Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia Practica de Gestion de Riesgos
Guia Practica de Gestion de Riesgos
Guia Practica de Gestion de Riesgos
de Tecnologas
de la Comunicacin
LNCS
Diciembre 2008
Instituto Nacional
de Tecnologas
de la Comunicacin
AVISO LEGAL
Las distintas normas ISO mencionadas han sido desarrolladas por la International
Organization for Standardization.
Todas las dems marcas registradas que se mencionan, usan o citan en la presente gua
son propiedad de los respectivos titulares.
INTECO cita estas marcas porque se consideran referentes en los temas que se tratan,
buscando nicamente fines puramente divulgativos. En ningn momento INTECO busca con
su mencin el uso interesado de estas marcas ni manifestar cualquier participacin y/o
autora de las mismas.
Nada de lo contenido en este documento debe ser entendido como concesin, por
implicacin o de otra forma, y cualquier licencia o derecho para las Marcas Registradas
deben tener una autorizacin escrita de los terceros propietarios de la marca.
Por otro lado, INTECO renuncia expresamente a asumir cualquier responsabilidad
relacionada con la publicacin de las Marcas Registradas en este documento en cuanto al
uso de ninguna en particular y se eximen de la responsabilidad de la utilizacin de dichas
Marcas por terceros.
El carcter de todas las guas editadas por INTECO es nicamente formativo, buscando en
todo momento facilitar a los lectores la comprensin, adaptacin y divulgacin de las
disciplinas, metodologas, estndares y normas presentes en el mbito de la calidad del
software.
LNCS
2
Instituto Nacional
de Tecnologas
de la Comunicacin
NDICE
1.
INTRODUCCIN
1.1.
Conceptos
1.2.
Qu es un riesgo?
1.3.
2.
10
3.
12
3.1.
13
3.2.
Identificar riesgos
13
3.3.
Analizar riesgos
14
3.4.
15
3.5.
16
3.6.
17
4.
19
5.
REFERENCIAS
21
LNCS
3
Instituto Nacional
de Tecnologas
de la Comunicacin
NDICE DE TABLAS
Tabla 1
Tabla 2
Tabla 3
Tabla 4
Tabla 5
Tabla 6
Tabla 7
LNCS
4
Instituto Nacional
de Tecnologas
de la Comunicacin
NDICE DE FIGURAS
Figura 1
Figura 2
LNCS
5
Instituto Nacional
de Tecnologas
de la Comunicacin
1.
INTRODUCCIN
La gua rpida de gestin de riesgos pretende proporcionar una visin introductoria de este
proceso. Se expondrn algunos conceptos clave para entender el proceso, se resaltar la
importancia que tiene la gestin de riesgos en el desarrollo de productos software. Tambin
se mencionarn los principales roles que intervienen en el proceso de gestin de riesgos y
cules son sus responsabilidades.
En el segundo apartado de la gua se describen las distintas actividades que conforman el
proceso de gestin de riesgos, indicando en cada una de ellas entradas, salidas,
herramientas, tareas, etc.
Para profundizar en el proceso de gestin de riesgos se ha desarrollado una Gua avanzada
de gestin de riesgos, tambin disponible en el portal de INTECO.
1.1.
CONCEPTOS
de
SW,
HW,
datos,
administrativo,
fsico,
de
personal,
de
Vulnerabilidad
Una vulnerabilidad es una debilidad que puede ser activada de forma accidental o
intencionadamente. Es un factor de riesgo interno de un elemento expuesto a una amenaza
de ser susceptible a sufrir un dao y de encontrar dificultades en recuperarse
posteriormente.
Amenaza
Una amenaza es la posibilidad de que se produzca una determinada vulnerabilidad de forma
satisfactoria. Una fuente de amenazas no plantea un riesgo cuando no hay vulnerabilidades
que puedan ser activadas.
Impacto
El impacto es la materializacin de un riesgo; una medida del grado de dao o cambio sobre
un activo, entendiendo como riesgo la probabilidad de que un evento desfavorable ocurra y
que tendra un impacto negativo si se llegase a materializar. Se har una descripcin ms
detallada acerca de la definicin de riesgo en el siguiente apartado.
LNCS
6
Instituto Nacional
de Tecnologas
de la Comunicacin
Suposiciones
Las suposiciones son afirmaciones aceptadas como reales pero sin ningn tipo de prueba
que las sustente. Tambin es verdad que con el tiempo se puede determinar si las
suposiciones son verdaderas o falsas.
1.2.
QU ES UN RIESGO?
Los riesgos que son amenazas para el proyecto pueden ser aceptados si el riesgo est en
equilibrio con el beneficio que puede obtenerse al tomarlo.
Los riesgos que constituyen oportunidades, como la aceleracin del trabajo que puede
lograrse asignando personal adicional, pueden ser monitorizados para beneficiar los
objetivos del proyecto.
Para tener xito, la organizacin debe estar comprometida a tratar la gestin de riesgos de
forma proactiva y consistente durante todo el proyecto.
LNCS
7
Instituto Nacional
de Tecnologas
de la Comunicacin
Concepto
Desarrollo
Ejecucin
Terminacin
Cantidad de riesgos
Periodo de mayor
impacto de riesgo
Planificacin del proyecto
Figura 1
Los riesgos conocidos son aquellos que han sido identificados y analizados, y es
posible planificar las acciones a tomar al respecto tal y como se ver en apartados
sucesivos.
un evento definible
probabilidad de ocurrencia
LNCS
8
Instituto Nacional
de Tecnologas
de la Comunicacin
1.3.
Los beneficios que se obtienen al llevar a cabo una buena gestin de los riesgos son:
-
Cmo se va a llevar a cabo el plan de respuesta (no debe contener los propios
planes de respuesta ni tratar riesgos concretos)
Roles y responsabilidades
LNCS
9
Instituto Nacional
de Tecnologas
de la Comunicacin
2.
Identificacin de riesgos
-
Equipo del proyecto Trabaja con el jefe del proyecto para identificar riesgos.
Anlisis de riesgos
-
LNCS
10
Instituto Nacional
de Tecnologas
de la Comunicacin
Involucrado
en el negocio
Aceptador
Expertos
en la
materia
Equipo del
proyecto
Planificacin
gestin de
riesgos
Identificacin
de riesgos
Anlisis de
riegos
Planificacin de
respuesta de
riesgos
Control y
monitorizacin
de riesgos
Cierre de la
gestin de
riesgos
Tabla 1
Responsable
de un riesgo
Roles y responsabilidades
NOTA: En algunos proyectos, el jefe o responsable del mismo puede delegar este proceso a
otro miembro del equipo. Sin embargo toda la responsabilidad recae en el jefe de proyecto.
Si un jefe de proyecto no ha sido identificado, el responsable oportuno se har cargo de este
proceso.
LNCS
11
Instituto Nacional
de Tecnologas
de la Comunicacin
3.
La gestin de los riesgos del proyecto incluye los procesos relacionados con la planificacin
de la gestin de riesgos, la identificacin y el anlisis de riesgos, las respuestas a los
riesgos, y el seguimiento y control de riesgos de un proyecto; la mayora de estos procesos
se actualizan durante el proyecto:
-
Identificar riesgos
Analizar riesgos
Identificar Riesgos
Figura 2
Estos procesos interactan entre s y tambin con los procesos de las dems reas. Cada
proceso puede implicar el esfuerzo de una o ms personas o grupos de personas,
LNCS
12
Instituto Nacional
de Tecnologas
de la Comunicacin
dependiendo de las necesidades del proyecto. Cada proceso tiene lugar por lo menos una
vez en cada proyecto y se realiza en una o ms fases del proyecto, si el proyecto se
encuentra dividido en fases.
3.1.
Una planificacin cuidadosa y explcita mejora la posibilidad de xito de los otros cinco
procesos de gestin de riesgos. La planificacin de la gestin de riesgos es el proceso de
decidir cmo abordar y llevar a cabo las actividades de gestin de riesgos de un proyecto.
Es importante planificar y realizar una aproximacin de las tareas relacionadas con la
gestin de riesgos de un proyecto y realizar revisiones sobre dichas actividades a lo largo
del proyecto.
ENTRADAS
SALIDAS
Factores ambientales de la
empresa.
Polticas y estndares de la
organizacin.
Enunciado
proyecto.
Estructura
de
desglosada (WBS)
del
Tabla 2
alcance
HERRAMIENTAS
-
Reuniones y
planificacin
anlisis
de
del
tareas
3.2.
IDENTIFICAR RIESGOS
El proceso de identificacin de riesgos consiste en determinar cules son los riesgos que
podran afectar a los proyectos y en documentar sus caractersticas. Los roles que
normalmente estn involucrados en este proceso son el jefe del proyecto, los miembros del
LNCS
13
Instituto Nacional
de Tecnologas
de la Comunicacin
equipo del proyecto, el equipo de gestin de riesgos (si se asigna uno), expertos en la
materia ajenos al equipo del proyecto, clientes, usuarios finales, otros jefes de proyectos,
interesados y expertos en gestin de riesgos. Si bien estos miembros del personal son a
menudo participantes clave de la identificacin de riesgos, se debera fomentar la
identificacin de riesgos por parte de todo el personal del proyecto.
Entradas
Salidas
Categora de riesgos
Clasificacin de fuentes de
riesgos
Factores ambientales de la
empresa
Activos de los procesos de la
organizacin
Enunciado del alcance del
proyecto
Plan de gestin de riesgos
Plan de gestin de proyectos
(WBS, agenda, recursos,
requisitos, alcance, diseo,..)
Informacin histrica:
lecciones aprendidas en
otros proyectos
Tabla 3
Registro de riesgos
o Riesgos identificados
o Disparadores
o Suposiciones
Herramientas
-
Registro de riesgos
Artefactos para la
identificacin de riesgos
(hoja de clculo)
Revisiones de
documentacin
3.3.
Identificar riesgos
Considerar fuentes de riesgos internos y externos
Categorizacin de riesgos
Identificacin de disparadores
Consolidacin de riesgos
ANALIZAR RIESGOS
El anlisis de riesgos evala los riesgos identificados en la fase anterior para determinar la
probabilidad de que ocurran, el impacto del riesgo, el impacto acumulativo de mltiples
riesgos y la prioridad de cada riesgo.
Las actividades relacionadas con el anlisis de riesgos estn divididas en tres categoras:
-
LNCS
14
Instituto Nacional
de Tecnologas
de la Comunicacin
El anlisis de riesgo debera ser revisado a travs del proyecto y ajustado en funcin de los
cambios que se vayan produciendo sobre los riesgos del proyecto. Mientras se lleva a cabo
el anlisis de riesgos, es importante permanecer dentro del alcance tal y como se defini en
el plan de gestin de riesgos.
Entradas
-
Salidas
Tabla 4
Herramientas
-
Evaluacin de probabilidad
e impacto de los riesgos.
Matriz de probabilidad e
impacto.
Evaluacin de la calidad de
los datos sobre riesgos
Categorizacin de riesgos
Evaluacin de la urgencia
de riesgos
Tcnicas de anlisis
cuantitativo de riesgos (y
cualitativo)
Existen tres categoras en las que se dividen las tareas relacionadas con el anlisis de
riesgos.
-
3.4.
Instituto Nacional
de Tecnologas
de la Comunicacin
Salidas
-
Tabla 5
Herramientas
-
Registro de riesgos
Estrategias para riesgos
Estrategia de respuesta
para contingencias
3.5.
LNCS
16
Instituto Nacional
de Tecnologas
de la Comunicacin
Tabla 6
Salidas
-
Herramientas
-
Registro de riesgos
Auditoras de los riesgos
Medicin del rendimiento
Reuniones sobre el estado
de la situacin
Los planes de respuesta de riesgos deben ser evaluados de forma continua, y actualizados
a lo largo de la implementacin del proyecto. Debe documentarse cundo y cmo se ha
llevado a cabo en el plan de gestin de riesgos. Es muy importante valorar el efecto que
produce el plan de respuesta a los riesgos para realizar ajustes e incluso actualizar dicho
plan para realizar una gestin de riesgos efectiva.
El registro de riesgos y su efectividad deberan evaluarse segn se indica a continuacin:
-
3.6.
Qu se ha hecho bien
Qu deberamos haber hecho mejor o de otra forma
Podran hacerse posibles mejoras o cambios en el proceso de gestin de riesgos y
en las herramientas existentes.
LNCS
17
Instituto Nacional
de Tecnologas
de la Comunicacin
Entradas
-
Salidas
Tabla 7
Lecciones aprendidas
documentadas en un informe del
cierre del proyecto.
Mejoras registradas para el
proceso, plantillas y herramientas
de la gestin de riesgos
Mejoras registradas para otros
procesos del proyecto, plantillas y
herramientas
Herramientas
-
Registro de riesgos
Las tareas relacionadas con el cierre del proceso de gestin de riesgos son:
-
LNCS
18
Instituto Nacional
de Tecnologas
de la Comunicacin
4.
Existen distintos modelos que pueden proporcionar informacin relativa a buenas prcticas
para la implementacin de la gestin de riesgos. Entre ellos se encuentran CMMI, SPICE,
PMBOK o PRINCE2.
CMMI y SPICE son modelos de mejora de procesos que describen los procesos que una
organizacin debe ejecutar para la adquisicin, desarrollo y mantenimiento de productos y
servicios software. Ambos modelos contemplan, entre sus reas de proceso dedicadas a la
gestin de proyecto, la gestin de riesgos. Para implementar correctamente esta rea,
ambos modelos proponen una serie de prcticas a seguir.
Segn SPICE, la gestin de riesgos consiste en identificar nuevos riesgos, trabajar para
mitigarlos de forma efectiva y evaluar el xito de los esfuerzos de mitigacin. Para ello, hay
que llevar a cabo las siguientes prcticas:
-
Identificar riesgos
Analizar riesgos
Para llevar a cabo con xito una gestin de riesgos, CMMI propone las siguientes
prcticas:
-
LNCS
19
Instituto Nacional
de Tecnologas
de la Comunicacin
o
-
Mitigar riesgos
o
Por otro lado, tenemos dos mtodos orientados a la gestin de proyecto que son una clara
referencia en este mbito.
PRINCE2 es un mtodo estructurado para una gestin de proyectos efectiva sobre todo tipo
de proyectos, no solamente para sistemas de informacin, aunque la influencia de esta
industria sobre la metodologa es clara. PRINCE2 es claramente un ciclo de vida de
proyecto basado en seis grandes procesos que se ejecutan desde el comienzo del
proyecto hasta el cierre del proyecto.
PMBOK, a diferencia de PRINCE2, consiste en 12 captulos que describen funciones
basadas en reas de conocimiento con ilustraciones de sus respectivos procesos de gestin
de proyecto y descripciones narrativas en forma de entradas, herramientas y tcnicas, y
salidas. Una de estas reas de conocimiento es la gestin de riesgos.
La planificacin basada en productos es una caracterstica clave de PRINCE2, poniendo el
foco sobre los productos que se van a entregar y en su calidad, entendiendo por producto
cualquier documento o parte del software. Sin embargo, en el PMBOK la planificacin es
tratada como una parte clave de las habilidades de la gestin de un proyecto. Es uno de los
5 grupos de proceso aplicados a cada fase y es reconocido como un esfuerzo que va en
progreso a lo largo de la vida del proyecto.
PRINCE2 y PMBOK tienen enfoques muy diferentes. PMBOK se centra en trasmitir el
contenido de cada rea de conocimiento, no siendo tan efectivo al proporcionar guas al
ejecutar un proyecto en particular. Por otra parte, como el enfoque que da PRINCE2 est
orientado al ciclo de vida, es difcil ajustarlo a cada rea de conocimiento.
LNCS
20
Instituto Nacional
de Tecnologas
de la Comunicacin
5.
REFERENCIAS
A. Abran, J.W. Moore, P. Bourque, R. Dupuis, Guide to the Software Engineering Body of
Knowledge, IEEE Computer Society, 2004.
Andrea Golze, Charlie Li y Shel Prince, Optimize Quality for Business Outcomes - A
practical approach to software testing (2005)
Boehm, Barry, Software Risk Management, (1989)
Dorothy Graham, Erik Van Veenendaal, Isabel Evans y Rex Black, Foundations of Software
Testing - ISTQB Certification (2007)
INTECO, Gua de mejores prcticas de calidad de producto, 2007.
Jones, Capers, Assessment and Control of Software Risks, (1994)
K.E. Emam, J.N. Drouin, W. Melo, SPICE: The Theory and Practice of Software Process
Improvement and Capability Determination, IEEE Computer Society Press, 1998.
M.B. Chrissis, M. Konrad, S. Shrum, CMMI Second Edition. Guidelines for Process
Integration and Product Improvement, Addison-Wesley, 2007.
Enlaces
PMI - Project Management Institute, www.pmi.org
PRINCE2 - PRojects IN Controlled Environments, www.prince2.com/
SEI - Software Engineering Institute, www.sei.cmu.edu/
LNCS
21