo Puntuación (Score) del Riesgo

Clasificación (Ranking)del Riesgo

A 56 1

B 30 5

C 35 3

D 12 6

E 5 7

F 42 2

G 32 4

(Continued on next slide)22

Cuáles Riesgos Avanzan?

1. Cualquier riesgo con una puntuación de riesgos de cierto número en adelante avanzará

2. Utilizar una matriz estándar P x I = puntuación de riesgo para todos los proyectos

23

Cuáles Riesgos Avanzan? (Continuación)

3. Utilizar la tabla de clasificación de riesgos ya creada, y ver a leguas las que deberían avanzar

Análisis Cuantitativo de los Riesgos

25

Para Evaluar Cuantitativamente las Probabilidades e Impactos

• Suponer (Guess): porciento de probabilidad, o impacto en costo o tiempo, utilizando un criterio subjetivo

• Calcular: impacto real en tiempo y/o costo• Datos Históricos: cuáles son los valores estimados

de tiempo, costo y probabilidad en otros proyectos?• Técnica Delphi: consenso de los valores de

probabilidad e impacto, o rangos determinados para cada riesgo

• Entrevista a Expertos: descrito anteriormente en el capítulo de Identificación de Riesgos

(Continued on next slide)26

Probabilidad de Lograr los Objetivos de Costos del Proyecto

• Ejemplo: asumamos que tu gerente ha establecido que el proyecto se debe completar para Enero 28

27

Simulación Monte Carlo

La distribución de la probabilidad muestra un 55% de probabilidad de que el proyecto será completado Enero 28

28

Salida del Desarrollo del Proceso de Análisis Cuantitativo de Riesgos

– Lista priorizada de riesgos cuantificados– Cantidad necesaria de reserva de contingencia de

tiempo y costo– Posibles fechas de finalización y costo del proyecto

realista y lograble, con niveles de confianza– La probabilidad cuantificada de lograr los objetivos del

proyecto– Tendencias

Planificación de las Respuestas a los

Riesgos

30

Estrategias de Respuesta a los Riesgos para Amenazas

• Evitar: eliminar la amenaza eliminando la causa• Mitigar (controlar): reducir su probabilidad o

impacto• Transferir (asignar): asignar el riesgo a otra

persona• Aceptar: “si pasa, pasa” / o crear un plan de

contingencia

31

Estrategias de Respuesta a los Riesgos para Oportunidades

• Explotar: hacer la causa de la oportunidad más probable

• Mejorar: incrementar la probabilidad e impactos positivos del evento de riesgo

• Compartir: retener las oportunidades o partes de las oportunidades; hacer dueño de la oportunidad a un tercero

• Aceptar: “si pasa, pasa” / o crear un plan de contingencia

32

Reservas del proyecto

• Una reserva es una cantidad de tiempo y/o costo agregado al proyecto para los riesgos

“desconocidos-desconocidos”

“conocidos desconocidos”

Monitorear y Controlar los Riesgos

34

• Implementar los planes de respuestas a los riesgos, asegurar el cumplimiento, y gestionar el progreso

• Gestionar las reservas de contingencia y de adm.• Crear workarounds• Controlar los riesgos del proyecto• Refinar y actualizar el registro de riesgos• Realizar id. riesgos, análisis cualitativo y cuantitativo, y

planificación de respuesta a riesgos adicional• Reestimar el proyecto• Mantener a los interesados informados sobre el estatus

de los riesgos• Crear las lecciones aprendidas• Evaluar el impacto de riesgo de los cambios solicitados

Objetivos del Proceso de Monitoreo y Control de Riesgos

• Cuál es la diferencia entre un riesgo y un issue?– Un issue es un imprevisto, un problema menor

que ha ocurrido. Puede ser manejado listándolo en un registro de issues y gestionándolo, o creando un workaround

Esto es un Riesgo o un Issue?

36

Medir el Estatus del Proyecto

• Una forma de medir el estatus del proyecto es incluir la evaluación de riesgos. Puedes ver: – Número de riesgos identificados que no

estuvieron en la evaluación de riesgos original– Número de workarounds

requeridos

(Continued on next slide)37

Gobierno de Riesgo

• El auditor, director del proyecto, la PMO o la gerencia de la compañía debe ser responsable del gobierno de riesgo. Se aseguran de que las actividades de gestión de riesgos sean:– Efectivas– Consistentes– Mejoradas continuamente

38

Gobierno de Riesgo (Continuación)

• El gobierno de riesgo incluye:– Estándares, políticas, procedimientos y prácticas

Nivel de tolerancia de riesgo de la organizaciónMétodos a utilizar para identificar riesgosDefiniciones de clasificación de probabilidad e impactoMatriz estándar de probabilidad e impacto

Cómo puede contribuir el Auditor?

40

Con este esquema de gestión de riesgos, el auditor ayuda a…

• Ayudar a desarrollar la cultura de gestión de riesgos en su empresa

• Desarrollar la capacidad de aprender en cabeza ajena…

• No tropezar con la misma piedra• AHORRAR TIEMPO Y DINERO

41

Muchas gracias…