Número 23, mayo-junio 2004
GESTIÓN DE LA INNOVACIÓN Y DE LA TECNOLOGÍA>> Tribuna de debate
 
  Una introducción a la gestión de riesgos tecnológicos

Todas las actuaciones relacionadas con la tecnología de una organización deben planificarse a lo largo del tiempo. En momentos cruciales toman la forma de un Plan Tecnológico, lo que implica la identificación y secuenciamiento de las actividades, la asignación de recursos humanos, el empleo de recursos materiales, las necesarias asignaciones económicas y los métodos de control del progreso de las actividades. La planificación se realiza suponiendo que todo va a suceder de acuerdo con lo que se ha pensado y valorado. No obstante, durante la puesta en marcha de cualquier actuación relacionada con la tecnología pueden surgir acontecimientos indeseables en la planificación inicial de actividades. Este artículo tiene como finalidad contribuir a incrementar el éxito de estos proyectos mediante la adecuada gestión de los riesgos y la aplicación de planes de contingencia.

     
Antonio Hidalgo Nuchera
a.hidalgo@ingor.upm.es

Profesor Titular de Organización de Empresas
E.T.S. Ingenieros Industriales
Universidad Politécnica de Madrid
   
 

1. Introducción.

En el momento actual, con un fuerte gradiente de evolución de la tecnología, únicamente en proyectos con una duración temporal inferior a un año puede suponerse que el entorno tecnológico es conocido y estable. Para proyectos con duración superior es necesario considerar que la tecnología puede modificarse sustancialmente durante su desarrollo y, por tanto, pueden existir consecuencias no previstas inicialmente que alteren sustancialmente el desarrollo del proyecto. Los casos de las tecnologías de la información y las comunicaciones o la biotecnología son ejemplos en los que el gradiente de cambio tecnológico es suficientemente elevado como para no poder considerar estable el entorno tecnológico en periodos muy cortos de tiempo.

En el contexto de la gestión de proyectos, desde mediados de los años 80, las empresas reconocieron la necesidad de integrar los riesgos de carácter técnico con los de coste, planificación o calidad. A partir de allí se desarrollaron metodologías integradas de gestión de riesgos. Este impulso se debió principalmente al deseo de la industria petroquímica de También en el caso de la gestión de la tecnología, el éxito puede estar condicionado por multitud de elementos de riesgo cuyo control debe abordarse de forma integrada con el resto de las actividades. De hecho, la mayor parte de los proyectos de ingeniería complejos dependen de una correcta identificación e incorporación de las tecnologías apropiadas para su desarrollo que deberán gestionar como parte del mismo. Estas tecnologías no siempre son suficientemente conocidas o maduras, por lo que su utilización no siempre genera los beneficios esperados.

Por su parte, el éxito puede estar condicionado por multitud de elementos de riesgo cuyo control debe abordarse de forma integrada con el resto de las actividades. De hecho, la mayor parte de los proyectos de ingeniería complejos dependen de una correcta identificación e incorporación de las tecnologías apropiadas para su desarrollo que deberán gestionar como parte del mismo. Estas tecnologías no siempre son suficientemente conocidas o maduras, por lo que su utilización no siempre genera los beneficios esperados. Desde este punto de vista, las actividades tecnológicas de una organización se planifican con una serie de suposiciones que pueden verse alteradas por acontecimientos indeseables (riesgos) cuya aparición real modifican o impiden el éxito del proyecto de gestión tecnológica.

Cualquier modificación de las previsiones efectuadas afecta fuertemente a la planificación (plazo y coste de las tareas identificadas) y la obtención de los resultados deseados con el nivel de calidad exigido. Las modificaciones de la planificación inicial son siempre complicadas: requieren tiempo y dinero y obligan a dedicar recursos humanos cualificados para ello.

Conscientes de ello, la dirección de la gestión de la tecnología de la empresa debe tener previstas actuaciones en el caso de que los riesgos que se hayan identificado se presenten realmente. El simple conocimiento de los riesgos de una actividad ya supone una ventaja al facilitar un estado de alerta sobre los mismos que disminuye sus consecuencias indeseables en caso de producirse.

2. Concepto de riesgo.

Como el riesgo constituye una falta de conocimiento sobre futuros acontecimientos se puede definir como el efecto acumulativo que estos acontecimientos adversos podrían tener sobre los objetivos de la actividad planificada. También puede hablarse de riesgo cuando la consecuencia sea positiva para la marcha de la organización: algunos autores llaman a este caso oportunidad, pero este enfoque no será considerado en este artículo.

Entre las principales definiciones de riesgo se pueden resaltar las del Project Management Institute (Duncan, 1996):

  • La gestión de riesgos es el proceso por el que los factores de riesgo se identifican sistemáticamente y se evalúan sus propiedades.
  • La gestión de riesgos es una metodología sistemática y formal que se concentra en identificar y controlar áreas de eventos que tienen la capacidad de provocar un cambio no deseado.
  • La gestión de riesgos, en el contexto de un proyecto, es el arte y ciencia de identificar, analizar y responder a los factores de riesgo a lo largo de la vida del proyecto y en el mejor cumplimiento de sus objetivos.

De acuerdo con estas definiciones, un riesgo tecnológico se conceptúa como la posibilidad de que existan consecuencias indeseables o inconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnología y cuya aparición no se puede determinar a priori.

Para que un riesgo pueda considerarse gestionable y, por tanto, susceptible de considerarse dentro de los procesos de gestión de la tecnología en una organización, es necesaria la existencia simultánea de los siguientes tres componentes:

  • Pérdidas asociadas con el riesgo identificado. Se refiere a la existencia de efectos negativos resultantes de que el riesgo se concrete durante el desarrollo de la actuación contemplada. Generalmente estas pérdidas se pueden hacer corresponder con una valoración económica, aunque hay casos en los que eso no se produce así, como es el caso de pérdidas de vidas humanas o de desastres medioambientales (en nuestro caso derivados del uso incorrecto o desproporcionado de la tecnología).
  • Incertidumbre asociada. Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra efectivamente y el momento temporal en el que eso pueda suceder. Hay que tener en cuenta que esta condición implica que al riesgo debe poder asociársele una probabilidad de ocurrencia a lo largo del tiempo.
  • Elección entre alternativas. Posibles actuaciones que mitiguen los efectos del acontecimiento indeseable. Si no existe elección por parte del gestor no existe riesgo, aunque sí puedan existir pérdidas. Estas alternativas permiten al gestor actuar para reducir su aparición, las pérdidas ocasionadas o ambas.

No todos los riesgos que ocasionan fuertes pérdidas son gestionables en el sentido indicado. Es, precisamente, la conjunción simultánea de los tres componentes mencionados lo que permite su gestión.

3. Orígenes de los riesgos de carácter tecnológico y la adopción de decisiones en su presencia.

Los riesgos asociados a la tecnología desde su concepción, desarrollo y utilización no sólo afectan a las organizaciones que la conciben durante el tiempo de su desarrollo. Los riesgos en un proyecto pueden tener orígenes diversos y entre las fuentes más típicas se encuentran las siguientes:

  • Derivadas del propio proceso de adquisición o transferencia de tecnología. Son causas internas derivadas de una planificación defectuosa o de la inadaptación de los recursos humanos implicados.
  • Derivadas de dificultades en la organización receptora. Son causas derivadas de la organización en la que la tecnología se va a utilizar y que afectan a su desarrollo o implantación.
  • Derivadas de la tecnología empleada en su desarrollo. Como ejemplo, la inestabilidad de la tecnología empleada o la aparición de otras tecnologías alternativas que la hagan inútil o prematuramente obsoleta.
  • Derivadas del contexto externo a la organización. Como ejemplo, causas socioeconómicas o políticas que impidan el acceso a la tecnología o su mantenimiento posterior.
  • Derivadas del mercado y de la evolución de éste durante el desarrollo de las actuaciones tecnológicas consideradas. Como ejemplo, causas económicas y de penetración tecnológica muy diferentes de las previstas por acontecimientos no ligados a la tecnología en sí misma: una crisis económica global.

Muchas veces estas fuentes de riesgos están relacionadas entre sí, como también lo están los riesgos concretos de un proyecto, por lo que su separación y análisis diferenciado será uno de los problemas y limitaciones a resolver por los gestores. La figura 1 representa esquemáticamente la interacción entre todas las fuentes de riesgos indicadas. Con ello se ha querido representar que la existencia de fuentes de riesgos múltiples no va a permitir un enfoque analítico de separación de causas.

Fig. 1
Fuentes de riesgos

Durante la actividad de una organización (por ejemplo, en la puesta en marcha de un Plan Tecnológico) se toman decisiones tecnológicas continuamente, tanto por el responsable como por el resto del equipo en función de sus responsabilidades respectivas. La toma de decisiones está, sin embargo, condicionada por la existencia de riesgos cuyos efectos y probabilidades pueden incrementarse por estas mismas decisiones. Cualquier decisión puede realizarse en tres condiciones diferentes:

  • Con certidumbre. Se dispone de toda la información necesaria para predecir el resultado de la decisión.
  • Con incertidumbre. No se dispone de la información necesaria para tomar una decisión. Únicamente se puede emplear la experiencia previa y la intuición.
  • En presencia de riesgos. Sólo se dispone de información parcial, aunque los efectos de los acontecimientos pueden predecirse y su impacto está acotado.

En el proceso de toma de decisiones relativo a la tecnología y ante un problema identificado relativo a la aparición de un riesgo previamente identificado, el gestor considera la situación actual de la organización y, teniendo en cuenta su experiencia en el tratamiento de situaciones parecidas, selecciona una posible alternativa entre las previamente analizadas y predefinidas. La selección de la alternativa más adecuada no siempre es sencilla de determinar puesto que ello depende de múltiples factores contradictorios que será necesario priorizar en función de la maximización de algunos parámetros.

El efecto de determinadas opciones puede representarse mediante las denominadas matrices de efectos. La figura 2 describe una estructura genérica de matriz de efectos. Se han representado en filas las posibles opciones en manos del gestor, sus estrategias (S1, S2, S3), y en columnas un conjunto de acontecimientos sobre los que el gestor no tiene control directo pero que influyen decisivamente en los resultados de sus decisiones (N1, N2,..., Nm). La selección de una alternativa en el caso de que se produzca uno de esos acontecimientos tiene consecuencias muy diferentes sobre la organización.

Para construir una matriz de efectos se deben identificar las situaciones sobre las que no se tiene control. Luego, se selecciona el conjunto de estrategias que se desea adoptar. Cada una de las estrategias implica adoptar determinados riesgos que serán diferentes en función de las situaciones externas que finalmente se presenten. Las celdas, por tanto, suponen el análisis concreto de las consecuencias sobre la estrategia correspondiente de la situación del contexto externo.

En el caso de una decisión con certidumbre, independientemente de la situación que finalmente ocurra, existirá una estrategia dominante que producirá mayores ganancias (o menores pérdidas) que cualquier otra. En este caso, todas las situaciones tienen la misma probabilidad de ocurrencia. No obstante, en la práctica no hay una estrategia dominante para todas las situaciones puesto que la decisión se producirá con información parcial. Generalmente, los mayores beneficios se producen cuando los riesgos son más altos y las pérdidas más probables.

Normalmente, cada situación podrá producirse con una determinada probabilidad cuya estimación deberá conocerse de la manera más clara posible, si bien estas estimaciones son difíciles de obtener.

Fig. 2
Matriz de efectos

4. Caracterización de riesgos tecnológicos.

No todos los riesgos tienen la misma importancia. De entre todos los factores que permitirían caracterizar un riesgo, dos de ellos, el impacto y la probabilidad de ocurrencia, son los que tienen mayor importancia para el gestor. Debido a ello, la gestión de riesgos debe comenzar con la situación relativa de todos los riesgos identificados en un mapa bidimensional de impactos y probabilidades. Sobre este mapa se pueden tomar decisiones relativas a los riesgos en los que se debe prestar mayor atención.

Obsérvese que la existencia de un riesgo con una probabilidad muy baja puede despreciarse a pesar de que su impacto sea muy alto. En otros casos, la probabilidad muy alta puede verse compensada porque el efecto sea muy pequeño. La importancia relativa depende de la consideración simultánea de ambos factores.

La figura 3 representa una situación en la que existen cuatro riesgos claramente diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos tiene una determinada probabilidad de ocurrencia y un impacto previsible. Estos valores pueden ser en la práctica muy diferentes y, en función de ello, el gestor puede concentrarse en todos ellos o en un número limitado de los mismos.

Fig. 3
Relación entre probabilidades e impactos

En la realidad, conocer exactamente la probabilidad y el impacto de todos los riesgos posibles es muy difícil. Generalmente, sólo se dispone de estimaciones para ambas variables cuya precisión es también muy diferente en función del riesgo considerado. En la figura 2 se puede observar cómo el margen (la nube de incertidumbre) asociada a cada riesgo puede ser mayor o menor.

Las opciones posibles del gestor se han representado mediante el establecimiento de dos límites distintos. Con el límite 1, el riesgo Rl no sería considerado. Si se decide incrementar el límite, únicamente el riesgo Rj debería gestionarse. Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades están en un rango amplio, la decisión que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o tolerancia frente al riesgo.

Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades están en un rango amplio, la decisión que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o tolerancia frente al riesgo.

Siguiendo con el ejemplo de la matriz de efectos, supóngase que las previsiones del mercado no son tan claras. Dicho de otro modo, los estados no controlados no permiten calcular adecuadamente probabilidades. Si se recalculan los valores con máximos y mínimos, posiblemente los valores esperados se situarían en márgenes que se solaparían. La consecuencia es una dificultad mucho mayor para la toma de decisiones.

Bibliografía

Beckamn, U. (1986): La Sociedad del Riesgo. Paidós. Madrid.

Boehm, B. (1991): “Risk management”. IEEE Software.

Carter, B.; Hancock, T.; Morin, J. y Robins, N. (1994): Introducing RiskMan Methodology. NCC Blackwell.

Cleland, D.I. y King, W.R. (1975): Systems Analysis and Project Management. McGraw-Hill. USA.

Duncan, W.R. (1996): A Guide to the Project Management Body of Knowledge. Project Risk Management. PMI Standards Committee. Project Management Institute. USA.

Haymes, Y.Y. (1998): Risk modelling, assessment and management. Wiley Series in Systems Engineering. John Wiley & Sons. USA.

Heredia, R. (1995): Dirección Integrada de Proyecto –DIP-. Escuela Técnica Superior de Ingenieros Industriales. Universidad Politécnica de Madrid. Madrid.

Kerzner, H. (1998): Project Management. A systems approach to planning, scheduling, and controlling. John Wiley & Sons. USA.

León, G. (1994): Risk Management in Software Technologies. CORTS Project Report. Junio.

López, J.A. y Luján, J.L. (2000): Ciencia y Política del Riesgo. Alianza Editorial. Madrid.

Rosenau, M.D. (1998): Successful project management. John Wiley and Sons. USA.