Gestión de Proyectos Informáticos

Gestión de Riesgos

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Contenido:

Introducción.
Elementos de la Gestión de Riesgos.
Niveles de Gestión de Riesgos.
Estimación de Riesgos.
Control de Riesgos.
Identificación de Riesgos.
Análisis de Riesgos.
Exposición a Riesgos.
Priorización de Riesgos.
Control de Riesgos.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Introducción:
La probabilidad de que un Proyecto complejo finalice en el tiempo estimado tiende a
cero.
Las probabilidades de fracaso son muy altas al inicio, dado el nivel de incertidumbre; y
se van reduciendo a lo largo avanza el Proyecto.
La probabilidad de que un Proyecto complejo se cancele se aproxima a las de acertar al
lanzar una moneda al aire (Jones, 1991).
Los Riesgos son eventuales acontecimientos que, de ocurrir, afectarán al Proyecto en
su ejecución, de manera negativa, pudiendo causar inclusive hasta el fracaso o
cancelación del mismo.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Introducción:
Allstate comenzó a automatizar en 1982 sus actividades administrativas. Planificaron un
cronograma de cinco años y un presupuesto de 8 millones. Seis años más tarde y 15
millones después, estableció una nueva fecha límite y estimó un nuevo presupuesto de
100 millones.
En 1988, la Westpac Banking Corporation decidió redefinir sus sistemas de información.
Planificaron un proyecto de 85 millones de dólares para cinco años. Tres años más tarde,
después de gastar 150 millones con poco éxito, asumió sus pérdidas, canceló el proyecto
y eliminó 500 empleos de desarrollo.
Hay una serie de métodos de gestión de riesgos que pueden prevenir desastres como
éstos….
En todo Proyectos existen Riesgos latentes. Algunos de éstos son muy visibles, pero
otros no. La disciplina de la Gestión de Riesgos nos permitirá conocer técnicas y
herramientas para identificar, estimar, controlar y reducir Riesgos en un Proyecto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Introducción:
Los Proyectos que llevan un control de riesgos efectivo son menos excitantes que los
Proyectos que no lo hacen: dejará de ser un héroe por trabajar noches y fines de semana
durante seis meses sin descanso. Para muchos de nosotros, éstos son problemas con
los que se puede vivir (CMMI).
De acuerdo a CMMI-DEV 1.3 ,“El propósito de la Gestión de Riesgos es identificar
potenciales problemas antes de que ocurran, de manera a que las actividades de
mitigación puedan ser planeadas y ejecutadas a través del ciclo de vida del producto o
proyecto, y de esa manera mitigar el impacto de los mismos”.
La Gestión de Riesgos debe considerar Riesgos:
Internos / externos,
Técnicos y no técnicos,
Factores de Costos, Tiempo, Recursos, Performance, etc.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Elementos de la Gestión de Riesgos :
La función de la “Gestión de Riesgos” es identificar, estudiar y eliminar las fuentes de
riesgo antes de que empiecen a amenazar la finalización satisfactoria de un Proyecto.

Identificación de Riesgos
Estimación
de Riesgos
Análisis de Riesgos

Priorización de Riesgos
Gestión de Riesgos

Planificación de la
Gestión de Riesgos

Control Resolución de Riesgos

de Riesgos
Monitorización de Riesgos

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Niveles de Gestión de Riesgos:
1. Control de crisis: Apagar el fuego; controlar los riesgos sólo cuando se han
convertido en problemas.
2. Arreglar cada error: Detectar y reaccionar rápidamente ante cualquier riesgo, pero
sólo después de que se haya producido.
3. Mitigación de riesgos: Planificar con antelación el tiempo que necesitaría para cubrir
riesgos en el caso de que ocurran, pero no intentar eliminarlos inicialmente.
4. Prevención: Crear y llevar a cabo un plan como parte del proyecto software para
identificar riesgos y evitar que se conviertan en problemas.
5. Eliminación de las causas principales: Identificar y eliminar los factores que
puedan hacer posible la presencia de algún tipo de riesgo.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Estimación de Riesgos:
La identificación de riesgos genera una lista de riesgos capaces de afectar la
Planificación del Proyecto.
El análisis de riesgos mide la probabilidad y el impacto de cada riesgo, y los niveles
de riesgo de los métodos alternativos.
La asignación de prioridades a los riesgos genera una lista de riesgos ordenados por
su impacto. Esta lista sirve como base para el control de riesgos.
La Planificación de la Gestión de Riesgos genera un Plan para tratar cada riesgo
significativo.
La resolución de riesgos es la ejecución del plan para resolver cada uno de los
riesgos significativos.
El monitoreo de riesgos es la actividad que consiste en verificar el Estado y la
resolución de cada elemento del riesgo dentro del Proyecto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Identificación de Riesgos:
Riesgos más comunes en todo Proyecto de Software:
Cambio de requisitos.
Meticulosidad en requerimientos o desarrolladores.
Escatimar en la calidad.
Planificaciones demasiado optimistas.
Diseño inadecuado.
Síndrome de la panacea.
Desarrollo orientado a la investigación.
Salidas de Personal.
Error en la contratación.
Diferencias entre los desarrolladores y los clientes.
Problemas con tecnologías emergentes.
Estimaciones erróneas.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados a la Planificación del Proyecto:
Las definiciones de la Planificación, de los recursos y del producto han sido
impuestas por el Cliente o un directivo superior, y no son realistas.
La Planificación se ha basado en la utilización de personas específicas de un
equipo, pero estas personas no están disponibles.
El producto es más grande que el estimado (en líneas de código, en el número de
puntos de función, o en relación con el tamaño del Proyecto anterior).
El esfuerzo no ha sido correctamente estimado.
Existe presión excesiva en la Planificación, lo que reduce la productividad del
Equipo.
Se requiere emplear mayor tiempo de investigación del estimado originalmente.
Cambios en la fecha de entrega del Producto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados a la Organización y gestión del Proyecto:
El Proyecto carece de un promotor efectivo en los superiores.
Los despidos y las reducciones de la plantilla reducen la capacidad del equipo.
La estructura inadecuada de un equipo reduce la productividad.
Las tareas no técnicas encargadas a terceros necesitan más tiempo del esperado
(aprobación del presupuesto, aprobación de la adquisición de material, seguridad,
etc.).
Los planes del Proyecto se abandonan (no se siguen) por la presión, llevando al
caos y a un desarrollo ineficiente.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados al Entorno de desarrollo del Proyecto:
Los espacios y recursos no están disponibles en el momento necesario.
Los espacios están disponibles pero no son adecuados (por ejemplo, falta de
teléfonos, cableado de la red, mobiliario, material de oficina, etc.).
Los espacios están sobreutilizados, son ruidosos o distraen.
Las herramientas de desarrollo no funcionan como se esperaba; el personal de
desarrollo necesita tiempo para resolverlo o adaptarse a las nuevas herramientas.
La curva de aprendizaje es mayor a la esperada.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados al Producto a desarrollar:
Los módulos propensos a tener errores necesitan más trabajo de comprobación,
diseño e implementación.
Utilizar lo último en informática alarga la planificación de forma impredecible.
Unos requisitos rígidos de compatibilidad con el sistema existente necesitan un
trabajo extra de comprobación, diseño e implementación.
El requisito de trabajar con varios sistemas operativos necesita más tiempo del
esperado.
El trabajo con un entorno hardware desconocido causa problemas imprevistos.
Los cambios generan más retrabajo del planeado.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados a los Usuarios finales:
Los usuarios finales insisten en nuevos requerimientos.
En el último momento, a los usuarios finales no les gusta el producto, por lo que
hay que volver a diseñarlo y a construirlo.
Los usuarios no han realizado la compra del material necesario para el Proyecto y
por tanto no tienen la infraestructura necesaria.
No se ha solicitado información al usuario, por lo que el producto al final no se
ajusta a las necesidades del usuario, y hay que volver a crear el producto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lista de Riesgos:
Riesgos relacionados al Personal:
Salidas de Recursos importantes.
Imposibilidad de adquisición de Personal apropiado en el momento necesario.
Tiempo de adaptación, capacitación en el proceso de desarrollo y en la tecnología.
Falta de motivación del Equipo.
Conflictos personales entre los miembros del Equipo.
No se cuenta con el Personal más apropiado.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Análisis de Riesgos:
Una vez identificados los riesgos de planificación de su Proyecto, el paso siguiente es
analizar cada riesgo para determinar su impacto.
El análisis de riesgos permite elegir entre varias alternativas de desarrollo, o para
gestionar los riesgos asociados con plan de acción elegido.
Exposición al Riesgo:
Un método utilizado en el Análisis de Riesgos es determinar la “exposición a
riesgos” o el nivel de probabilidad de ocurrencia de cada Riesgo identificado.
Partimos de la base de que un “Riesgo” es una “pérdida no esperada”.
La exposición a Riesgo es igual a la probabilidad de pérdida no esperada
multiplicada por la magnitud de la pérdida.
Ejemplo: se estima que la probabilidad de ocurrencia es del 25%, y puede generar
un retraso de 4 (cuatro) semanas: la exposición al riesgo sería:
(25 x 4 semanas) / 100 = 1 semana.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Análisis de Riesgos:
Estimar la probabilidad de pérdida:
Existen algunas técnicas para maximizar la exactitud de la estimación de la
probabilidad de pérdida u ocurrencia de un determinado Riesgo, ya que ella tiende a
ser subjetiva:
Hacer participar a todos los miembros del Equipo en las estimaciones de
Riesgos del Proyecto.
Revisar las lecciones aprendidas colectadas en Proyectos anteriores.
Documentar el resultado de los análisis realizados.
Estimación de la magnitud de la pérdida:
La magnitud resulta más fácil de estimar. Es importante definir la unidad de
medida de tiempo a utilizar: horas, días, semanas, meses.
La magnitud se refiere al tiempo de impacto ocasionado por el Riesgo si éste
llegase a ocurrir.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Exposición a Riesgos:
Probabilidad de Magnitud de la Exposición a riesgo
Riesgo
pérdida pérdida (semanas) (semanas)
Planificación demasiado optimista
50% 5 2,5
Añadir un requisito para la actualización automática
desde el mainframe 5% 20 1,0
Añadir nuevas características desde marketing (sin
conocer las características específicas) 35% 8 2,8
Interfaz del subsistema de formato de gráficos
inestable 25% 4 1,0
Diseño inadecuado (hay que volver a diseñar) 15% 15 2,3
La aprobación del proyecto tarda mas de lo esperado
25% 4 1,0
Los recursos no están disponibles en su momento
10% 2 0,2
Los informes de estado a nivel de directiva necesitan
mas tiempo del previsto 10% 1 0,1
El personal contratado se retrasa en la entrega del
subsistema encargado de formatear los gráficos
10-20% 4 0,4-0,8
Las nuevas herramientas de programación no
producen el ahorro prometido 30% 5 1,5
Ejemplo de una tabla de Estimación de Riesgos

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Priorización de Riesgos:
El sgte. Paso es priorizar los Riesgos.
“Los Proyectos gastan generalmente el 80 por 100 de su presupuesto en arreglar el 20
por 100 de sus problemas, por lo que es útil poder centrarse en este 20 por 100 más
importante.”
Para priorizar los Riesgos, ordene los mismos según la “exposición a riesgo” (de mayor
a menor).
Esto le permitirá centrarse en los Riesgos más importantes y peligrosos para le
Proyecto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Control de Riesgos:
A lo largo de la ejecución del Proyecto (y como parte de las actividades de
Seguimiento), se deberá realizar el Control del estado de los Riesgos.
Esto implica, básicamente: la planificación de la gestión de los Riesgos, la resolución de
los Riesgos, y el monitoreo de Riesgos.
Planificación de la gestión de Riesgos:
El objetivo de la Planificación de la gestión de Riesgos es desarrollar un Plan que
controle cada uno de los Riesgos de prioridad alta (de impacto considerable)
identificados en las actividades anteriores.
El Plan de Gestión de Riesgos puede ser tan sencillo como un párrafo para cada
Riesgo, describiendo quién (responsable), qué, cuándo y cómo se gestiona cada
uno de los Riesgos.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Control de Riesgos:
Resolución de Riesgos:
La resolución de un riesgo concreto depende mucho del riesgo específico; ya que
su naturaleza determina el plan de acción para cada caso.
Métodos de resolución de Riesgos más comunes:
Evite el Riesgo.
Traslade el Riesgo de una parte del Proyecto a otra.
Consiga información acerca del Riesgo.
Elimine el origen del Riesgo.
Asuma el Riesgo: si la consecuencias son pequeñas o poco importantes, y si la acción
de mitigación del Riesgo es más costosa que el efecto mismo del Riesgo.
Comunique el Riesgo.
Controle el Riesgo.
Recuerde el Riesgo.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Control de Riesgos:
Monitoreo de Riesgos:
A lo largo de la ejecución del Proyecto aparecen nuevos Riesgos, el efecto de
algunos Riesgos pasa, otros deben ser re-priorizados y re-estimados, etc.
Por ello, la gestión de Riesgos es dinámica: el proceso de estimación y monitoreo
de Riesgos es iterativo a lo largo de todo el Proyecto.
Herramientas de Monitoreo de Riesgos:
La “lista de los 10 Riesgos”: Consiste en listar los 10 (diez) Riesgos más
importantes incluyendo la posición actual (prioridad), su posición anterior, el
nro. de veces que ha aparecido en la lista, y un resumen del plan de acción
asociado al Riesgo.
Comprobaciones internas: durante las reuniones de evaluación del Estado
del Proyecto, con el Equipo de Proyecto. Realizar un análisis de Riesgos más
profundo y detallado al alcanzar algún Hito del Proyecto.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Control de Riesgos:
Monitoreo de Riesgos (continuación):
Encargado de Riesgos:
Algunas Organizaciones nombran a un Responsable de dar seguimientos a
los Riesgos. Esto es aplicable para Organizaciones Proyectizadas, o que
manejan varios Proyectos de I+D.
Una alternativa más aplicable es identificar el área de impacto del Riesgo, y
definir como Responsable del mismo a un referente del área afectada.
Por ejemplo: si el Riesgo se relaciona a la definición de la Arquitectura
del Producto, algún referente técnico de importancia debería estar
involucrado en el seguimiento del Riesgo.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Riesgo, Alto Riesgo y Azar:
Algunos Proyectos son arriesgados, algunos son muy arriesgados y otros son
imprevisibles.
Es casi imposible concebir un Proyecto con “Riesgo cero”.
Otros se planifican tan agresivamente que caen en el azar, se parecen más a la compra
de un número de lotería que a una decisión calculada. En estas circunstancias, no hay
ningún estímulo a la hora de realizar una gestión de Riesgos, porque antes de que el
proyecto comience hay un 100 por 100 de probabilidades de fallo.
Los Riesgos tienen un efecto sobre la planificación del Proyecto: prolongan los tiempos
de desarrollo.
Existen Proyectos con un alto Riesgo, pero, que aportan grandes beneficios a la
Organización, lo que lo hacen ambiciosos.
El Líder de Proyecto debe saber comunicar los Riesgos al Sponsor y los demás
Stakeholders. Es importante además que el seguimiento de Riesgos sea proactivo.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
Lecturas recomendadas:
ProjectSmart. Your Risk Management Process: A Practical and Effective Approach.
Recuperado el 01 de Mayo de 2011, de http://www.projectsmart.co.uk/your-risk-
management-process-a-practical-and-effective-approach.html
ProjectSmart. 10 Golden Rules of Project Risk Management. Recuperado el 01 de Mayo
de 2011, http://www.projectsmart.co.uk/10-golden-rules-of-project-risk-management.html
Navegapolis.net. Excel para gestión de riesgos . Recuperado el 01 de Mayo de 2011,
http://www.navegapolis.net/content/view/852/87/

Software Engineering Institute (2010). CMMI® for Development, Version 1.3. Software
Engineering Institute. http://www.sei.cmu.edu.
“Risk Management” – Páginas 349 al 362.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8
 Bibliografía

McConnell, Steve (1997). Desarrollo y Gestión de Proyectos Informáticos.

McGraw-Hill. ISBN: 84-481-1229-6
Capítulo 5: “Gestión de Riesgos” - Páginas 89 al 118.

Project Management Institute (2008). A guide to the Project Management

(PMBOK Guide) – Fourth Edition. Project Management Institute. ISBN: 978-
1-933890-51-7
Capítulo 11: “Gestión de los Riesgos del Proyecto”.

Software Engineering Institute (2010). CMMI® for Development, Version

1.3. Software Engineering Institute. http://www.sei.cmu.edu.
“Risk Management” – Páginas 349 al 362.

Facultad de Ciencias y Tecnología – Departamento de Informática

INFO-300 Gestión de Proyectos Informáticos – Clase Nº 8