1-Análisis Cualitativo

2-Análisis Cuantitativo

Análisis cuantitativo

El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento

de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se
encarga de asignar un valor numérico a las variables, e intenta replicar la realidad
matemáticamente.
Un modelo cuantitativo habitual es aquel en el que las consecuencias de la
materialización de amenazas se asocian a un determinado nivel de impacto en función
de la estimación del coste económico que suponen para la organización
En resumen, el análisis de riesgo cuantitativo se ocupa específicamente de la revisión
cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias,
determinando numéricamente la frecuencia de ocurrencia de una amenaza, el valor
monetario del activo, el impacto económico y el daño producido.

el análisis cuantitativo del riesgo a menudo sucede al análisis cualitativo del riesgo,
aunque ambos procesos pueden llevarse por separado o en forma simultanea. En
algunos proyectos, el equipo puede solamente ejecutar el análisis cualitativo. La
naturaleza del proyecto y la disponibilidad de tiempo y dinero influyen en el tipo de
técnica a utilizar. Los proyectos grandes y complejos que involucran tecnología de
punta requieren la aplicación de técnicas cuantitativas. Las principales técnicas para el
análisis cuantitativo exigen la recolección de datos, la aplicación de técnicas
cuantitativas, y técnicas de modelamiento. Las técnicas de análisis cuantitativo más
utilizadas son: el análisis de árboles de decisión, la simulación, y el análisis de
sensibilidad.

Análisis cuantitativo de riesgo

El análisis de riesgo cuantitativo es la evolución matemática de la probabilidad de cada

riesgo y sus consecuencias en las salidas del proyecto. El análisis de riesgo cuantitativo
utiliza técnicas para:

Determinar la probabilidad de conseguir los objetivos específicos del proyecto

Cuantificar el valor esperado del proyecto y sus probabilidades, y determinar el coste y

la programación para reservas de contingencia

Identificar objetivos de coste, cronograma o alcance realistas y viables

Determinar la mejor decisión de dirección de proyectos cuando algunas condiciones o
resultados son inciertos

El análisis de riesgos cuantitativo generalmente sigue al análisis de riesgos cualitativos,

aunque en ocasiones se lleva a cabo directamente tras la identificación de riesgos. Los
elementos de riesgos complejos pueden requerir una repetición del análisis mediante
herramientas de software sofisticadas. El análisis cuantitativo de riesgos debe repetirse
después de la planificación de la respuesta a los riesgos, también como parte del
seguimiento y control de riesgos, para determinar si el riesgo general del proyecto ha
sido reducido satisfactoriamente. Las tendencias pueden indicar la necesidad de más o
menos acciones de gestión de riesgos.

El análisis cuantitativo puede ser complicado por una serie de factores:

Los riesgos pueden interactuar de formas no esperadas

Un único evento puede causar múltiples efectos

Las oportunidades (reducir coste) para un involucrado en el negocio, pueden ser un

riesgo para otro (reducir beneficios)

No todos los riesgos son cuantificables, algunos pueden definirse de forma cualitativa

Las técnicas matemáticas utilizadas pueden dar una falsa impresión de la precisión y la
fiabilidad

En las situaciones anteriores, es necesario que el equipo de proyecto utilice su mejor

juicio, documentando sus valoraciones y todos los factores relacionados.

a) Determinar el impacto de ocurrencia de riesgos de forma cuantitativa

Durante esta etapa, el impacto del riesgo debería cuantificarse en términos monetarios
cuando sea posible. El impacto podría afectar al coste, a la programación, al alcance, a
la calidad o a una combinación de los factores anteriores. El equipo debería definir no
solo cómo de grande es el impacto sino también qué elementos son los más afectados y
documentar los resultados en el registro de riesgos.

Por ejemplo si un riesgo implicara un coste adicional de 5000 euros, esta cantidad será
identificada como el impacto asignado a dicho riesgo. O si por ejemplo un determinado
evento causase un aumento de una semana en la agenda, también sería considerado
como impacto de un riesgo y como tal también debería ser asociado a un coste, por
ejemplo, el coste que implicaría cubrir los recursos que se van a utilizar durante esa
semana. Por lo tanto, los impactos del riesgo normalmente deberían representarse en
forma de costes, siempre aplicando ciertos márgenes.
b) Estimar la probabilidad de ocurrencia de riesgo de forma cuantitativa

Durante esta etapa, la probabilidad de ocurrencia del riesgo está cuantificada, dando así
un valor porcentual real.

c) Calcular el valor esperado

El valor esperado es un dato estadístico que proporciona significado acerca de las

pérdidas o ganancias que se tendrían en caso de que el riesgo ocurriese. Esto deriva de
un simple cálculo:

Valor esperado = Impacto del riesgo * Probabilidad del riesgo

El impacto del riesgo debería indicarse en formato monetario o en duración

días/semanas, y la probabilidad de riesgo será un número dentro del rango 0.01 - 0.99.

También podría tenerse en cuenta un factor para cuantificar aún más el riesgo, en cuyo
caso se utilizaría la siguiente fórmula:

Impacto total de riesgo = Impacto * Probabilidad * Factor

Si se utilizan métodos cuantitativos para determinar la probabilidad y el impacto del

riesgo, el proceso no es tan sencillo. En este caso la valoración a realizar es subjetiva y
el único método que puede utilizarse es el método ‘juicio de expertos’ comentado con
anterioridad, donde los expertos en la materia expresan sus opiniones sobre la
probabilidad, el impacto y el riesgo total asociado a ese determinado riesgo.

Es importante ir documentando el proceso de análisis (tanto cualitativo como

cuantitativo) y la priorización de los riesgos. Podría utilizarse para ello un registro de
riesgos, y así ir registrando las conclusiones obtenidas del análisis de riesgos,
incluyendo la prioridad, el impacto y la categoría de cada impacto.

En los procedimientos de gestión de riesgos se podrían definir, por ejemplo, la siguiente

información como resultado del análisis de riesgos:

Probabilidad cualitativa (bajo, medio, alto, muy alto)

Impacto cualitativo (bajo, medio, alto, muy alto)

Impacto del coste (si aplica)

Categorías de riesgos (bajo, medio, alto; Matriz P-I)

Probabilidad cuantitativa (%)

Impacto cuantitativo (Euros)

Valor esperado (si aplica)

Análisis cualitativo

Las métricas asociadas con el impacto causado por la materialización de las

amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas se
asocian a un determinado nivel de impacto en función de multitud de factores
(Pérdidas económicas efectivas, pérdida de conocimiento, pérdida de
competitividad, interrupción de negocio, pérdida de imagen, etc)

el análisis cuantitativo de riesgos involucra evaluar la probabilidad y el impacto de la

identificación de riesgos, para deterdeterminar su magnitud y prioridad. Para poder
evaluar cuantitativamente los riesgos se cuenta fundamentalmente con tres
herramientas: La matriz de probabilidad e impacto para calcular los factores de riesgos,
la técnica de seguimiento de los diez factores de riesgo más importantes, y la evaluación
del juicio de expertos.

Determinar el impacto de ocurrencia de riesgos de forma cualitativa

El impacto es una estimación de la ganancia o pérdida que se sufriría en caso de que

el riesgo ocurriese. El equipo del proyecto determina el impacto que tendrían los
riesgos sobre todas las áreas de contrato relacionadas si el evento ocurriese.
El impacto podría afectar al coste, programación o alcance de la calidad, o a una
combinación de dichos factores. El equipo debería definir no sólo cómo de grande es
el impacto, sino también cuál es el elemento del proyecto más afectado.
Para soportar el análisis del impacto cualitativo, se podrían definir cuatro niveles de impacto de
riesgos. La herramienta de registro de riesgos elegida debería permitir registrar uno de los
siguientes valores para estimar el impacto de cada riesgo desde un punto de vista cualitativo:

Impacto Descripción

Muy alto Objetivos críticos (la mayor parte de ellos) del proyecto están seriamente impactados o no se
cumplirán (coste, calendario, calidad o satisfacción del cliente).

Alto Objetivos críticos (muchos de ellos) del proyecto están amenazados

Medio Algunos objetivos del proyecto pueden verse afectados.

Bajo Fácilmente remediable. Los objetivos del proyecto no serán afectados.

Estimar la probabilidad de ocurrencia de riesgo - Cualitativo

El jefe de proyecto y el equipo analizan los riesgos identificados para determinar la

probabilidad de que ocurra cada evento. Normalmente es más simple y más rápido
hacerlo de forma cualitativa utilizando etiquetas de probabilidad como las que se
muestran más abajo. El uso de etiquetas de probabilidad estándar asegura
consistencia dentro de los equipos y a través de proyectos.
En el procedimiento de gestión de riesgos se determinarían los valores a usar para estimar la
probabilidad de cada riesgo desde un punto de vista cualitativo. La herramienta de registro de
riesgos debería permitir el registro de uno de los siguientes valores para cada riesgo:

Probabilidad Descripción Probabilidad

recomendada

Muy alta 85% + Es muy probable que ocurra el evento. 0.90

Alta 65% - < 85% El evento ocurrirá probablemente 0.70

Media 35% - < 65% El evento podría ocurrir. 0.45

Baja < 35% Aunque es improbable que ocurra el evento, podría ocurrir. 0.15

Determinar la categoría y prioridad del riesgo

Aunque es importante identificar el mayor número posible de riesgos del proyecto, en

muchos casos el número de riesgos identificados puede ser abrumador, y lógicamente
el equipo de trabajo no podrá realizar un seguimiento ni una gestión efectiva de todos
ellos. Una solución sería agrupar los riesgos en función de sus prioridades de tal forma
que el equipo pueda centrarse en los más críticos.
La evaluación de la importancia de cada riesgo y, por consiguiente, de su prioridad,
generalmente se realiza usando una matriz de probabilidad e impacto (matriz P-I).
Esta matriz asignará categorías a los riesgos basándose en la combinación de dichos
factores (probabilidad e impacto) que llevan a la calificación de los riesgos como de
prioridad baja, moderada o alta. Pueden usarse términos descriptivos o valores
numéricos, dependiendo de la preferencia de la organización. Las reglas para calificar
los riesgos pueden adaptarse al proyecto específico en el proceso planificación de la
gestión de riesgos.
Una vez asociado a cada riesgo un valor estimado cualitativo de probabilidad e
impacto (explicado en el apartado anterior: análisis cualitativo de riesgo), se
propone un ejemplo de una Matriz P-I con tres distintas clasificaciones de riesgos,
basados en niveles de probabilidad e impacto de riesgo, para definir el valor cualitativo
de cada riesgo.
De esta forma podemos seleccionar qué riesgos merecen un mayor estudio, esfuerzo
y respuesta. Algunos riesgos bajos o incluso medios, son posibles candidatos a ser
tratados como suposiciones. Es recomendable realizar un análisis cualitativo de las
suposiciones que haya en el proyecto ya que pueden convertirse en riesgos.
En caso de que haya un número alto de riesgos dentro de la categoría ‘Alto’, es
recomendable priorizar dichos riesgos identificando los “n” riesgos más altos dentro de
esta categoría, siendo este número determinado por la organización en función de su
situación. Entre los indicadores de prioridad pueden incluirse:
1 Las categorías determinadas para el riesgo
2 El impacto de los riesgos identificados
3 El número de riesgos
4 El tipo de riesgos
5 El tiempo para dar una respuesta a los riesgos

El resto de riesgos no seleccionados se deberán vigilar en la fase de monitorización y

control ya que pueden cambiar su estado (aumente su probabilidad o cambie su
impacto potencial).

Análisis de Riesgo, Gestión del Riesgo, Peligros, Activos y Vulnerabilidades

Los riesgo que cada compañía puede encarar y tolerar son muy diferentes; la naturaleza
del negocio o la hostilidad del ambiente pueden ser factores importantes. Los riesgos
más comunes pueden ser:
Daño físico: desastres naturales, guerra, actos de terrorismo, fuego, inundaciones,
vandalismo, pérdida de poder, robo.
Malfuncionamiento de equipo: falla de computadores, ruteadores, puentes, pérdida de la
conectividad, pérdida de la energía.
Error humano: actividades que pueden corromper o publicar información
Errores de aplicación: errores de cómputo, errores en los búferes, corrupción de datos,
errores de interoperabilidad.
Los peligros requieren ser identificados, clasificados por categorías junto con la pérdida
potencial de las pérdidas. El riesgo en un ambiente real es difícil de medir pero
utilizando categorías se pueden obtener decisiones que ayudarán.
Teniendo en cuenta que riesgo es la posibilidad de que un evento suceda podemos
definir a la Gestión del Riesgo como el proceso de identificar, censar y reducir el riesgo
a un nivel aceptable e implantar los mecanismos correctos para mantener el nivel
deseado. En materia de seguridad informática no existe nada 100% libre de riesgo,
todo ambiente tiene vulnerabilidades y niveles de riesgo. La habilidad del profesional de
la seguridad informática es poder identificarlos, obtener su probabilidad de ocurrencia y
el daño que pudieran producir; mediante estas acciones se podrán elegir los pasos
correctos para poder reducirlo.
El riesgo no está relacionado en todas las ocasiones con la tecnología, existe riesgo que
se puede presentar de otras formas. El riesgo financiero es un ejemplo; evaluación de
proyectos y elección de los mismos dentro de un portafolio de proyectos es una
decisiones que debe ser tomada cuidadosamente. La elección incorrecta de proyectos a
invertir o la cantidad inapropiada de inversión puede llevar pérdidas a la compañía o
exponerla a un riesgo innecesario a cambio de un rendimiento muy bajo. El lanzamiento
de un producto nuevo al mercado conlleva acciones y estudios que permiten conocer el
público objetivo, saber su preferencia y obtener así un plan de negocios adecuado con
riesgo minimizado; introducir sin hacer los respectivos estudios implica la aceptación o
negligencia a una situación con gran exposición que pueden ser causa de defectos del
producto, mala publicidad, mala ubicación del público o simplemente por situaciones
circunstanciales no ser el momento adecuado.
El proceso de gestión del riesgo se divide en seis pasos:
Identificación del riesgo
Administración del riesgo
Análisis cualitativo del riesgo
Análisis cuantitativo del riesgo
Plan de respuesta al riesgo
Monitoreo y control del riesgo
La siguiente figura muestra cómo la gestión del riesgo es un proceso cíclico que no
tiene fin. La continua repetición del mismo es importante para ajustarse a los cambios
que la compañía en donde se implementa está enfrentando.

Dentro de la gestión de riesgo existen actividades de análisis del mismo. Mientras que la
gestión del riesgo es un proceso, el análisis es una metodología que ayuda a identificar
los activos y asociarles riesgos y daños potenciales si no se toman contra medidas
adecuadas.
El análisis de riesgo es utilizado para asegurar que los esfuerzos de seguridad tienen una
relación costo – beneficio aceptable, que las acciones son relevantes, están realizadas en
tiempo y responden a verdaderos peligros. Si estos estudios no se realizaran y las
actividades de seguridad se llevaran por acciones impulsivas y empíricas no se podría
saber si el esfuerzo mayor protege al activo más preciado o está mitigando una
vulnerabilidad con alto riesgo de poderse materializar. Sea el caso de una dependencia
gubernamental encargada de realizar obtener las declaraciones de sus contribuyentes; la
gran utilización de la tecnología es evidente, si ella no se podría recaudar y el gobierno
tendría pérdidas en impuestos. Para realizar todo el proceso es necesario contratar
proveedores externos, expertos en tecnología y logística. La interacción de todos ellos
es lo que hace posible la recaudación. El público interno que maneja esta dependencia
de gobierno es altamente técnico y la información que manejan altamente sensible y
expuesta. Sin hacer un estudio de riesgos se podría implantar tantos detectores de
intrusos y firewalls se supusiera fueran necesarios para filtrar la navegación de los
proveedores. Esta acción no necesariamente es la que protege al activo más preciado (la
información de contribuyentes) sino que sólo controla un recurso que tal vez encerrando
en un perímetro fuera suficiente en lugar de hacer todo un despliegue económico y
tecnológico.
Cuando un profesional de la seguridad realice un análisis de riesgo, al final de ejecutarlo
deberá saber la siguiente información:
Activos identificados y su valor asociado,
Riesgos identificados,
Peligros potenciales con su frecuencia de ocurrencia y daños potenciales cuantificados,
Contra medidas que mantengan un balance costo – beneficio entre el
impacto obtenido y el costo de la implantación

Al final, el análisis de riesgos permitirá a la alta dirección tomar conciencia y decidir

qué riesgos podrán ser aceptados, transferidos, mitigados o ignorados con la premisa de
estar enterados de las consecuencias.
Para poder realizar un análisis de riesgos se deben realizar los siguientes pasos:
Entender el objetivo y alcance del análisis,
Estimar y asignar valores a los activos que son protegidos,
Identificar cada peligro, vulnerabilidad y agente,
Estimar la pérdida total potencial de cada riesgo,
Estimar la probabilidad y frecuencia de que cada riesgo pudiera materializarse,
Sugerir contra medidas y remedios que sean candidatos a ser implantados para mitigar
los riesgos encontrados.
ANÁLISIS CUALITATIVO DEL RIESGO
El análisis cualitativo del riesgo es el proceso por el cual se evalúa el impacto y laprobabilidad
de los riesgos identificados. Este proceso prioriza los riesgos deacuerdo a su efecto
potencial en los objetivos del proyecto. El análisis cualitativode los riesgos es una forma de
determinar la importancia de abordar los riesgosespecíficos y de guiar las respuestas al
riesgo. La criticidad puntual de lasacciones relacionadas con los riesgos puede magnificar
la importancia de unriesgo. La verificación de la calidad de la información disponible
ayuda, también, amodificar la evaluación del riesgo. El análisis cualitativo de los riesgos
requiereque se estudien la probabilidad y las consecuencias de los riesgos que se
esténconsiderando, mediante el empleo de métodos y herramientas de análisiscualitativo
establecidos. Las tendencias en los resultados cuando se repiten losanálisis cualitativos,
pueden indicar a necesidad de más o menos acción degestión del riesgo. El uso de estas
herramientas ayuda a corregir los sesgos quesuele haber en un plan de proyecto. El análisis
cualitativo de los riesgos debe serrevisado durante el ciclo de vida del proyecto para estar al día de
los cambios enlos riesgos del proyecto. Este proceso puede conllevar un mayor estudio en
elanálisis cuantitativo de los riesgos (11.4) o directamente a la planificación de lasrespuestas a
los riesgos (11.5).
Entradas para el Análisis Cualitativo de los Riesgos.1
Plan de gestión de riesgos.
Este plan se describe en la Sección 11.1.3.
.2
Riesgos identificados.
Se evalúan los riesgos descubiertos durante elproceso de identificación de riesgos en conjunto con
sus impactospotenciales para con el proyecto.
.3
Avance del proyecto.
La incertidumbre de un riesgo suele depender delavance del proyecto a través de su ciclo de vida.
En la parte inicial delproyecto, muchos riesgos aún no han aparecido, el diseño del proyecto
esinmaduro y puede haber cambios, lo que aumenta la probabilidad de que sedescubran más
riesgos.
.4
Tipo de proyecto.
Los proyectos de un tipo común o recurrente tienden atener una probabilidad mejor entendida de
la ocurrencia de los eventos deriesgos y sus consecuencias. Los proyectos que utilizan tecnología
deúltima generación o “la primera de su tipo” – o los proyectos altamentecomplejos – tienden a
tener más incertidumbre.
.5
Precisión de la información.
La precisión describe el grado hasta dondese conoce y se entiende el riesgo. Esta mide
el grado de informacióndisponible, como así mismo la confiabilidad de los datos. Se
debe evaluarademás la fuente de la información que se utilizó para identificar el riesgo.
.6
Escalas de probabilidad e impacto.
Estas escalas, tal como se señala enla Sección 11.3.2.2, han de utilizarse para evaluar las dos
dimensionesclaves del riesgo, descritas en la Sección 11.3.2.1.
.7
Supuestos.
Se evalúan como riesgos potenciales los supuestosidentificados durante el proceso de
identificación de los riesgos (verSecciones 4.1.1.5 y 11.2.2.4).
11.3.2 Herramientas y Técnicas para el Análisis Cualitativo de los Riesgos.1
Probabilidad e impacto del riesgo.
Se pueden describir la probabilidadlas consecuencias de los riesgos en términos cualitativos
como porejemplo: muy alto, alto, moderado, bajo y muy bajo.La
probabilidad del riesgo
es la posibilidad de que ocurrirá un riesgo.Las
consecuencias del riesgo
es el efecto en los objetivos del proyecto, si legara a ocurrir el evento de riesgo. Estas dos
dimensiones del riesgo se aplican a eventos de riesgos específicos, no a todo el proyecto. El
análisis de los riesgos utilizando la probabilidad y las consecuencias ayuda a identificar
aquellos riesgos que deben ser controlados o manejados de manera agresiva.
.2
Matriz de ponderación de probabilidad / impacto del riesgo.
Se puedeconstruir una matriz que asigne una ponderación a los riesgos (muy baja,

baja, moderada, alta y muy alta) a los riesgos o condiciones, sobre la basede combinar las
escalas de probabilidad e impacto. Los riesgos con altaprobabilidad y alto impacto, están
propensos a requerir un mayor análisis,incluida la cuantificación y una gestión agresiva del riesgo.
La ponderaciónde los riesgos se lleva a cabo utilizando una matriz y las escalas de riesgospara
cada uno de estos eventos o condiciones.

Naturalmente, la escala de probabilidad del riesgo oscila entre 0.0 (ningunaprobabilidad) y 1.0
(certeza). La evaluación de la probabilidad del riesgopuede ser difícil dado que se utiliza el
juicio experto, a menudo sin elbeneficio de la información histórica. Se podría utilizar una escala
ordinal,que represente valores de probabilidad relativa desde muy probable a casicierto.
De modo alternativo, se podrían asignar probabilidades específicas,utilizando una escala
general (por ejemplo: .1/ .3/ .5/ .7/ .9).La escala de impacto del riesgo refleja la gravedad de
su efecto en elobjetivo del proyecto. El impacto puede ser ordinal o cardinal, dependiendode la
cultura de la organización que realice el análisis. Las escalasordinales son simplemente valores
ordenados por rangos, como porejemplo: muy bajo, bajo, moderado, alto y muy alto. Las escalas
cardinalesasignan valores a estos impactos. Estos valores son generalmente lineales(por ejemplo:
.1/ .3/ .5/ 7./ .9/), pero suelen ser no lineales (por ejemplo,.05/ .1/ .2/ .4/ .8), lo que refleja el deseo
de la organización de evitar losriesgos de alto impacto. El intento de ambos enfoques o
metodologías esel de asignar un valor relativo al impacto para con los objetivos del proyectosi
llegara a ocurrir el riesgo en cuestión. Es posible desarrollar escalas biendefinidas, sean estas
ordinales o cardinales, utilizando las definicionesacordadas por la organización. Estas
definiciones mejoran la calidad de lainformación y hacen que el proceso sea más repetible.

11.4.1 Entradas para el Análisis Cuantitativo de los Riesgos.1

Plan de gestión de riesgos.
Este plan se describe en la Sección 11.1.3.
.2
Riesgos identificados.
Estos se describen en la Sección 11.2.3.1.
.3
Lista de riesgos priorizados.
Esta lista se describe en la Sección11.3.3.2.
.4
Lista de riesgos para análisis y gestión adicionales.
Este listado sedescribe en la Sección 11.3.3.3.
.5
Información histórica.
La información sobre proyectos terminadosanteriores y similares, los estudios realizados a
proyectos similares porespecialistas de riesgos y las bases de datos de riesgos que
pudieran estardisponibles a partir de fuentes propias o industriales (ver Sección 11.2.1.4.).
.6
Juicio experto.
La entrada puede provenir del equipo del proyecto, otrosexpertos en la materia de la organización
y de otros fuera de laorganización. Las demás fuentes de información incluyen a expertos
eningeniería o estadística (ver Sección 5.1.2.2.).
.7
Otros resultados de planificación.
Los resultados más útiles son la lógicadel proyecto y las estimaciones de duración que se
emplean paradeterminar los programas, el listado de EDT’s de todos los elementos
decosto con sus respectivas estimaciones y los modelos de objetivos técnicosdel proyecto.
11.4.2 Herramientas y Técnicas para el Análisis Cuantitativo de los Riesgos.1
Entrevista.
Las técnicas de entrevistas se utilizan para cuantificar laprobabilidad y las consecuencias de
los riesgos en los objetivos delproyecto. Una primera etapa en la cuantificación de los riesgos
puede seruna entrevista de riesgos con los accionistas del proyecto y los expertos enmaterias
particulares. La información necesaria depende del tipo dedistribuciones probabilísticas
que se emplearán. Por ejemplo, se recopilaríainformación sobre escenarios optimistas (bajo),
pesimistas (alto) y sobre losescenarios más probables en caso que se utilizarán
distribucionestriangulares; o bien sobre la media y la desviación estándar en el caso
dedistribuciones normales o normales logarítmicas. La
Figura 11-4
ilustraejemplos de estimaciones de tres puntos para una estimación de costos.

En el análisis cuantitativo de riesgos se suelen emplear distribucionesprobabilísticas continuas.

Las distribuciones representan tanto laprobabilidad como las consecuencias del componente del
proyecto. entrelos tipos de distribución comunes se incluyen: uniforme, normal, triangular,beta y
logarítmica normal. La
Figura 11-5
nos muestra dos ejemplos deestas distribuciones (en donde el eje vertical se refiere a la
probabilidad y eleje horizontal, al impacto).

Un componente importante de la entrevista de riesgos es la documentaciónde lo racional de los

rangos de riesgos, dado que ello puede conducirnos aestrategias efectivas para la respuesta al
riesgo durante el proceso deplanificación de la respuesta al riesgo, descrito en la Sección 11.5
.2
Análisis de sensibilidad.
El análisis de sensibilidad ayuda a determinarcuáles riesgos tienen el mayor impacto
potencial en el proyecto. Esteanálisis revise el grado con el cual la incertidumbre de cada
elemento delproyecto afecta el objetivo que se está revisando, una vez que se colocanen sus
valores básicos todos los demás elementos inciertos.
.3
Análisis de árbol de decisiones.
El análisis de decisiones se estructurageneralmente como un árbol de decisión. El árbol de
decisión es undiagrama que describe una determinada decisión y las implicancias deelegir
una u otra de las alternativas disponibles. Este incorpora lasprobabilidades de riesgos y los
costos o recompensas de cada trayectorialógica de eventos y las decisiones futuras. La
solución del árbol de decisiónindica cuál de las decisiones arroja el mayor valor esperado para
elencargado de la toma de decisiones, una vez que se hayan cuantificadotodas las implicancias,
costos, recompensas inciertas y las decisionessubsecuentes. La
Figura 11-6
nos muestra un árbol de decisión.
.4
Simulación.
La simulación de un proyecto utiliza un modelo que traducelas incertidumbres especificadas a un
nivel de detalle en su impactopotencial en los objetivos que se expresan a nivel del proyecto total.
Lassimulaciones de proyectos son realizadas, por lo general, utilizando latécnica de Monte
Carlo.

En el caso de un análisis de riesgos de costos, la simulación puede utilizarcomo modelo a la

EDT tradicional del proyecto. Para el análisis de riesgosdel programa, se utiliza el
programa del Método de Diagramación dePrecedencias (MDP) (ver Sección 6.2.2.1).La
Figura 11-7
ilustra el resultado de una simulación de riesgos de costos.

A Guide to the Project Management Body of Knowledge (PMBOK®

Guide)
Edición 2000©2000, Instituto de Gestión de Proyectos, Four Campus Boulevard,
Newtown Square, PA 19073-3299 USA
174

11.4.3Resultados del Análisis Cuantitativo de los Riesgos.1

Listado priorizado de riesgos cuantificados.
Este listado de riesgosincluye a aquellos que representan la mayor amenaza o que implican
lamayor oportunidad para el proyecto, junto con una medida de su impacto.
.2
Análisis probabilístico del proyecto.
Las predicciones de los resultadosdel programa y de los costos potenciales del proyecto, que
listan lasposibles fechas de término o la duración del proyecto y los costos con susrespectivos
niveles de confianza.
.3
Probabilidad de lograrlos objetivos de costo y tiempo.
Con el uso delriesgo cuantitativo, es posible calcular la probabilidad de lograr los objetivosdel
proyecto de conformidad con el actual plan y con el conocimiento quehoy se tiene de los riesgos
que enfrenta el proyecto.
 .4
Tendencias de los resultados del análisis cuantitativo de los riesgos.
En la medida que se repite el análisis, puede hacerse notoria una tendenciade los resultados.