Inicio Articulos. Administración de riesgos en CRM. 2ª. de 4 partes

Administración de riesgos en CRM. 2ª. de 4 partes

Por

octubre 1, 2006

Revista Mundo-Contact

*John Henshaw
* Bob Osborne

CONJUGANDO LOS ELEMENTOS

Una vez evaluados el impacto y la probabilidad, nosotros recomendamos elaborar una tabla con los siguientes atributos, la cual será de utilidad al momento de priorizar los riesgos que implica la implementación:

Causa (a partir del enunciado de riesgo) Riesgo (a partir del enunciado de riesgo) Efecto (a partir del enunciado de riesgo) Probabilidad (muy baja, baja, media, alta, muy alta) Impacto (muy bajo, bajo, medio, alto, muy alto)

A algunos equipos les gusta incluir en esta tabla el grupo de riesgo (de proyecto, técnico, del negocio) y/o alguna información adicional, como por ejemplo los temas para la administración de campañas (colaboración, administración del cambio, calidad de la información, desarrollo de experiencia y rendición de cuentas operativa).

ESTABLECIMIENTO DE UN UMBRAL DE RIESGO

Algunos riesgos son aceptables. Lo que se pondera es la probabilidad de que el riesgo se presente y el impacto que tendría en caso de presentarse. Al conjugar estos dos factores, podemos decidir qué resultado es aceptable para el negocio y qué requiere atención y una labor adicional de administración de riesgo.

En el ejemplo que se presenta a continuación, el área sombreada muestra dónde la combinación de probabilidad e impacto se considera como un riesgo inaceptable. El área no sombreada se considera como riesgo aceptable. La línea divisoria entre ambas es el umbral de riesgo. Más adelante veremos que las respuestas al riesgo sirven para trasladar el riesgo de la zona inaceptable a la zona aceptable.

Estrategias de administración de riesgos

En esta sección se abordan tanto el desarrollo de las respuestas a los riesgos como el control de las respuestas a los riesgos. Se identifican problemas relacionados con el desarrollo de riesgos y se presenta un modelo de madurez del riesgo, muy útil para evaluar la madurez que ha logrado una organización en torno al riesgo relacionado con implementaciones de CRM.

Identificar y priorizar los riesgos en las implementación de aplicaciones es la mitad de la batalla. Planear5 las respuestas y controles adecuados para cada riesgo contribuirá a colocar al proyecto en el camino del éxito. Es preferible determinar primero la estrategia adecuada, y después diseñar las respuestas a los riesgos para implantar la estrategia elegida. Lo que esto hace es garantizar que, en caso de existir varias respuestas a un riesgo determinado, estas se complementen entre sí.

Existen varias opciones de estrategia para planear las respuestas ante los riesgos*. Estas son:

Evitar — se busca eliminar la incertidumbre. He aquí algunos ejemplos: aclarar requerimientos, conseguir información, mejorar la comunicación, adquirir expertise, modificar el alcance del proyecto para excluir los elementos de riesgo, y utilizar una tecnología y/o metodología comprobada en vez de una de vanguardia.

Transferir — se busca transferir la propiedad y/o responsabilidad a un tercero. Aunque suena atractivo, su principal aplicación se limita a la exposición al riesgo financiero. Cabe señalar que la transferencia del riesgo también implica un cambio en la propiedad de un proyecto, así como una transferencia de responsabilidad.

Mitigar — se busca reducir la magnitud de la exposición al riesgo por debajo de un umbral aceptable. Por supuesto, es importante definir el umbral antes de emprender cualquier medida de mitigación, pues es la meta contra la cual se puede medir la efectividad de la respuesta. El “tamaño” de un riesgo se puede reducir atacando ya sea su probabilidad, a fin de hacerlo más remoto, o su impacto, a fin de hacerlo menos severo, o ambos. Las medidas preventivas son mejores que las medidas curativas dado que son más proactivas y, si tienen éxito, pueden llevar a evitar por completo el riesgo.

Aceptar — reconocer los riesgos residuales y diseñar respuestas para controlarlos o monitorearlos. La aceptación es adecuada para riesgos menores, en los cuales probablemente ninguna respuesta sería eficiente en términos de costo. El proyecto debe reconocer y aceptar de manera proactiva estos riesgos y desarrollar y adoptar respuestas ante ellos. La respuesta de aceptación de riesgo más frecuente son los planes de contingencia, en donde uno presupuesta tiempo, dinero y/o recursos adicionales para hacer frente a dichos riesgos.

*Estas estrategias de respuestas ante los riesgos están orientadas a hacer frente a la incertidumbre asociada a las amenazas para una iniciativa de CRM. También puede haber incertidumbre asociada a “riesgos positivos” u oportunidades. En estos casos, se debe tratar de explotar en vez de evitar, compartir en vez de transferir y amplificar en vez de mitigar.

Aunque no existe una sola estrategia de respuesta que pueda considerarse como “la mejor”, se recomienda considerar primero las estrategias tendientes a evitar el riesgo, pues evidentemente es mejor eliminar el riesgo por completo siempre que sea posible. En segundo lugar debe explorarse la posibilidad de transferir el riesgo, aunque hay que recordar que su alcance a menudo es limitado. La tercera opción es la mitigación, buscando reducir la exposición al riesgo y dejando la aceptación como último recurso para riesgos residuales que no puedan ser abordados mediante ninguna otra estrategia.

EFECTIVIDAD DE LA RESPUESTA AL RIESGO

Aunque los altos ejecutivos por lo general no se involucran en los detalles íntimos de la planeación y administración del riesgo, existen varios criterios que pueden servir para evaluar la efectividad de la respuesta al riesgo. Como gerente, uno debe poder articular el análisis y las conclusiones para estos criterios ante el equipo directivo. A continuación presentamos una lista de verificación que le ayudará a garantizar que las respuestas a los riesgos sean eficaces:

Adecuada: el nivel correcto de respuesta debe determinarse con base en el “tamaño” del riesgo. Es importante no dedicar demasiado tiempo o esfuerzo desarrollando respuestas inadecuadas a riesgos menores, ni planear a la ligera una respuesta a un riesgo crítico. (Por eso es esencial concluir con la etapa de cuantificación de riesgos).

Accesible: las respuestas a los riesgos deben ser eficientes en términos de costos. Cada respuesta a un riesgo debe tener un presupuesto asignado de común acuerdo.

Aplicable: es esencial establecer tiempos para poner en práctica cada respuesta a riesgos.

Alcanzable: las respuestas ante los riesgos deben ser alcanzables o factibles, técnicamente y dentro del alcance de la capacidad y responsabilidad de quien deba responder al riesgo.

Analizada: todas las respuestas propuestas deben funcionar. El análisis (o evaluación) se lleva a cabo después que se ha implantado la respuesta al riesgo.

Acordada: es necesario lograr el consenso y compromiso de todos los interesados antes de acordar cuál es la respuesta más adecuada.

Asignada y aceptada: cada respuesta debe ser propiedad de alguien y ser aceptada por esa persona a fin de garantizar que exista un único punto de responsabilidad y rendición de cuentas para la implantación de dicha respuesta.

Es de esperarse que una revisión por parte de la alta dirección se concentre en cada uno de estos puntos para cada riesgo. Por lo general es suficiente un resumen proporcionado por el gerente de proyecto o director de CRM en forma de tabla u hoja de cálculo. En caso de requerirse más detalles, las actividades y productos de trabajo previos derivados de los pasos de identificación, cuantificación y desarrollo de respuestas a los riesgos le permitirán a todo el equipo de análisis entender la justificación de cada respuesta.

PROBLEMAS EN EL DESARROLLO DE LOS RIESGOS

Para aquellos riesgos que tengan impactos importantes, puede ser necesaria una planeación de contingencia. Esto es algo similar a elaborar planes de recuperación en caso de desastre o planes de continuidad de negocios. Es necesario definir, planear, costear y asignar recursos al plan de contingencia, y establecer condiciones de activación perfectamente claras, sin ambigüedades.

Como resultado directo de la implementación de una respuesta a un riesgo primario, inevitablemente se presentarán riesgos secundarios, puesto que el perfil de riesgo del proyecto cambiará como consecuencia de la implantación de dicha respuesta. Por ello, es necesario identificar los principales riesgos entre los riesgos secundarios. A menudo es posible identificarlos durante el análisis de la eficiencia en costos de las respuestas ante los riesgos. Cabe señalar que, si la exposición general al riesgo aumenta como resultado de la implantación de una respuesta a un riesgo primario (y, por lo tanto, de la introducción de un escenario de riesgo secundario alto), tal vez sea prudente reconsiderar si la respuesta al riesgo inicial es adecuada.

Una vez que se han desarrollado las respuestas, se les debe asignar un propietario. Este es un paso vital, pues el propietario de la respuesta es el responsable de garantizar la implantación eficaz de la respuesta acordada. Es importante elegir el propietario adecuado para cada respuesta al riesgo. Este propietario debe ser quien esté en mejor posición de administrar el riesgo de manera eficaz.

El equipo de proyecto administra la mayoría de los riesgos. Algunos riesgos pueden ser asignados a un tercero, en especial los riesgos de desempeño o los riesgos relacionados a incertidumbre en los requerimientos.

Al asignar a un propietario, es esencial forjar y mantener un alto nivel de cooperación y consenso.

MADUREZ EN EL PROCESO DE ADMINISTRACIÓN DE RIESGOS

Con el tiempo, a medida que se incrementan la experiencia y habilidad que tiene una organización en el proceso de administración estructurada de riesgos, la tendencia natural es a adoptar prácticas de administración de riesgos relacionados con CRM de una manera más madura. Se ha publicado un modelo de cuatro niveles de madurez7 que puede ser útil para evaluar la madurez de la organización en cuanto a administración de riesgo. Para poder evaluar y mejorar la habilidad de una organización para hacer frente a los riesgos relacionados a implementaciones de CRM, podría ser de utilidad para la alta dirección comparar su propia capacidad organizacional en cuanto a riesgo contra los siguientes niveles:

NIVEL 1 — AD-HOC, “Idolatrar al héroe”

A este nivel no existe conciencia de la necesidad de administrar la incertidumbre (es decir, los riesgos). Los procesos directivos tienden a ser repetitivos y reactivos, sin un esquema estructurado para hacer frente a la incertidumbre. Los intentos por aprender de proyectos anteriores a fin de estar mejor preparados para proyectos futuros varían de un caso a otro, y las organizaciones a este nivel tienden a continuar con los procesos existentes aún cuando hayan fracasado los proyectos. Aunque puede haber intentos esporádicos por aplicar principios de administración de riesgos, no existe un proceso formal, conciencia del riesgo, participación de la alta dirección, ni plan de administración de riesgos. Los intentos por aplicar prácticas de administración de riesgos se presentan sólo por mandato (por ejemplo, por política de la empresa). Dado que no existe una aplicación estructurada de la administración de riesgos, no existen recursos dedicados, herramientas de administración de riesgos ni se llevan a cabo análisis de riesgos.

NIVEL 2 — INICIAL, “En etapa de prueba”

Aunque no se ha implantado un esquema estructurado, las organizaciones están conscientes de los beneficios potenciales de administrar el riesgo, pero se enfrentan a problemas de implantación. Se experimenta con la administración de riesgos en algunos proyectos a través de un grupo reducido de personas que pueden o no tener capacitación formal en el tema. Los procesos de riesgos pueden ser considerados como un costo adicional con beneficios variables; la alta dirección fomenta, mas no exige, la aplicación de la administración de riesgos. Si bien no existen procesos formales, es posible que se utilicen algunos métodos formales específicos, aunque su eficacia depende en gran medida de las habilidades del equipo de riesgo y de la disponibilidad de apoyo externo. No se dispone de análisis de riesgos cuantitativo – sólo se lleva a cabo análisis de riesgo cualitativo.

NIVEL 3 — REPETIBLE, “Se planea el trabajo; se trabaja conforme al plan”

A este nivel ya va surgiendo una práctica sólida de administración de riesgos. La administración de la incertidumbre está incorporada en todos los procesos organizacionales y la administración de riesgos se implementa en casi todos los proyectos. Aunque los beneficios son comprendidos (y esperados) en todos los niveles de la organización, no siempre se consiguen de manera consistente. La alta dirección exige reportes relacionados con el riesgo y existen recursos dedicados exclusivamente a la administración de riesgo; se acepta la información de riesgo considerada como “malas noticias”. Internamente, existe una base sólida de expertise, con gente formalmente capacitada en habilidades básicas de administración de riesgos y una aplicación consistente en todos los proyectos. Aquí, los procesos de administración de riesgo formales están incorporados a un sistema de calidad, con una asignación y administración activas de los presupuestos de riesgo a todos los niveles. Se recaba información para medir el riesgo – se aplican metodologías tanto cualitativas como cuantitativas de análisis de riesgo, a menudo basadas en un conjunto integrado de herramientas y métodos.

NIVEL 4 — ADMINISTRADA, “Se mide el trabajo, se trabaja conforme a lo medido”

Esta organización posee una cultura de conocimiento del riesgo y aplica un enfoque proactivo a la administración de riesgo en todos los aspectos del negocio. La información de riesgo se utiliza activamente con el fin de mejorar los procesos de la organización y ganar una ventaja competitiva. Existe compromiso desde los más altos niveles directivos con la administración de riesgo, y se predica con el ejemplo. La alta dirección utiliza la información de riesgos en sus procesos de toma de decisiones. Se fomenta y recompensa una administración de riesgos proactiva. Se llevan a cabo evaluaciones periódicas con el fin de afinar los procesos de administración de riesgo, y se utilizan en forma rutinaria indicadores de riesgo con una retroalimentación consistente para mejorar. Todo el personal está consciente del riesgo y es capaz de utilizar habilidades básicas de administración de riesgo. Además se cuenta con capacitación periódica que permite al personal ir perfeccionando estas aptitudes. Se emplean metodologías de análisis de riesgo tanto cualitativas como cuantitativas, y se enfatiza el contar con fuentes confiables de información histórica.

*John Henshaw, Director Senior, eLoyalty Corporation
* Bob Osborne, Director Senior, eLoyalty Corporation

Continuará…

Administración de riesgos en CRM. 2ª. de 4 partes

Acervo de noticias sobre Inteligencia Artificial

X lanza Grok como app independiente

La IA impulsa la inversión en tecnología climática

6 tendencias en IA que definirán 2025

Microsoft destinará 3,000 mdd para impulsar la IA en India

Samsung incorpora IA a la línea de televisores más vendida del...

Lo más popular en MC

Micron invertirá 7,000 mdd en chips de memoria

Italia negocia con SpaceX un acuerdo para telecomunicaciones seguras

Crece 25% tráfico web en México durante 2024

2025 consolidará la IA conversacional como pilar en la experiencia del...

TDK lanza nuevas baterías para adaptarse a la IA