9 07. Gestión de Riesgos 9. 1 índice 1. Introducción y Definición de Riesgo 2. Identificación 3. Gestión de Riesgos 4. Factores de Riesgo 5. Metodología de gestión de riesgos 9. 2 Introducción y definición Un riesgo es cualquier suceso que pueda afectar negativamente a la marcha del proyecto en el futuro El riesgo se haya asociado de manera inexorable a cualquier actividad que se lleve a cabo y que imponga la decisión entre varias alternativas El riesgo, por tanto, acompaña a todo cambio y está presente en cada decisión El riesgo implica elección e incertidumbre 9. Manejo de Riesgos Manejo de riesgos consiste en la identificación de riesgos y la escritura de planes para minimizar el efecto de estos en el proyecto Un riesgo se relaciona con la probabilidad de que ocurra alguna circunstancia adversa al proyecto Hay tres clases principales de riesgos: ello eliminar la posibilidad de exposición al riesgo. Este tipo de riesgos debe ser riesgos no inherentes a la propia actividad realizada, sino riesgos accesorios que no influyen directamente en logro de los objetivos del proyecto. . 4. 2 Retención del riesgo La mayor parte de los riesgos que se identifica en un proyecto no es posible eliminarlos por tanto hay que hacerles otro tipo de tratamiento. La retención del riesgo es la asunción por parte de los responsables del proyecto de que el riesgo existe y que por tanto hay que convivir con él. El mero hecho de acometer un proyecto es un riesgo que no puede ser evitado y sólo puede ser retenido. 9. 4. Evitación del riesgo El riesgo existe y puede provocar sus efectos negativos. En este caso hay que identificar los factores que provocan el riesgo y mantenerlos bajo control para evitar que el riesgo provoque sus efectos. Evitar el riesgo es diferente de eliminarlo, en el primer caso el iesgo no debe ser controlado porque no puede ocurrir, en este caso el riesgo amenazará permanentemente el proyecto y debe evitarse sus efectos. . 4. 4 Transferencias del riesgo Algunos tipos de riesgos (normalmente poco probables pero muy negativos) pueden ser transferidos a terceros mediante la contratación de seguros o haciendo contratos en los que el cliente o los proveedores asumen este riesgo y liberan al equipo de proyecto de su gestión. 2 23 9. Herramientas usadas e e Riesgos de riesgos (TRIMS — Technical Risk Identification and Mitigation System), o están orientadas a compañías maduras que oseen una amplia base de datos organizacional que les permite generar información de categorías propias de riesgos (RiskTrak y WelcomRisk), o bien emplean un mecanismo que no se orienta al uso de taxonomías (ARM – Active Risk Manager)[20]. PROYECTOS DE INFORMATICA This document is only for academic purposes. Hoja 106 de 192 Aquilino Adolfo Juan Fuente / Juan Manuel Cueva Lovelle @ 2006 La siguiente tabla[20] describe las características de alguna de estas herramientas.
Producto Proveedor Active Risk Manager (ARM) Strategic Thought Herramienta integrada de gestión de riesgos que brinda una solución para la identificación de iesgos mediante la utilización de la información contenida en el WBS de proyecto. Web Based cuantitativamente el riesgo de un sistema (de información). La herramienta sigue el modelo Magerit 1 . O Free Plataforma Java 9. 6 Factores de Riesgo Varios son los autores que han identificado riesgos sobre proyectos. Boehm [3] identifica diez factores de riesgo relacionados con el personal, funcionalidad del sistema, gestión de requerimientos, etc.
Barki [21] 9. 7 Historia de la Gestión de riesgos La gestión de riesgos pasa por tres generaciones de modelos de riesgos en proyectos informáticos: 9. 7. Primera Generación Gl (Casuística) Esta generación data de principios de los años 80 y está basada en listas ‘casuísticas’ de riesgos especiales para proyectos, esto es, se identifican casos de riesgo y se extrapolan a otros proyectos. No hay una planificación específica. En esta generación se definen los Riesgos tecnológicos y las Listas de comprobación de riesgos. 9. 7. 1. Riesgos Tecnológicos De esta etapa parten las d sicas de: 4 23 producto de las probabilidades de éxito de sus elementos» (la fiabilidad del conjunto es inferior a la de cada elemento separado; «la cadena se rompe iempre por su eslabón más débil»). Años 60 Análisis de riesgos cuantitativo (procesos markovianos) para describir el comportamiento de sistemas complejos con fallos ensayables y sin intervención manual (aleatoria); o cualitativo como los árboles de fallos para sistemas híbridos con la incertidumbre de la intervención humana y la imposibilidad de probar los impactos salvo por simulación.
Se define el «riesgo como una entidad con dos dimensiones: probabilidad y consecuencia(sy’ o sea vulnerabilidad e impacto. 70s. Método general de Rasmussen. 6 etapas: Definición del proyecto de seguridad y su istema objetivo; Análisis funcional de éste; Identificación de riesgos; Modelización del sistema; Evaluación de consecuencias; Síntesis y decisiones final. 9. 7. 1. 2 Listas de comprobación de riesgos Basadas en listas de preguntas que determinan factores de nesgo.
A modo de ejemplo se puede ver el siguiente análisis de riesgos partiendo de una lista de 200 preguntas y determinando 16 factores de riesgo: Figura 9-1. Análisis de riesgos en función de Listas de comprobación de riesgos PROYECTOS DE INFORMÁTICA Hoja 108 de 192 s aF23 Aquilino Adolfo Juan Fuent el Cueva Lovelle madurez de SEI-CMM Modelo de Riesgos del SEI Modelo SPR de mejora de capacidad en a gestión del riesgo Estos modelos serán explicados en mayor detalle en posteriores párrafos. . 7. 3 Tercera Generación G3 (causal) Esta es la generación actualmente emergente. Arranca con Eurométodo 96, MAGERIT 97, ISPL 98, etc. Está influida por otros modelos ‘causales’ (proyectuales, ‘ecológicos’, etc. ). Los principales modelos de gestión de riesgos propuestos son: Modelo MAGERIT de Gestión de Riesgos en Sistemas adaptado a Proyectos (transición) Modelo de eventos de MAGERlT-Proyectos (Transición) Modelo McFarlan (Transición) 6 23 Modelo RiskMan e iniciativ de 192 0 2006
RIESGO TIPO DESCRIPCION Insuficiencia de las herramientas Las herramientas elegidas para el desarrollo son insuficientes y no tienen las facilidades con las que se contaba en principio Cambios de la tecnología Negocio La tecnología en la que se ha basado el proyecto es sustituida por una tecnología más moderna Competencia de productos Un producto de la competencia es puesto en el mercado antes de terminar el proyecto 9. 9 23 Juan Fuente / Juan Manuel Cueva Lovelle Se utilizan varias técnicas. Una técnica de identificación del riesgo es el uso de listas de comprobación de elementos del riesgo.
Otra es el análisis de upuestos (comparación). Las listas de comprobación de elementos de riesgo consisten en una lista de preguntas que determinan riesgos frecuentes. A modo de ejemplo pueden citarse: ¿Se dispone del mejor personal? ¿Tiene el personal un conjunto de habilidades adecuad ¿Se dispone del personal suficiente? ¿Está comprometido el personal a lo largo de todo el proyecto? ¿Hay miembros del proyecto que trabajarán sólo a tiempo parcial ¿Se ha creado el personal trabajo que van a as correctas sobre el 8 23 Riesgo de estimación Subestimación del tamaño Proyecto y Producto Insuficiencia de las herramientas
Riesgo de las herramientas Riesgo en la tecnología Riesgo político Riesgo económico Hoja 111 de 192 posible mitigar el riesgo A modo de resumen se puede establecer la siguiente tabla: ATRIBUTO Consecuencia o mpacto VALOR Catastrófico Critico Tolerable Probabilidad Marco de Tiempo Marco de tiempo Muy baja Baja Moderada Alta Muy alta mprobable Corto Plazo Medio Plazo Largo Plazo DESCRIPCIÓN Pérdida del sistema. Coste mayor del 50% Recuperación de la capacidad operativa. Coste mayor del 20% y menor del 50% Capacidad operativa mermada. Coste mayor del 10% y menor del 20% Menor del 10% Del al 22% Del al 75% 10 23
