Respuesta rápida (fragmento destacado):
La gestión de riesgos de cartera consiste en identificar, analizar y mitigar las amenazas que pueden afectar a los proyectos (retrasos, costes, calidad, alcance). Se diferencia de la gestión de riesgos operativa (de un proyecto individual) por su alcance: se centra en los riesgos agregados y las dependencias entre proyectos, lo que sirve de base para las decisiones de gobernanza de la cartera.
TL;DR (5 puntos):
– Registro de riesgos: documento dinámico de riesgos, no un informe estático
– Matriz de riesgo: probabilidad × impacto define la prioridad
– Responsabilidad clara: cada riesgo tiene un responsable (risk owner) y una acción
– Escalado automático: el riesgo «alto» se escala a la cartera (no se queda estancado en el proyecto)
– Seguimiento: revisiones mensuales, métricas de estado abierto/cerrado
Artículo completo
¿Por qué la gestión de riesgos en la cartera?
Una situación habitual:
El proyecto A lleva cuatro semanas de retraso. El proyecto B depende del A. Las partes interesadas descubren en el último momento que toda la cartera se retrasa. PMO: «No sabíamos que hubiera una dependencia». Ejecutivo: «¿No lo sabían? ¡Por eso les exigíamos información!».
La gestión de riesgos en la cartera evita que eso ocurra.
Responde:
- ¿Cuáles son los principales riesgos (técnicos, de recursos, financieros y normativos)?
- ¿Cuál es la probabilidad y el impacto de cada uno?
- ¿Qué proyecto es más vulnerable?
- ¿Existen dependencias de riesgo entre los proyectos (en cascada)?
- ¿Cómo estamos tomando medidas de mitigación? ¿Cuál es el plan de contingencia?
Resultado: decisiones más acertadas (seguir adelante o no), menos retrasos y menos sorpresas.
Tipos de riesgo en una cartera
| Tipo | Ejemplo | Impacto | Frecuencia |
|---|---|---|---|
| Técnico | Nueva tecnología, complejidad, deuda heredada | Retraso, coste | Alto |
| Recurso | Falta de personal, rotación, déficit de competencias | Retrasos, calidad | Muy alto |
| Finanzas | Sobrecoste, recorte presupuestario, tasas | Coste, alcance | Medio |
| Dependencia | El proyecto X depende de Y | Efecto dominó | Alto |
| Negocios | Cambio de prioridades, requisito inestable | Replan, alcance | Medio |
| Normativo | LGPD, nuevo cumplimiento normativo, auditoría | Bloqueo, coste | Bajo (pero crítico) |
| Proveedor/Socio | La consultoría se retrasa, la herramienta falla | Retraso, coste | Medio |
| Reputación | Fallo en la puesta en marcha, fuga de datos | Bloqueo, marca | Bajo (extremo) |
Proceso: Marco de gestión de riesgos
Paso 1: Identificación (Semana 1 de un nuevo proyecto)
Talleres con el gestor de proyectos, el arquitecto, el responsable técnico y el patrocinador:
- Preguntas: «¿Cuál es la mayor amenaza? ¿Y si X falla? ¿Dependencias con otros proyectos? ¿Nuevos riesgos técnicos?»
- Lista de verificación: historial de proyectos similares (¿qué salió mal anteriormente?)
- Lecciones aprendidas: base de datos de riesgos pasados
Resultado: Registro de riesgos inicial con entre 5 y 15 riesgos
Paso 2: Análisis (Semanas 2-3)
Para cada riesgo, responda:
- Probabilidad: de 1 (poco probable) a 5 (muy probable). Base: datos históricos, opinión de expertos, escenarios.
- Impacto: de 1 (mínimo) a 5 (catastrófico). Indicadores: retraso en días, coste en miles de reales, etc.
- Puntuación: Probabilidad × Impacto (1-25, cuanto mayor, peor)
- Detección: ¿cuándo nos daremos cuenta de que el riesgo se ha hecho realidad? (señales de alerta temprana)
- Titular del riesgo: ¿quién es el responsable de la mitigación?
Ejemplo:
| Riesgo | Descripción | Prob | Impacto | Puntuación | Propietario | Alerta temprana |
|---|---|---|---|---|---|---|
| Brecha de competencias | Dev no sabe qué es Mendix | 4 | 3 | 12 | Policía | Dev pide ayuda en la segunda semana |
| Desviación del alcance | El patrocinador quiere «más funciones» | 5 | 4 | 20 | Responsable de producto | Solicitud de traslado > 3 al mes |
| Proveedor de servicios de retardo | La consultora retrasa la entrega | 3 | 4 | 12 | Responsable de proveedores | Milestone no alcanza el 80 % en la semana X |
Paso 3: Planificación de medidas de mitigación (Semana 4)
Para puntuaciones de riesgo ≥ 12, planificar medidas:
- Evitar: eliminar el riesgo (por ejemplo, no utilizar Mendix, utilizar tecnología conocida)
- Reducir: disminuir la probabilidad o el impacto (por ejemplo, formar a los desarrolladores en Mendix con antelación)
- Transferencia: delegar a un tercero (por ejemplo, contratar a una consultora especializada)
- Aceptar: asumir el riesgo y planificar un plan de contingencia (por ejemplo, si el proveedor se retrasa, recurrimos a la alternativa Y)
Ejemplo de mitigación del «scope creep» (puntuación 20, crítico):
Risk: Scope Creep
Mitigation:
1. Implementar "change control gate" (product owner aprova mudança)
2. Se mudança = 1 sem+ de trabalho, vai para "future release"
3. Educação: sponsor entende que mudança = atraso ou mais custo
4. Contingência: se acontecer creep > 20%, PM comunica ao PMO
Paso 4: Seguimiento (semanal)
El responsable del riesgo actualiza el estado (semanalmente o en la reunión del proyecto):
- Estado: Verde (medidas de mitigación al día), Amarillo (medidas retrasadas, el riesgo aumenta), Rojo (riesgo inminente, se requieren medidas)
- Medidas: ¿están surtiendo efecto? ¿Es necesario ajustarlas?
- Nuevos riesgos: identificar los nuevos riesgos de la semana (el entorno cambia rápidamente)
El panel de control de riesgos muestra los 10 principales riesgos de la cartera agregada:
Portfólio Risk Summary
═══════════════════════════
Total Risks: 87
Green (under control): 65 (75%)
Yellow (attention needed): 18 (21%)
Red (action required): 4 (4%)
Top 4 Red Risks:
1. DBA turnover (Project FinOps, score 18)
Action: Cross-train, hiring in progress
Next review: Thu 2pm
2. Vendor delay (Project Legacy Modernization, score 16)
Action: Escalated, contingency plan activated
Next review: Wed 1pm
3. Regulatory change (Project Cloud Governance, score 14)
Action: Legal review scheduled
Next review: Fri 10am
4. Budget cut rumor (All projects, score 12)
Action: CFO meeting scheduled
Next review: Mon 9am
Paso 5: Escalación y cierre
- Escalado: riesgo «rojo» o impacto > 2 sprints; escalado a la PMO/directiva
- Actualización del plan: si el riesgo se ha materializado, se revisa el proyecto (alcance, plazos, costes)
- Lecciones aprendidas: los riesgos que se han producido se registran en la base de datos, con el fin de aprender de ellos
Para quienes son técnicos:
Modelo de datos de riesgo:
Risk (entity)
├── Risk ID (unique identifier)
├── Description (text)
├── Category (technical, resource, financial, etc.)
├── Probability (1-5 scale or %)
├── Impact (1-5 scale or R$)
├── Score (calculated: probability × impact)
├── Status (open, mitigated, closed)
├── Risk Owner (person responsible)
├── Project (foreign key to project)
├── Mitigation Strategy (Avoid/Reduce/Transfer/Accept)
├── Mitigation Actions (list of actions)
├── Target Resolution Date
├── Early Warning Indicators (what signals escalation)
└── Lessons Learned (after closure)
Risk Aggregation:
- Risk heat map: all projects, color-coded by score
- Risk trend: new risks, resolved risks, score trend over time
- Risk dependencies: if Risk A realizes, which projects are impacted?
Integración con Planview:
Planview AdaptiveWork Risk Tab
├── Risk register per project
├── Automatic escalation (red risk → PMO alert)
├── Health status updated by risk score
└── Portfolio risk dashboard
Planview Portfolios
├── Risk aggregation at portfolio level
├── Decision logic: high-risk projects deprioritized
└── Contingency planning (budget reserve)
Lista de verificación: Marco de gestión de riesgos
- [ ] Identificación: taller con el equipo, lista de más de 10 riesgos
- [ ] Análisis: probabilidad × impacto, puntuación para cada uno
- [ ] Mitigación: medida concreta para riesgos con una puntuación ≥ 12
- [ ] Seguimiento: reunión semanal, informe de situación
- [ ] Escalado: los riesgos «rojos» se remiten a la PMO/la dirección
- [ ] Panel de control: riesgo de la cartera visible para las partes interesadas
- [ ] Lecciones aprendidas: base de datos de riesgos anteriores (aprender)
Si solo haces tres cosas…
Crea un registro de riesgos estructurado: no se trata de un correo electrónico ni de un chat. Un documento dinámico que incluya: descripción, probabilidad, impacto, medidas de mitigación, responsable y estado.
Identifica los riesgos de dependencia: ¿qué proyectos dependen unos de otros? Si uno se retrasa, el resto se ve afectado. Comunica los retrasos.
Resumen semanal: el responsable de riesgos actualiza el estado. Los riesgos «rojos» se remiten a la PMO/la dirección. No esperes sorpresas en la puesta en marcha.
Preguntas frecuentes
P: ¿Cuál es la diferencia entre el riesgo de proyecto y el riesgo de cartera?
R: El riesgo de proyecto afecta a un solo proyecto. El riesgo de cartera afecta a varios (por ejemplo, «el DBA es el cuello de botella en tres proyectos»).
P: ¿Cómo se calcula la probabilidad si no disponemos de datos históricos?
R: Recurre al criterio experto (el gestor de proyectos, el arquitecto y el patrocinador estiman una puntuación del 1 al 5). Después, valida el resultado con datos reales.
P: ¿Y si hay muchos riesgos (más de 100)?
R: Priorízalos según la puntuación (probabilidad × impacto). Haz un seguimiento solo de los 20 principales. Al resto, supervísalos trimestralmente.
P: ¿Cómo comunicar el riesgo sin parecer pesimista?
R: Plantealo como una «oportunidad para prepararse». Un riesgo bien gestionado = confianza.
Lecturas y referencias
- Guía del PMI Risk Management Professional (PgMP)
- «Gestión de riesgos en proyectos» (PMI)
- Marco de gestión de riesgos de Planview
Próximos pasos
«¿Tus proyectos están llenos de sorpresas? ¿No sabes cuál es el riesgo más grave? Hemos implantado un marco de gestión de riesgos que identifica, prioriza y mitiga las amenazas antes de que se conviertan en problemas. Solicita un diagnóstico gratuito.»
Lecturas relacionadas
