Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Elaboracion de La Metodologia de Gestion de Riesgo en Proyecto de Desarrollo de Software PDF
Elaboracion de La Metodologia de Gestion de Riesgo en Proyecto de Desarrollo de Software PDF
(UCI)
____________________________
Fausto Fernández
PROFESOR TUTOR
____________________________
Yuri Kogan
LECTOR No. 1
____________________________
Edgar Zamora
LECTOR No. 2
___________________________
Eddy Misael Castillo Brenes
SUSTENTANTE
- ii -
Dedicatoria
- iii -
Agradecimientos
- iv -
Índice de Contenidos
-v-
Índice de Figuras
- vi -
Índice de Cuadros
- vii -
Glosario
- viii -
Resumen Ejecutivo
La compañía CV3 cuenta hoy día con una metodología de gestión de proyectos.
No obstante, dicha metodología carece de los procedimientos para la gestión de
riesgos, haciendo de esta manera que los proyectos sean vulnerables a eventos
o condiciones que afecten el resultado final de los mismos.
El presente trabajo hizo uso del método analítico-sintético para formular una
solución al problema planteado. Se realizó una observación y examen de los
hechos, se hizo un análisis de los mismos y de la metodología disponible
sugerida por el PMI para subsanar la necesidad existente y mediante discusión,
entrevistas y el examen de información histórica se procedió a formular una
metodología según las necesidades de la empresa.
- ix -
La metodología propuesta para CV3 requirió que se adaptara a dos restricciones
que finalmente se traducían en tiempo: los proyectos de la compañía tienen una
duración de entre uno a tres meses; los clientes a veces se resisten a adoptar la
metodología debido a que perciben que se les quita tiempo de desarrollo. Por
este motivo se necesitó plantear una metodología les permitiera obtener
resultados con las restricciones de tiempo con las que cuentan actualmente.
Para ello se propuso primeramente utilizar el cuestionario de Identificación de
Riesgos basado en Taxonomía de Software, el cual tiene como ventaja su
relativamente rápida aplicación en comparación con otros métodos.
Adicionalmente no se incluyó en la metodología el análisis cuantitativo, dado que
CV3 por el momento no tiene destinado presupuesto para comprar herramientas
para dicho análisis, y hacerlo con herramientas como Excel u otros programas
no especializados son tareas que requieren bastante tiempo. Con este acuerdo
se desarrollaron tres documentos en los cuales quedó plasmada la metodología:
El Procedimiento de Gestión de Riesgos, La Plantilla del Plan de Gestión de
Riesgos y La Plantilla del Registro de Riesgos. Finalmente se aplicó la
metodología a un proyecto en curso no sólo para evaluar su practicidad sino
también para quedar como futura referencia.
-x-
Capítulo I. INTRODUCCION
1.1. Antecedentes
- xi -
12
1.2. Problemática
1.3. Justificación
1.4. Objetivos
2.1.1. Introducción
a. Servicios de Consultoría:
• Diseño de soluciones
• Optimización de Infraestructura Tecnológica
• Migración / actualización de Software
• Integración de aplicaciones tradicionales con servicios de Web
• Interfaces de Lotus con Oracle, DB2, SQL Server, SAP o JDBC.
• Diseño de Aplicaciones
16
c. Servicios de Capacitación
• Oficina de Proyectos: 2
• Área Microsoft (además del Socio encargado) 1
• Área Paquetes (además del Socio encargado) 2
• Área Lotus Notes (además del Socio encargado) 14
• Personal de apoyo: 3
17
Finalmente, el IPMA (IPMA, 2003) define el éxito del proyecto como la positiva
valoración o aceptación de los productos o servicios generados por un proyecto
por parte de las diferentes partes interesadas del proyecto.
El Ciclo de Vida del proyecto es un medio que utilizan las organizaciones y los
directores de proyectos para facilitar la gestión de proyectos, dividiéndolo en
fases que conectan el inicio de un proyecto con su fin. Algunas organizaciones
21
FIGURA 3 Curva del Costo del Proyecto en ciclo de Vida (PMI, 2004)
proceso normalmente se repiten dentro de cada una de esas fases a través del
ciclo de vida del proyecto para llevar de manera efectiva al proyecto a su
finalización. Adicionalmente, los grupos de procesos son rara vez discretos y
aislados. Ellos son eventos que se entrelazan entre sí, tal y como lo muestra la
figura # 4. (PMI, 2004)
Existen nueve áreas que afectan todo proyecto. Las áreas de conocimiento de la
dirección de proyectos, se utilizan para organizar los 44 procesos de la dirección
de proyectos de los 5 grupos de procesos descritos anteriormente. (PMI, 2004)
Los riesgos son inherentes a los proyectos. Tomar los riesgos es necesario y
esencial para progresar, y los fracasos son clave para el aprendizaje. (Carr;
Konda; Monarca; Ulrich; Walker, 1993)
Gestión de los
Gestión de la Requerimientos
Gestión de Riesgos Disponibilidad Recursos
Calidad Estandarizados Productividad Humanos
Revisión de Documentación:
Tormenta de Ideas:
La meta de la tormenta de ideas es obtener una lista de los riesgos del proyecto.
Los miembros del proyecto realizan la actividad, usualmente con miembros
interdisciplinarios y expertos que no pertenecen al equipo, todo bajo el liderazgo
de un facilitador. Se puede utilizar un RBS o algún otro conjunto de categorías
de riesgos como marco de trabajo inicial. Los riesgos son entonces identificados
y clasificados por tipo de riesgo y sus definiciones son refinadas (PMI, 2004).
Identificación Causal:
Entrevista:
Evidentemente, los riesgos que deben recibir la mayor atención son los que
tendrían tanto el mayor impacto sobre los resultados del proyecto como los de
mayor probabilidad de ocurrencia. (PMI, 2004)
Técnicas y Herramientas:
3.3. Población
Tal como fue mencionado en el capítulo anterior, se hizo uso del método
analítico para descomponer los procesos de gestión de riesgos del PMI en
elementos más simples de comprender para los interesados de la empresa de
CV3.
4.1.1. Objetivo:
sus objetivos sean alcanzados. Este objetivo se logra mediante las siguientes
actividades:
4.1.2. Procedimiento:
Los siguientes pasos deberán ser ejecutados para administrar los riesgos del
proyecto. Cada paso en este procedimiento define las entradas y salidas de la
información:
5. Seguimiento y Control.
o Monitorear el entorno y registrar la información recolectada.
o Analizar la información y actualizar los registros de riesgos.
o Cuando los disparadores se han activado, monitorear los riesgos
en caso de que se conviertan en hechos. El monitoreo incluye
también a los disparadores que podrían iniciar la ejecución del plan
de contingencias.
o Ejecutar los planes de respuesta y evaluar los resultados.
o Comunicar los resultados.
o Analizar nuevamente la lista de riesgos existente y actualizar
según el entorno actual.
o Realizar una nueva labor de identificación en caso de que nuevos
riesgos sean identificados.
Entradas:
• Plan de Gestión de Riesgos.
• Plan de Respuesta de Riesgos.
• Registro de Riesgos
Salidas:
• Plan de Gestión de Riesgos actualizado.
• Registro de Riesgos actualizado.
• Comunicaciones.
4.1.3. Responsabilidades:
Las plantillas diseñadas para CV3 cuentan con instrucciones para su utilización.
No se desarrollaron documentos separados sino que fueron incluidos dentro de
las plantillas como guías para su uso diario. Entre la información incorporada se
encuentra el objetivo de los documentos, la estructura de los documentos y
secciones, definiciones de los campos, parámetros, valores permitidos, entre
otros. Ver los anexos 5 y 6 (Plantilla Plan de Gestión de Riesgos y Plantilla
Registro de Riesgos) para mayores detalles.
54
4.3.1.1. Propósito
4.3.1.2. Audiencia
• Project Manager
• Project Team
• Patrocinadores
• Interesados
• Identificación de Riesgos:
• Análisis de Riesgos:
• Plan de Respuesta:
• Seguimiento y Control:
4.3.1.5. Apéndices
internas. garantizar el
buen
funcionamiento
del sistema.
Para este proyecto, CV3 programó reuniones semanales para las tareas de
seguimiento y control.
64
El ejercicio sirvió no sólo para ilustrar la metodología sino también como una
futura referencia, lo cual era el objetivo de realizar dicha actividad.
67
Capítulo V. CONCLUSIONES
ANEXOS
73
Específicos:
• Desarrollar los procedimientos necesarios para realizar una
gestión profesional de riesgos en los proyectos de CV3, utilizando
los procesos sugeridos por el PMBOK y adicionando herramientas
específicas para los proyectos de software en ésta área.
• Desarrollar los instructivos y las plantillas que serán utilizados en
la aplicación de la metodología de gestión de riesgos en los
proyectos de CV3 para documentar los registros de la
metodología planteada. Desarrollar las plantillas que serán
utilizados en la aplicación de la metodología de gestión de riesgos
en los proyectos de CV3 para documentar los registros de riesgos
de la metodología planteada.
• Desarrollar un plan de capacitación para entrenar a los
administradores de proyectos de CV3 a aplicar la metodología en
sus proyectos.
• Aplicar la metodología de gestión de riesgos a uno de los
proyectos de CV3 para documentar un caso de implementación
de la metodología con el fin de utilizarlo como futura referencia
para otras implementaciones.
75
Restricciones:
• El tiempo de implementación será de 3 meses.
• No existen limitaciones de presupuesto.
ANEXO 3 – CRONOGRAMA
80
81
82
83
84
1. Objetivo:
Minimizar el impacto de los riesgos negativos (amenazas) y maximizar los riesgos positivos
(oportunidades) identificados para el proyecto de manera que sus objetivos sean alcanzados.
Este objetivo se logra mediante las siguientes actividades:
2. Audiencia
3. Historial de Revisión:
4. Procedimiento:
Los siguientes pasos deberán ser ejecutados para administrar los riesgos del proyecto. Cada
paso en este procedimiento define las entradas y salidas de la información.
Analizar los Riesgos • Analizar los Riesgos • Plan de Gestión de • Lista Priorizada
Cualitativamente. Cualitativamente Riesgos. de riesgos.
según su • Lista de Riesgos
probabilidad e Identificados.
impacto.
• Determinar su rango
86
global y su prioridad
basado en el
análisis de
probabilidad e
impacto.
• Actualizar registro
de riesgos.
Plan de Respuesta • Para las amenazas • Plan de Gestión de • Plan de
de Riesgos. dentro del rango Riesgos. Respuesta de
“Alto”, se deben • Lista priorizada de Riesgos.
escoger las Riesgos.
siguientes
estrategias:
Eliminar, Mitigar,
Transferir. Para las
oportunidades con
el mismo rango
escoger una de las
siguientes
estrategias: Mejorar,
Compartir, Explotar.
• Para los riesgos a
los cuales se le ha
definido una
estrategia, se debe
definir un plan de
respuesta.
• Definir una reserva
para contingencias
para los riesgos
aceptados, y un plan
de acción para ser
ejecutado cuando
los riesgos
aceptados se
convierten en
hechos.
• Asignar
responsables para
cada uno de los
riesgos.
Seguimiento y • Monitorear el • Plan de Gestión de • Plan de Gestión
Control. entorno y registrar la Riesgos. de Riesgos
información • Registro de Riesgos. actualizado.
recolectada. • Registro de
• Analizar la Riesgos
información y actualizado.
actualizar los • Comunicaciones.
registros de riesgos.
• Cuando los
disparadores se han
activado, monitorear
los riesgos en caso
de que se
conviertan en
hechos. El
monitoreo incluye
también a los
disparadores que
podrían iniciar la
87
5. Responsabilidades
Project Manager: es el responsable de la gestión de riesgos. Las tareas pueden ser delegadas
a otros miembros el equipo del proyecto, sin embargo el Project manager retiene la
responsabilidad. Es el responsable de aprobar el Plan de gestión de Riesgos, lidera y participa
en el proceso de gestión de riesgos en todas sus etapas (identificación, análisis, planificación
de la respuesta, seguimiento y control) y es el responsable de ejecutar el plan de respuesta a
los riesgos cuando llega el momento. Es el responsable de la última decisión de las acciones a
tomar en coordinación con los patrocinadores del proyecto.
Project Team: Son responsables de dar soporte al Project Manager en la gestión del riesgo.
Los miembros del equipo pueden ser asignados a tareas específicas de gestión de riesgos.
Participan en el proceso de identificación y en las tareas de monitoreo y mitigación en las
reuniones de equipo.
Este apéndice define valores comunes para ser utilizados en el proceso de gestión de riesgo.
Las buenas prácticas en el análisis cualitativo de riesgos indican que se debe utilizar un
conjunto definido de valores tanto para la probabilidad como para el impacto. Estos valores
conducirán a una clasificación de riesgos que será utilizada para categorizar y agrupar los
riesgos, y para proveer una guía a los Project managers sobre donde se debe enfocar el
esfuerzo.
Utilizando valores fijos en lugar de permitir valores variados escogidos por cada equipo de
trabajo, se establecerá una base común para la evaluación cualitativa y la interpretación entre
diferentes proyectos. Sin esta base, no existirá una manera de comparar efectivamente los
riesgos de un proyecto a otro, o determinar como la organización mejora su manejo del riesgo
a través del tiempo.
Valores de Probabilidad
Muy Bajo 0.10
Bajo 0.30
Moderado 0.50
Alto 0.70
Muy Alto 0.90
Impacto del Riesgo: es el efecto en los objetivos del riesgo si el evento ocurre.
Valores de
Impacto
Muy Bajo 0.10
Bajo 0.20
Moderado 0.40
Alto 0.60
Muy Alto 0.80
Matriz de Impacto: consiste en una matriz cuyos valores son asignados combinando la
probabilidad cualitativa por el impacto. El color de la matriz indica cual será el rango de valores
que será alto (rojo), moderado (amarillo) y bajo (verde).
Matriz de Impacto
0.90 0.09 0.18 0.36 0.54 0.72
0.70 0.07 0.14 0.28 0.42 0.56
0.50 0.05 0.1 0.2 0.3 0.4
0.30 0.03 0.06 0.12 0.18 0.24
0.10 0.01 0.02 0.04 0.06 0.08
0.10 0.20 0.40 0.60 0.80
.
89
1. Introducción
1.1. Propósito
1.2. Audiencia
Este plan está dirigido principalmente a los participantes en los diferentes procesos de la
gestión de riesgos, así como a todos los miembros del equipo del proyecto, interesados,
consultores, contratistas y demás involucrados.
2. Roles y Responsabilidades:
Para cada uno de los roles del proyecto, describa las responsabilidades relacionadas a la
gestión de riesgos. [Algunos roles representativos fueron añadidos a continuación. Añadir los
que sean necesarios según corresponda]
2.3. Patrocinadores:
2.4. Interesados:
Asisten monitoreando la efectividad de las acciones tomadas frente los riesgos y participan
en la escalación de riesgos de ser necesario.
91
[Se debe utilizar la matriz RACI para describir el rol de cada uno de los participantes. Agregar
la Matriz en este apartado o agregarla como apéndice al final del documento]
Durante el análisis, se obtendrá una lista priorizada de riesgos y/o oportunidades para
enfocar los esfuerzos en las que tengan un mayor impacto. Referirse a la sección 5 para
mayores detalles.
Esta fase consiste en documentar las lecciones aprendidas del proceso de gestión de
riesgos como parte del cierre del proyecto en el repositorio común de lecciones aprendidas
del proyecto.
4. Identificación de Riesgos:
[Esta sección describe la estrategia y los métodos a utilizar para la identificación de los riesgos
en el proyecto. Se debe añadir lo que se considere apropiado para definir mejor la estrategia a
utilizar en este proyecto]
4.2. Fuentes
La identificación de riesgos se realiza a través de todo el ciclo de vida del proyecto, sin
embargo la mayoría de los riesgos deberían ser identificados de manera temprana de
manera tal que se pueda realizar un plan de respuesta apropiado y un monitoreo y control
adecuado. Se considerarán las siguientes técnicas y herramientas para la identificación de
riesgos: [Añadir o eliminar según sea adecuado]
• Análisis de entregables.
• Análisis del WBS y el cronograma.
• Análisis de las solicitudes de cambio al alcance.
• Análisis de las asunciones del proyecto.
• Cuestionario Basado en Taxonomía de Riesgos del SEI.
• Lecciones aprendidas y documentación de proyectos anteriores.
4.3. Documentación
El disparador del riesgo es un evento que debería ocurrir antes de que el resultado del
evento se pueda observar. Cuando un disparador se ejecuta, el riesgo deja de ser riesgo y
93
5. Análisis de Riesgos
El análisis será determinado considerando los costos del proyecto (nivel de esfuerzo, duración
de las tareas, costo de hora laboral, materiales directos, equipos y herramientas) y el
cronograma del proyecto (escasez de recursos, expansión de la duración, atrasos).
• Valores estimados
• Juicio de expertos
• Datos Históricos
• Métricas financieras
Se ha provisto una base en el apéndice A para el análisis cualitativo. [Se puede modificar
según las necesidades del proyecto y la organización]
La escala de las probabilidades ha sido definida en la sección 8.1.2 del Apéndice A. Las
definiciones del impacto del riesgo han sido definidas en la sección 8.1.3 del mismo apéndice.
Una vez que el impacto y la probabilidad han sido debidamente seleccionadas, procede
determinar su calificación. La matriz de probabilidad e impacto se muestra en la sección 8.1.4
del Apéndice A. La matriz muestra la combinación del impacto y la probabilidad y su asociada
prioridad (mostrado en rojo, amarillo y verde según las prioridades definidas). Se debe utilizar
la función de ordenamiento de Excel para ordenar las líneas de mayor a menor, para poder
obtener las de mayor calificación arriba (en color rojo) y las de menor calificación abajo (en
color verde).
5.1. Documentación
6. Plan de Respuesta
6.1. Estrategias
Existen varias estrategias para responder a los eventos probables que pueden afectar el
resultado de un proyecto. A continuación se listan las estrategias que serán utilizadas:
6.1.1. Eliminar
6.1.2. Transferir
6.1.3. Mitigar
6.1.4. Compartir
6.1.5. Explotar
Una vez que se ha identificado un evento posible que podría traer un resultado positivo
si llegara a realizarse, se trata de eliminar toda incertidumbre de manera que sea un
hecho y poder así sacar provecho de esta oportunidad.
6.1.6. Mejorar
6.1.7. Aceptar
La aceptación es usualmente tomada como una estrategia para gestionar riesgos (sean
estos oportunidades o amenazas) ya que es difícil tener un plan de respuesta para
cada riesgo identificado para no afectar la rentabilidad del proyecto. La aceptación de
los riesgos debe ser tomada únicamente para los riesgos de baja prioridad. Puede ser
pasiva, donde ninguna acción es tomada, o activa donde se puede hacer una reserva
de presupuesto o en el cronograma para los riesgos conocidos o desconocidos.
6.2. Presupuesto
Cada uno de los Planes de respuesta (excepto aceptar se menciona más adelante) tiene
un costo asociado, el cual debe ser indicado y actualizado en el registro de riesgos y en el
Plan Gestión del Proyecto.
Para los riesgos aceptados (usualmente los que tienen menor calificación en la matriz de
Probabilidad e Impacto) se definirán provisiones de contingencia para cubrir esos eventos,
así como para posibles riesgos aún no identificados. Para definir estos montos se utilizarán
los siguientes métodos:
6.3. Documentación
7. Seguimiento y Control
96
[Esta sección describe la estrategia a seguir y la metodología para monitoreo y control de los
riesgos durante la ejecución del proyecto. Se debe utilizar el texto provisto como base,
añadiendo o eliminando según sea apropiado de acuerdo al alcance del proyecto]
Las estrategias definidas para este proyecto (ver sección 6.1) deben ser ejecutadas según se
requiera durante el ciclo de vida del proyecto, y adicionalmente se debe monitorear el
surgimiento de nuevos riesgos o el cambio de los riesgos ya existentes. Durante la etapa de
monitoreo y control, las siguientes tareas son realizadas:
7.1. Periodicidad
[Se debe definir la periodicidad del proceso de monitoreo y control durante el ciclo de vida
del proyecto según las necesidades del proyecto y la organización]
7.2. Documentación
El proceso de monitoreo y control debe ser documentado en los registros de riesgo. Como
mínimo, la siguiente información debe ser ingresada en los registros:
Esta fase consiste en documentar las lecciones aprendidas del proceso de gestión de riesgos
como parte del cierre del proyecto en el repositorio común de lecciones aprendidas del
proyecto. Éstas incluyen una evaluación de la efectividad de los planes de respuesta, el
desempeño del equipo de trabajo durante la etapa de seguimiento y control de riesgos,
información estadística de la ocurrencia de los eventos para aumentar la exactitud de los
valores probabilísticos, entre otros.
97
9. Apéndices
Para las categorías de riesgos se utilizará como base la taxonomía de riesgos del
Instituto de Desarrollo de Software (SEI). La misma divide su estructura en Clase,
elementos, atributos. Dado que el cuestionario basado en taxonomía de software tiene
un rol importante en la identificación de riesgos, se puede utilizar cualquiera de estas
definiciones taxonómicas (Categorías) según se considere necesario, según donde se
haya descubierto el riesgo en la etapa de identificación. Se pueden agregar más
Categorías según se considere necesario, de igual manera si algún riesgo u
oportunidad no fue identificado basado en esta herramienta podría ser incorporado a
esta estructura o bien se podría crear una nueva estructura clasificarla. A continuación
se listan las categorías a nivel de Clase y elementos:
Los siguientes cuadros muestran las definiciones del impacto sobre cada una de las
áreas potencialmente impactadas en el proyecto (costo, cronograma, alcance y
calidad). Existe un cuadro que define cualitativamente el impacto tanto para los riesgos
negativos (amenazas) como para los positivos (oportunidades). Durante el análisis de
riesgo el impacto potencial se lleva a cabo para cada riesgo y su impacto es
categorizado apropiadamente según los cuadros que se muestran a continuación.
Probabilidad Impacto
0.90 0.09 0.18 0.36 0.54 0.72
0.70 0.07 0.14 0.28 0.42 0.56
0.50 0.05 0.1 0.2 0.3 0.4
0.30 0.03 0.06 0.12 0.18 0.24
0.10 0.01 0.02 0.04 0.06 0.08
0.10 0.20 0.40 0.60 0.80
100
La Taxonomía se representa como una estructura jerárquica al igual que un RBS, sin embargo
su representación es demasiado extensa para presentarla en una sola página. Para facilitar su
comprensión, se enumera de la siguiente forma (Clase, Elemento, Atributo):
101
102
102
103
103