Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Facultad #3
Ing.OsmarLeyet Fernández
Junio 2011
Frase Célebre
Khalil Gibran
Declaración de Autoría
DECLARACIÓN DE AUTORÍA
Declaro que soy el único autor de este trabajo y autorizo a la Universidad de las Ciencias
Informáticas a hacer uso del mismo en su beneficio.
Para que así conste firmo la presente a los 24 días del mes de junio del año 2011.
_____________________________ __________________________
__________________________
DATOS DE CONTACTO
Yusnier Matos Arias: Ingeniero en Ciencias Informáticas, graduado en el año 2008 en la Universidad de
las Ciencias Informáticas (UCI). Categoría docente Instructor. Jefe de la Línea Productos Horizontales del
programa ERP-Cuba. Correo: ymarias@uci.cu.
Osmar Leyet Fernández: Ingeniero en Ciencias Informáticas, graduado en el año 2008 en la Universidad
de las Ciencias Informáticas (UCI). Categoría docente Instructor. Jefe del Departamento Desarrollo de
Productos del programa ERP-Cuba. Correo: oleyet@uci.cu.
Agradecimientos
Agradecimientos
Agradezco a todos los que han contribuido con la realización de este trabajo y con mi
formación profesional, especialmente:
A mis Padres, por guiarme por el camino correcto, por una vida entera, por su
dedicación y amor.
A mis tías Lele y Nancy, por su preocupación siempre.
A Carlos y familia por todo su cariño y entrega.
A mis vecinos, por tenerme siempre presente, por sus atenciones.
A Yesmín, Aylín, Mayelín, Meylín, Yanet, Arce y Manolito por su amistad, por todos
los años de universidad, por estar ahí.
En general a los amigos de los cinco años y compañeros de aula por los buenos
momentos.
A las amistades de mi tierra.
A Danny y familia, por todo.
A mis tutores, Osmar y Matos por su ayuda, por todo lo aprendido, por sus buenas
recomendaciones.
A Eduardo, Yunet, Cristian y Alberto, por su apoyo incondicional en todo momento.
A los profesores por los conocimientos brindados.
A la Revolución y la Universidad por la oportunidad de crecerme.
2
Dedicatoria
Dedicatoria
desvelo y sacrificio, por sus sabios consejos y su confianza en mí. Por todo.
3
Resumen
RESUMEN
4
Índice
INDICE
INTRODUCCIÓN ......................................................................................................................................... 9
5
Índice
2.6 Segundo directorio del Expediente de Gestión de Riesgos (Evaluación de los Riesgos) ................. 54
2.6.1 Planificación de la Respuesta de los Riesgos ........................................................................... 54
2.6.2 Seguimiento y Control de Riesgos............................................................................................. 57
2.7 Conclusiones del capítulo ................................................................................................................ 61
CAPÍTULO 3: VALIDACIÓN DE LA SOLUCIÓN ...................................................................................... 62
RECOMENDACIONES .............................................................................................................................. 73
6
Índice
INDICE DE FIGURAS
Figura 1: Modelo de Boehm para la Gestión de Riesgos........................................................................ 18
Figura 2: Procesos para la Gestión de Riesgos de CRM........................................................................ 19
Figura 3: Taxonomía de los riesgos ....................................................................................................... 22
Figura 4: Proceso de Administración de riesgos de MSF. ...................................................................... 24
Figura 5: Dimensiones del PMBOK. ....................................................................................................... 29
Figura 6: Áreas y procesos del PMBOK. ................................................................................................ 31
Figura 7: Clasificación del riesgo............................................................................................................ 39
Figura 8: Representación del Riesgo. .................................................................................................... 39
Figura 9: Planificación de los riesgos. .................................................................................................... 43
Figura 10: Planificación guiada por hitos. ............................................................................................... 44
Figura 11: Planificación guiada por semanas. ........................................................................................ 44
Figura 12: Identificación de riesgos. ....................................................................................................... 46
Figura 13: Modelo para conformar la matriz DAFO. ............................................................................... 47
Figura 14: Análisis cualitativo de riesgos................................................................................................ 49
Figura 15: Análisis Cuantitativo de riesgos. ............................................................................................ 53
Figura 16: Planificación de la respuesta de los riesgos. ......................................................................... 55
Figura 17: Seguimiento y control de riesgos........................................................................................... 58
Figura 18: Análisis del valor planeado. ................................................................................................... 63
Figure 19: Valor planeado. ..................................................................................................................... 64
Figure 20: Criticidad de los riesgos. ....................................................................................................... 65
Figure 21: Mitigación de los riesgos. ...................................................................................................... 68
7
Índice
ÍNDICE DE TABLAS
Table 1: Lista maestra de riesgos. ......................................................................................................... 25
Table 2: Escala de valores para la magnitud de costo. .......................................................................... 25
Table 3: Sistema de puntuación de impacto. .......................................................................................... 26
Table 4: Escala de impacto. ................................................................................................................... 27
Table 5: Lista de prioridades de riesgo................................................................................................... 27
Table 6: Probabilidad de los riesgos. ..................................................................................................... 50
Table 7: Impacto de los riesgos.............................................................................................................. 50
Table 8: Matriz de probabilidad e impacto. ............................................................................................. 51
Table 9: Resultados de la probabilidad de los riesgos. ........................................................................... 64
Table 10: Resultados del impacto de los riesgos. .................................................................................. 65
Table 11: Escala de exposición. ............................................................................................................. 66
8
Introducción
INTRODUCCIÓN
La vida del hombre está llena de riesgos o incertidumbres porque se desarrolla en un espacio globalizado
en que mutuamente se producen inseguridades y pérdidas que influyen en cualquier nuevo avance o
descubrimiento.
En términos generales, riesgo es la probabilidad de que ocurra algo con consecuencias negativas o
positivas en la vida diaria. Un riesgo puede tener una o más causas y, si se produce, uno o más impactos
(1).
A diario actividades cotidianas nos conllevan a importantes beneficios o fatales consecuencias. De esta
forma nos damos cuenta que la mayoría de las decisiones que se toman, incluyendo las más sencillas,
pueden ser una causa que amerite un riesgo o un evento de riesgo que puede traer un impacto en
nuestras vidas.
Una de las fases para el estudio y análisis de los riesgos es la percepción que el hombre tiene sobre sus
manifestaciones, efectos y consecuencias. La manera en que sus actividades tienen causa y
consecuencia en la vida diaria y la forma en que tratamos de disminuir sus efectos negativos guardan
interesante similitud a cómo debemos tratar las actividades en los proyectos industriales, informáticos o
empresariales en general que desencadenan riesgos para nuestros productos.
La Gestión de Riesgos consiste en identificar, analizar y eliminar el origen de los riesgos antes de que se
conviertan en amenazas. Constituye el proceso donde se cuantifica el nivel de incertidumbre, se siguen,
evalúan y controlan los riesgos. (1) (2). La Gestión de Riesgos (GR) es una técnica que maneja los
recursos en el proyecto para limitar la diferencia entre su Estado Final Deseado (EFD) y su Estado Final
Conseguido (EFC) (2) y que ha ido evolucionando sobre la base de los proyectos. En la actualidad sus
metas están encaminadas a aumentar el nivel de certeza de que los objetivos de un proyecto podrán ser
alcanzados en la medida en que se tenga en cuenta cómo balancear la exposición a los riesgos y la
respuesta ante la presencia de ellos según el costo de poder aceptarlos, evitarlos, transferirlos, mitigarlos
o hasta ignorarlos.
9
Introducción
La investigación sobre la Gestión de Riesgos en el ámbito del software procura formalizar un conocimiento
orientado a minimizar y/o evitar los riesgos en proyectos de desarrollo de software, mediante la aplicación
de metodologías que propicien técnicas para lograrlo.
Un proyecto de software parte de la concepción de una idea que puede venir de diferentes puntos, ya sea
de un equipo de desarrollo que pone en práctica los conocimientos adquiridos o bien de un usuario que lo
lleva a cabo.
Para poder completar con éxito un proyecto de software, se necesita que cumpla con los requisitos, que
sea entregado en tiempo y que exista un control sobre las personas o los imprevistos que puedan surgir,
para esto la Gestión de Riesgos ofrece mecanismos y guías que resultan viables para que los líderes de
proyectos puedan controlar los eventos adversos que puedan ocurrir.
Un riesgo de un proyecto es un evento o condición incierta que, si se produce, tiene un efecto positivo o
negativo sobre al menos un objetivo del proyecto, como tiempo, coste, alcance o calidad (3). Para cada
proyecto es necesario desarrollar un enfoque consistente hacia el riesgo y que cumpla con los requisitos
de la organización. Para tener éxito, la organización debe estar comprometida a tratar la gestión de
riesgos de forma proactiva y consistente durante todo el proyecto.
En la actualidad las estadísticas indican que la mayoría de los proyectos de software manifiestan una
pobre Gestión de Riesgos provocado esto por una falta de conocimiento sobre posibles métodos y
herramientas, limitaciones prácticas y teóricas de los marcos de Gestión de Riesgos que entorpecen la
facilidad de usos de estos métodos, y tercero, todavía hay pocos informes con evaluaciones sistemáticas
o científicas que proporcionen retroalimentación sobre su viabilidad y beneficios(2) (4) agregándose a esto
un mal análisis en los requisitos del proyecto, una mala planeación, un desconocimiento del ambiente de
trabajo de los usuarios que trabajan con el sistema y una mala gestión del producto. Todos estos
problemas se evitan cuando llevamos a cabo una Gestión de Riesgos adecuada y bien planificada.
El uso del software para los negocios, las empresas y los gobiernos se incrementa todos los días a escala
mundial por lo que las metodologías y técnicas para la gestión de proyecto necesitan de soportes más
10
Introducción
fuertes, en este sentido la Gestión de Riesgos avizora un impacto cada vez mayor que dará como
resultado un aporte vital a la mejora de los proyectos.
Para la gestión del proyecto ERP se dividieron los grupos de trabajo en líneas, las cuáles, a su vez,
pueden estar formadas por varios proyectos. La Línea de Productos Horizontales está integrada por los
subsistemas de Estructura-Composición, Configuración y Auditoría. Según entrevista realizada, el entorno
tecnológico, los recursos necesarios, las herramientas utilizadas, los requerimientos del cliente, la
estabilidad del personal y otros, son factores que tributan hoy a que sucedan eventos inesperados en el
ciclo de vida del proyecto. Tales sorpresas constituyen riesgos y es preocupación del equipo de trabajo
contar con una Gestión de Riesgos eficiente y adecuada para lograr un producto con calidad.
Existen varios modelos para la Gestión de Riesgos, por ejemplo se pudiera utilizar la guía básica del
PMBOK u otros modelos propuestos por el Software Engineering Institute (SEI). Ciertamente en la línea
no se implementa en estos momentos ningún proceso adecuado a las características de sus proyectos
que propicie una buena gestión de los riesgos, provocando esto problemas que afectan el proyecto y el
equipo de desarrollo.
Problemas existentes:
11
Introducción
Tales deficiencias han sido provocadas por innumerables causas que se exponen a continuación.
No hay una estrategia definida en la línea para dar seguimiento a los riesgos identificados.
Las métricas definidas para la criticidad y el nivel de exposición a los riesgos no se adaptan a las
características de la línea Productos Horizontales.
La clasificación que se da a los riesgos hasta el momento produce ambigüedades y provoca que
no se definan correctamente los planes de mitigación y de contingencia para los riesgos.
Atrasos en el proyecto.
Independiente de esto los riesgos se identifican y son documentados mediante el REDMINE, herramienta
para la gestión de proyectos de software que brinda la oportunidad de registrar el riesgo, identificar las
causas, consecuencias y proponer el plan de contingencia y mitigación para el mismo. Otros riesgos son
definidos en un marco más informal. Aún así el tratamiento de estos es deficiente en la línea porque no se
encuentra definida una correcta gestión de los mismos. No se planifican actividades para analizar y
12
Introducción
evaluar los riesgos además de que el equipo del proyecto no se responsabiliza con la gestión, seguimiento
y monitoreo de los mismos.
Problema
Los eventos adversos en la línea Productos Horizontales del programa ERP-Cuba afectan la planificación
de los proyectos de la línea.
Objeto de Estudio
Objetivo General
Objetivos Específicos
Campo de Acción
Tareas Investigativas
Establecimiento del marco teórico de la investigación realizando un estudio del estado del arte para
la Gestión de Riesgos en la línea Producto Horizontales del programa ERP-Cuba.
Identificación, desglose y definición de los procesos y aspectos fundamentales que definen las
fuentes a estudiar.
13
Introducción
Realización de un estudio de los diferentes procesos que plantea la guía PMBOK para llevar a
cabo el proceso de Gestión de Riesgos.
Aplicación y evaluación de las actividades del proceso de Gestión de Riesgos elaboradas y el Plan
de Gestión de Riesgos propuesto.
Idea a Defender
Definir un proceso de Gestión de Riesgos con una clasificación de adecuada de los riesgos, métricas y
estrategias definidas para el seguimiento de estos, y aplicarla en la línea Productos Horizontales, permitirá
una mejor planificación de los proyectos de la línea y reducirá el número de variaciones en el cronograma.
El documento que acredita la investigación cuenta con una estructura de 3 capítulos e introducción,
conclusiones, recomendaciones y anexos.
Capítulo 1: ¨Fundamentación teórica¨ En este capítulo se realiza un estudio del estado del arte
donde se establece la fundamentación teórica de la investigación describiendo las principales fuentes de
pensamientos y las metodologías para la Gestión de Proyecto.
14
Capítulo 1. Fundamentación Teórica
Este capítulo explora las principales fuentes en materia de Gestión de Riesgos en la actualidad.
Analizando los pasos que definen, la representación de los riesgos y las técnicas o métodos que proponen
para llevar a cabo sus procesos. Haciendo especial referencia en el Instituto de Administración de
Proyectos (PMI, sus siglas en inglés) y su estándar fundamental PMBOK. Se expone además el
comportamiento de los riesgos en el mundo empresarial y un análisis de los principales modelos que
existen para la Gestión de Riesgos con la intención de establecer valoraciones y comparaciones, basados
en las ventajas que proporcionan para la Gestión de Riesgos en los proyectos.
Para la explicación de los modelos se tienen en cuenta características principales, etapas o procesos que
definen, técnicas que utilizan y ventajas de su implementación.
Las principales fuentes que abordan la Gestión de Riesgos son la Sociedad para el Análisis de Riesgos
(Society for Risk Analysis, SRA) (5); Instituto de Ingeniería de Software (Software Engineering Institute,
SEI) (6); Instituto de Eléctricos e Ingenieros Electrónicos(Institute of Electrical and Electronics Engineer,
IEEE) (7); Corporación Microsoft (Microsoft Corporation) (8); Organización de Estándar Internacional
(International Standard Organization, ISO) (9) y el Instituto de Administración de Proyectos (Project
Management Institute, PMI) (10).
En las secciones siguientes se describen brevemente cada uno de estos centros destacando su propósito,
visión e importancia para la Gestión de Riesgos.
La Sociedad para el Análisis de Riesgos fue fundada en 1981 y es la organización líder en la investigación
académica en el campo de la Gestión de Riesgos. Define en términos generales el análisis de riesgos que
incluye la evaluación, caracterización, comunicación, gestión y política relativa al riesgo.
Aunque trata aspectos de riesgos en general rara vez vinculados a la Gestión de Riesgos en proyectos de
software, provee un fórum para el desarrollo de nuevos aspectos teóricos o prácticos en los procesos del
15
Capítulo 1. Fundamentación Teórica
análisis de riesgos y estado del arte sobre las más recientes investigaciones y tendencias en materia de
riesgos (11) (12).
El Instituto de Ingeniería de Software (SEI) es un instituto fundado en 1984 para desarrollar modelos de
evaluación y mejora en el desarrollo de software.
Sus trabajos en materia de riesgos comienzan a principios de los 90 iniciando con el método ―Continuos
Risk Management (CRM)‖ cuyos conceptos, procesos y herramientas permiten gestionar de manera
continua los riesgos de un proyecto (13) e incluye los principios básicos que concuerdan con el modelo de
Boehm. Para la clasificación de los riesgos el SEI utiliza el método basado en taxonomía ―Taxonomy-
based Risk Identification‖ e identifica la necesidad de un Equipo de Evaluación de los Riesgos del
Software (SRE: ―Software Risk Evaluation‖) (14).Para un mayor conocimiento de las propuestas del SEI
para los riesgos ver: (14).
Su trabajo es promover la creatividad, el desarrollo y la integración, compartir y aplicar los avances en las
tecnologías de la información, electrónica y ciencias en general para beneficio de la humanidad y de los
mismos profesionales (7).
El IEEE es el principal generador de los estándares que sostienen el mundo de las tecnologías. Para la
Gestión de Riesgos define la Norma 1058.1 la cual especifica el formato y contenidos de los planes para
la gestión de proyectos de software incluyendo la Gestión de Riesgos (15). Adopta PMBOK como un
estándar reconocido internacionalmente (IEEE Std 1490-2003) que provee los fundamentos de la gestión
de proyectos que son aplicables a los riesgos.
16
Capítulo 1. Fundamentación Teórica
El PMI desarrolla estándares de la profesión ―Project Management‖ alrededor de todo el mundo. Uno de
sus más conocidos estándares ―A Guide to the Project Management Body of Knowledge‖ (PMBOK Guide)
es mundialmente reconocida y está aprobada como un estándar por el American National Standards
Institute (ANSI) (22).
La Gestión de Riesgos en los proyectos de software tiene sus comienzos en la primera generación de
modelos de riesgos (Casuística) que data de principios de los años 80 y estaba basada en listas
‗casuísticas‘ de riesgos especiales para proyectos. No hay una planificación específica y en esta
generación se definen los Riesgos Tecnológicos y las Listas de Comprobación de Riesgos.
A principios de los años 90 surge la segunda generación (Taxonómica) basada en modelos de procesos y
eventos. Dentro de esta generación se pueden incluir:
Modelo de Boehm
Y la tercera generación (Causal) (23) actualmente emergente que arranca con una variedad de modelos
de gestión de riesgos.
17
Capítulo 1. Fundamentación Teórica
El modelo surge en 1989 y ha evolucionado hasta nuestros días proponiendo nuevas técnicas aunque en
esencia se mantienen los principios que Boehm definió. Sus procesos y técnicas están definidos en dos
partes: valoración de los riesgos y control de los riesgos. Dentro de la valoración incluye procesos como
Identificación, Análisis y Priorización y para el control define procesos de Planeación, Resolución y
Monitoreo (14).
El modelo incluye artefactos como la Planeación de los Elementos y el Plan de la Iteración y como técnica
para la resolución de los riesgos propone prototipos, simulaciones, análisis y reuniones.
Boehm incluye una lista de ―Top 10 Software Risk Ítems‖ (24) junto con una serie de técnicas de gestión
del riesgo.
18
Capítulo 1. Fundamentación Teórica
Este modelo surge en 1997 y se ajusta a los procesos definidos por Boehm y del IEEE en general. Asume
la Gestión de Riesgos como un proceso con dos actividades principales: la evaluación del riesgo y el
control del riesgo. Se basa en 9 teorías para tratar los riesgos que incluyen la probabilidad del riesgo,
razonamiento sobre el impacto del riesgo teniendo en cuenta las consecuencias del riesgo y combina
vulnerabilidad e impacto en el tiempo de los riesgos (25). Detalla el proceso de Gestión de Riesgos desde
el punto de vista humanístico principalmente, y hace mucho énfasis en las características de las personas,
los procesos, la infraestructura y la implementación de la Gestión de Riesgos. Este modelo tiene muy poca
documentación pública.
El método Continuos Risk Management surgió a principios de los 90 desarrollado por ―The Software
Assurance Technology Center‖ (TSATC) de NASA (26) en conjunto con el SEI (6). Constituye un proceso
de gestión de proyecto que aplica el proceso de gestión del riesgo en forma continua y cíclica a través del
ciclo de vida del proyecto. Proporciona mejor gestión del riesgo y aumenta la probabilidad de un resultado
exitoso del proyecto. Define 6 principios o procesos para la Gestión de Riesgo que ilustra de esta forma
(27):
19
Capítulo 1. Fundamentación Teórica
Identificación
Este proceso tiene como objetivo localizar los riesgos anticipándose a ellos para evitar que se transformen
en problemas. Destaca que cada miembro del equipo tiene la responsabilidad de identificar los riesgos.
Hace énfasis en dos componentes que describen la forma en la que se deben escribir los riesgos. El
primero se refiere a cómo se debe capturar el riesgo y el segundo se centra en el contexto del riesgo.
Análisis
El objetivo de este proceso es detallar los riesgos identificados convirtiéndolos en información útil y
teniendo en cuenta la factibilidad de cada riesgo, cómo se comportan al interrelacionarse con los demás
(efecto combinado) y las características que pueden impactar en el desarrollo. Igualmente este proceso
trabaja en tres componentes fundamentales; la evaluación del riesgo, que implica identificar sus
principales atributos teniendo en cuenta el impacto, la probabilidad y la periodicidad y la clasificación de
cada riesgo que requiere agruparlos basándose en sus características. Y por último priorizar los riesgos
haciendo una lista de los más significativos para el proyecto.
Planificación
En este proceso se toman las decisiones acerca de qué se debe hacer con los riesgos. Propone los
siguientes enfoques para los riesgos:
Seguimiento
Su propósito es asegurar las acciones que se llevan a cabo. Con la información de los riesgos se generan
métricas y eventos. En esta actividad se chequean constantemente los atributos de los riesgos que se
desean observar o mitigar.
20
Capítulo 1. Fundamentación Teórica
Control
En esta actividad se analizan los reportes generados en la etapa de seguimiento. Tiene como propósito
tomar decisiones basadas en los cambios de los valores de los atributos de los riesgos y en la efectividad
de los planes de mitigación. En este proceso se toman básicamente cuatro decisiones respecto al riesgo:
Replanear, modificar el plan o construir uno nuevo cuando se observe que el plan no está
ayudando a mejorar los valores de los atributos del riesgo.
Cerrar el riesgo, ya que en la actualidad tal riesgo no representa una opción real de
presentarse.
Continuar observando el riesgo, ya que no se cuenta con la suficiente certeza para cerrarlo.
Comunicación
Este proceso tiene como objetivo que todos los involucrados en el proyecto entiendan las alternativas
de mitigación así como los datos de los riesgos.
En general este modelo para los proyectos de software en sus etapas es bastante completo pero
carece de especificaciones para los artefactos que se manejan en la Gestión de Riesgos, los roles que
intervienen y las técnicas a utilizar para los procesos. Tiene escasa documentación pública que aborde
su aplicación en proyectos de software y sus resultados.
Este método fue desarrollado en junio de 1993 por el SEI, como un método de identificación para el primer
paso de ¨Continuos Risk Management¨ (27). Se basa fundamentalmente en el desarrollo de un proceso de
entrevistas sistemáticas que propicie identificar fuentes de riesgo. El método se centra fundamentalmente
en riesgos conocidos, comunicados o no, que se clasifican dentro de la estructura jerárquica de la
taxonomía, además de que identifica y aclara las incertidumbres y preocupaciones del personal técnico y
de gestión de un proyecto y plantea que la identificación de riesgos debe abarcar todas las áreas claves
de desarrollo y apoyo del proyecto.
21
Capítulo 1. Fundamentación Teórica
Este método de identificación ha probado ser eficaz y eficiente en todo el ciclo de desarrollo de software.
No obstante para llevarlo en la universidad habría que agregar clases, elementos o atributos adecuados a
nuestro modelo de producción y el cuestionario debe confeccionarse de acuerdo a la experiencia en el
desarrollo de proyectos de los entrevistadores. Aún así el método de identificación constituye una
herramienta útil en la identificación de los riesgos.
Es un método para identificar, evaluar, analizar y planificar estrategias de mitigación, constituye una
herramienta de diagnóstico y toma de decisiones para un proyecto. Aunque no es el único método de
identificación que existe es el más utilizado en los proyectos de software. El SEI lo propone como método
a utilizar en conjunto con CRM y TRM, es más efectivo utilizarlo como el iniciador de CRM.
La descripción de SRE se lleva a cabo en 5 fases como muestra la figura, estas son: Contratación,
Identificación y Análisis de los Riesgos, Reporte Interino, Planeación de la Estrategia de Mitigación y
Reporte Final (29).
Contratación
22
Capítulo 1. Fundamentación Teórica
Esta fase se compone de las actividades necesarias para identificar los objetivos del proyecto y es la más
importante para la evaluación del riesgo patrocinada por el gerente del proyecto. Durante esta fase se
lleva a cabo un acuerdo de trabajo el cual funciona como un ―contrato‖ entre el líder del equipo y el
patrocinador. Los elementos que se desarrollan en esta fase están bien documentados.
Este proceso está diseñado para ayudar a los miembros del proyecto a identificar y analizar los riesgos
mediante entrevistas. Se realiza un análisis de los estados de probabilidad, el impacto y la exposición al
riesgo, los cuáles se reúnen en grupos para poder mitigarlos. La fase define 8 actividades: Conducir
Resumen del Proyecto (donde el equipo conoce datos del proyecto), Conducir el Resumen de Inicio
(donde los miembros del equipo entienden los objetivos del método y las actividades que se estarán
realizando), Preparar el Equipo (donde se imparte un pequeño entrenamiento a los miembros del equipo
no experimentados en la aplicación de SRE), Conducir Entrevistas (donde se identifican los riesgos),
Evaluación de los Participantes, Analizar la Sesión, Consolidación, Resumen de Confirmación de Datos.
Reporte Interino
En esta fase se vuelven a analizar los resultados de la identificación de riesgos y el análisis desde la
perspectiva de la interrelación de las zonas de riesgo. Estos resultados son formalmente documentados y
se organiza la preparación para la Planeación de la Mitigación. Este proceso se realiza de forma manual
por los miembros del equipo.
Durante esta fase se desarrolla un plan concreto para la gestión y la mitigación de algunos de los riesgos
más importantes identificados durante las primeras fases.
Microsoft Solutions Framework es un marco de trabajo propuesto por Microsoft que cubre el ciclo de vida
del proyecto y propone métodos y herramientas para el desarrollo del mismo. Dentro de sus disciplinas
proponen ―Risk Management Discipline‖ (30), como un mecanismo para enfrentar la incertidumbre en los
proyectos, proponen un enfoque proactivo donde continuamente se evalúen los riesgos.
23
Capítulo 1. Fundamentación Teórica
Durante esta fase MSF propone que el equipo debe desarrollar y documentar un plan para implementar el
proceso de administración de riesgos en el contexto del proyecto basado en una serie de preguntas que
ayudan a determinar que debe incluir el Plan de Gestión de Riesgos.
Los seis pasos que conforman el proceso administración de riesgos de MSF son:
Identificación
Planeamiento y programación
Control
Aprendizaje
24
Capítulo 1. Fundamentación Teórica
Identificación
La meta en la identificación de riesgos es la elaboración de una lista de los riesgos con los que el equipo
deberá enfrentarse. Las entradas en la identificación de riesgos son toda la información disponible acerca
de riesgos generales y específicos del proyecto. Como salida a este proceso se tiene una lista de
definiciones de los riesgos.
Para MSF es muy importante la clasificación de los riesgos pues provee un mecanismo para su
estandarización a través de la empresa y para su inclusión en bases de conocimiento que pueden ayudar
a la industria a indexar nuevas contribuciones. La siguiente tabla muestra un ejemplo de una lista maestra
de riesgos (32).
Personal Las funciones de desarrollo y Es posible que el producto se Insatisfacción del cliente.
inadecuado prueba se han combinado. comercialice con más defectos.
La meta principal del análisis de riesgos consiste en establecer las prioridades de los elementos de la lista
de riesgos y determinar cuál de ellos justifica la reserva de recursos para el planeamiento.
También en este proceso se determina el impacto del riesgo, es decir la magnitud de la pérdida o la
ganancia para determinados objetivos. MSF también propone una escala de valores para identificar la
magnitud en cuanto a costo y tiempo (32).
25
Capítulo 1. Fundamentación Teórica
Cuando las pérdidas monetarias no se pueden calcular con facilidad, el equipo puede desarrollar un
sistema de puntuación de impacto alternativo que abarque las áreas de proyecto adecuadas. Hall (1998)
proporciona los ejemplos en la siguiente tabla (32).
MSF incluye un elemento interesante: la exposición del riesgo. La exposición de un riesgo es una medida
de su amenaza. MSF propone una forma de calcularla y destaca la utilización de una matriz (probabilidad
x impacto) (32).
26
Capítulo 1. Fundamentación Teórica
Alta = 3 3 6 9
Media = 2 2 4 6
Baja = 1 1 2 3
Exposición baja = 1 ó 2
Exposición media = 3 ó 4
Exposición alta = 6 ó 9
Los riesgos se deben ordenar por la exposición. El análisis de riesgos proporciona al equipo una lista de
prioridades de riesgos muy útil para planear las actividades de riesgos como se muestra en la tabla (32).
27
Capítulo 1. Fundamentación Teórica
MSF define además un estado que puede tener (desactivado) que son aquellos riesgos que se decida que
su gestión no influyen en el proyecto. No se define ningún criterio o métrica para esta decisión.
Toma la información obtenida tras el análisis de riesgos y la utiliza para trazar estrategias, planes y
acciones. Las actividades de planeamiento convierten la lista de riesgos con prioridades en planes de
acción. Implica desarrollar acciones para cada uno de los riesgos principales, establecer prioridades para
las acciones de un riesgo, y crear un plan integrado de administración de riesgos.
Entre las entradas en el proceso de planeamiento de riesgos no sólo se incluyen la lista maestra de
riesgos, la lista de riesgos más importantes y la información de la base de conocimientos de la
administración de riesgos, sino también los planes y programas del proyecto.
El seguimiento de riesgos supervisa el estado de los riesgos y el progreso de sus planes de acción.
Incluye la supervisión de probabilidades, impactos, exposiciones y otras medidas de riesgo para los
cambios que pudiesen alterar los planes de prioridades o de riesgos y las características, los recursos o la
programación del proyecto.
Control de riesgos
El control de riesgos es el proceso que ejecuta los planes de acción de riesgos y sus informes de estado
asociados. Incluye la iniciación de las solicitudes de control de cambios. El objetivo del control de riesgos
es la ejecución correcta de los planes de contingencia que el equipo del proyecto ha desarrollado para los
riesgos más importantes.
El aprendizaje de riesgos formaliza las lecciones aprendidas y los elementos y herramientas relevantes
del proyecto y plasma todo esta información en un formato reutilizable para el equipo o la empresa.
28
Capítulo 1. Fundamentación Teórica
De manera general esta disciplina abarca elementos fundamentales para la Gestión de Riesgos y su
aplicación es ventajosa para cualquier proyecto. Independientemente de esto, presenta deficiencias en la
descripción y generación de los artefactos, no especifica técnicas a utilizar en los procesos y no define
roles ni asigna responsabilidades para el equipo en la Gestión de Riesgos.
1.3.7 PMBOK
Paralelo a estos métodos surge el PMBOK, cuerpo de conocimiento de la Gestión de Proyectos que
incluye prácticas de Gestión de Riesgos. La tercera versión de la Guía fue publicada en 2004, con mejoras
importantes en la estructura del documento, adiciones a los procesos, términos y dominios del programa y
de portafolios. Consta de 44 procesos (34). La cuarta versión fue publicada en 2008, con el objetivo de
ganar en precisión, claridad y entendimiento para poder implementar la guía en cualquier organización. La
nueva versión consta de 42 procesos (33).
En la actualidad el PMBOK constituye referencia obligada para cualquier organización que desee
implementar procesos y metodologías eficaces para lograr el éxito de sus proyectos (35).
El PMBOK en sí no es una metodología que se deba seguir al pie de la letra. El mismo documento indica
que los procesos y sus relaciones deben ser personalizados a las necesidades del proyecto y de la
empresa. Constituye sólo una guía, muy completa y elaborada, de lo que normalmente un gerente de
proyectos debe llevar a cabo, explicado en un buen nivel de detalle y separando procesos que
normalmente se realizan de forma simultánea.
Aunque presenta algunas deficiencias incluye nuevos elementos que constituyen un avance en el
proceso, por ejemplo: estrategia de respuesta a las oportunidades de los riesgos, propone una
29
Capítulo 1. Fundamentación Teórica
categorización de los riesgos mejor definida y relaciona la Gestión de Riesgos con otros procesos como el
Control de Cambios, además que especifica más detalladamente otros elementos.
Establece para cada proceso entradas (documentos), técnicas (mejores prácticas) y salidas (nuevamente
documentos).
Plantea para la administración de proyectos un conjunto de nueve áreas de conocimiento que deben ser
dominadas por el Líder del Proyecto.
Gestión de Integración
Gestión de Alcance
Gestión de Tiempo
Gestión de Costos.
Gestión de Calidad
Gestión de Comunicaciones
Gestión de Riesgos
Gestión de Adquisiciones
30
Capítulo 1. Fundamentación Teórica
Para la Gestión de Riesgos PMBOK propone una serie de procesos involucrados en la Gestión de
Riesgos con sus entradas y sus salidas.
Identificación de Riesgos.
31
Capítulo 1. Fundamentación Teórica
Es el proceso que planifica y lleva a cabo todas las actividades de gestión de riesgos. Como entradas
define factores ambientales de la empresa (actitudes respecto al riesgo y la tolerancia), las categorías de
los riesgos, las plantillas estándar, roles y responsabilidades y los niveles de autoridad para la toma de
decisiones. Sus resultados se reflejan en el Plan de Gestión de Riesgos que incluye actividades, roles y
responsabilidades, preparación del presupuesto, periodicidad y categorías de riesgo.
Para este proceso el PMBOK hace especial referencia fundamentalmente en la categoría de riesgos y la
matriz de probabilidad e impacto, ambas se explican a continuación con más detalle.
Categorías de riesgo: PMBOK la define como una estructura de desglose de riesgo basada en el método
RBS (Risk Breakdown Structure). Las categorías de los riesgos son propias de cada proyecto y deben
revisarse con periodicidad.
Matriz de probabilidad e impacto: Para la realización de la matriz se utiliza una escala para medir el
impacto de los riesgos (alta, moderada o baja). Sugiere también utilizar probabilidades numéricas
asociadas a descripciones relativas que se pueden medir en (muy bajo, bajo, moderado, alto y muy alto).
Las escalas se pueden adaptar en dependencia del proyecto. La matriz generada se utilizará en el análisis
cualitativo de los riesgos.
Identificación de riesgos
Este proceso determina los riesgos que afectan el proyecto y los documenta. Permite en su desarrollo que
se puedan descubrir nuevos riesgos a lo largo del ciclo de vida del proyecto variando la frecuencia de
iteración.
Se proponen varias técnicas de recopilación de información como (tormenta de ideas, técnica delphi,
entrevistas, identificación de la causa, análisis DAFO) y técnicas de diagramación (diagramas de causa y
efecto, de flujos o de sistema, de influencias), además se tiene en cuenta las revisiones de documentación
y el análisis mediante Listas de Control y mediante Asunciones.
En este proceso se construye el registro de riesgos que contiene el resultado de los procesos de Gestión
de Riesgos que van llevando a cabo. El mismo contiene la lista de riesgos identificados, a lista de posibles
respuestas, las causas de los riesgos y la actualización de la categoría de los riesgos.
32
Capítulo 1. Fundamentación Teórica
Este proceso incluye métodos que se utilizan para priorizar los riesgos identificados que conllevan a otras
acciones como el Análisis Cuantitativo de Riesgos y la Panificación de la Respuesta a los Riesgos. Tiene
en cuenta la prioridad de los riesgos identificados usando para ello la probabilidad de ocurrencia, el
impacto, el plazo y la tolerancia evaluando restricciones como coste, cronograma, alcance y calidad.
Este proceso tiene como objetivo analizar el efecto de los riesgos priorizados en el proyecto y asignarle
una calificación numérica. Presenta un método cuantitativo para la toma de decisiones en caso de
incertidumbre. Este proceso no es de total obligación llevarse a cabo pero si se realiza se debe repetir
luego de la Planificación de la Respuesta a los Riesgos.
Es el proceso donde se mejoran las oportunidades y se reducen las amenazas en el proyecto. Tiene en
cuenta los riesgos en función de su prioridad. Para los riesgos negativos o amenazas propone tres
estrategias: evitar, transferir y mitigar. Para el caso de los riesgos positivos u oportunidades las estrategias
son: explotar, compartir y mejorar. Para ambos casos se puede aceptar un riesgo o una oportunidad. Se
diseñan además estrategias de respuesta para contingencias que se usarán bajo determinadas
condiciones.
Como resultado se actualiza el registro de riesgos, el plan de gestión del proyecto y se preparan acuerdos
contractuales relacionados con los riesgos y teniendo en cuenta seguros, servicios u otros.
33
Capítulo 1. Fundamentación Teórica
Es el proceso donde se chequean y se controlan los riesgos identificados. Aplica técnicas como el análisis
de variación y de tendencias. Utiliza técnicas de reevaluación de los riesgos, auditorías, medición del
rendimiento técnico, análisis de reserva y reuniones sobre el estado de la situación.
Tiene como resultado la actualización del registro de riesgos, planes para contingencias y soluciones
alternativas, actualización de los activos de los procesos y el plan de gestión del proyecto.
De forma general PMBOK es una guía que indica el conocimiento necesario para manejar el ciclo vital de
cualquier proyecto construyendo las mejores prácticas para su área de aplicación utilizando técnicas y
herramientas. Resulta complejo aplicarlo en proyectos pequeños y no detallas los roles que intervienen en
la Gestión de Riesgos y sus responsabilidades.
Los modelos estudiados coinciden en los procesos que definen: Planeación, Identificación, Análisis,
Planeación de la Respuesta, Control y Seguimiento. Alterno a estos siguiendo la misma línea se incluyen
nuevos procesos como el Análisis Cualitativo y Análisis Cuantitativo. Presentan deficiencias al
implementarse en el proyecto porque no definen roles, no presentan bibliografías o un desglose específico
para poder utilizarlos. Además de las personalizaciones que se debe hacer para adecuarlos a las
características locales del proyecto.
Las técnicas que proponen son generalmente descriptivas y carecen de una adecuada explicación para
ponerlas en práctica o no definen con claridad la manera en que sus resultados se integran en la Gestión
de Riesgos. Las propiedades que se tienen en cuenta para los riesgos varían de un modelo a otro, pero la
mayoría define la probabilidad y el impacto. No todos los modelos categorizan los riesgos de acuerdo a un
sistema de categorías bien estructurado.
En su mayoría no definen una técnica o proceso donde se puedan gestionar las oportunidades y sacar
provecho de ellas. En general no se generan artefactos bien estructurados donde se puedan documentar
los riesgos. La documentación pública varía y en algunos modelos resulta bastante deficiente.
34
Capítulo 1. Fundamentación Teórica
universidad. Existen documentos oficiales que tratan alguno de sus elementos como: el Plan de Mitigación
de Riesgos, incluido en el expediente de proyecto que propone CALISOFT a los proyectos en la
universidad.
Este documento se realiza de forma individual para cada uno de los proyectos y mantiene reglas de
confidencialidad que son de estricto cumplimiento. En el mismo se documentan los riesgos y se recoge
una lista de riesgos especificando su tipo (Tecnológico, Personal, Organización, Herramientas,
Requerimientos, Estimación), además se tienen en cuenta elementos como: clasificación, impacto, breve
descripción, probabilidad y efectos. Se redactan estrategias de (mitigación, evasión, y/o prevención) para
cada uno y el plan de contingencia además de una descripción de cómo monitorearlo.
De forma general los riesgos positivos u oportunidades no se tienen en cuenta en ninguno de los
proyectos ni se registran en el documento.
En el caso del impacto de los riesgos no se definen técnicas para su identificación o cálculo, la
probabilidad se define en (Alta, Media, Baja, Muy alta) pero no se realizan cálculos en el orden numérico y
lo mismo para el efecto (Catastrófico, Serias, Tolerable, Insignificante) que no existen guías para ayudar
en su determinación.
El documento recoge también la descripción de las tareas que se van a realizar para gestionar los riesgos
y como serán analizados y priorizados. Destacar que las estrategias no se describen para todos los
riesgos lo que atenta contra la eficacia de la Gestión de Riesgos.
Con el objetivo de evaluar el proceso de Gestión de Riesgos en la universidad, se tomó una muestra de
algunos proyectos importantes que se encuentran en desarrollo (CCV, Registro y Notaría 2da Fase,
Identidad, CICPC, Integración de Soluciones y Línea Desarrollo de Productos de ERP) para la realización
de una encuesta (Ver Anexo 4). De manera general se obtuvo como resultado que los proyectos en la
universidad actualmente presentan una Gestión de Riesgos pobre producto al poco interés que se le
presta por parte de los equipos de proyectos en el desarrollo del producto. Carecen de métodos, métricas,
guías, modelos a implementar para lograr un adecuado tratamiento de los riesgos. Los artefactos que
35
Capítulo 1. Fundamentación Teórica
Se realizó el estudio de las principales metodologías en materia de Gestión de Riesgos estableciendo sus
procesos, métodos, herramientas y elementos fundamentales. Se determinó las ventajas y deficiencias de
estos modelos en comparación con la guía PMBOK concluyendo que aunque las metodologías presentan
deficiencias, es siempre provechoso utilizarlas e incluso poder adaptarlas a nuestro entorno productivo.
Por lo que para lograr una adecuada Gestión de Riesgos en la línea de Productos Horizontales del
proyecto ERP-Cuba se propone un proceso integrador y bien definido basado en la Guía PMBOK.
36
Capítulo 2. Implementación del proceso
El presente capítulo describe la Gestión de Riesgos diseñada para la línea de Productos Horizontales. Se
describen los procesos fundamentales, las técnicas a tener en cuenta y las actividades a desarrollar. Se
especifican además las entradas necesarias para cada proceso y se define el diagrama de flujo de trabajo.
Propósito
El proceso para gestionar los riesgos está enfocado principalmente en el asesoramiento del equipo del
proyecto para lograr una correcta planificación de los riesgos en la línea, lograr un adecuado proceso de
Gestión de Riesgos y evitar las variaciones en el cronograma.
Alcance
Aprovecha las principales ventajas del PMBOK y las adapta a los proyectos de la línea. Propone un
seguimiento y control de los riesgos que puede utilizarse en cualquier proyecto de software y que logra
una continuidad en la Gestión de Riesgos y una mejora en la planificación.
Para desarrollar y aplicar el expediente de Gestión de Riesgos propuesto se tendrán en cuenta las
premisas siguientes:
Personal capacitado y comprometido con la Gestión de Riesgos: Para lograr un adecuado proceso
de Gestión de Riesgos el equipo de proyecto debe asumir roles y responsabilidades para lograr una
organización adecuada del expediente así como estar comprometido con el trabajo que se va a realizar de
forma individual y colectiva. Es de vital importancia que el personal cuente con capacitación para enfrentar
el proceso, cada integrante del proyecto debe tener conocimientos básicos de Gestión de Riesgo y pleno
dominio del PMBOK en el área que refiere al tema. El compromiso del personal y la autonomía en cuanto
37
Capítulo 2. Implementación del proceso
al desarrollo de los procesos serán significativamente relevantes y de mucha ayuda para la rápida
aplicación del expediente.
Existencia del Plan de Gestión de Proyecto: Representa el punto de partida para el desarrollo de los
seis procesos. La existencia de un Plan de Gestión de Proyecto correctamente estructurado y desglosado
y un correcto dominio del Jefe de Proyecto del mismo agilizarán la fase primera que incluye la
planificación en el expediente de Gestión de Riesgos.
Recursos Humanos: Identifican problemas del personal (Enfermedad, Motivación, Convivencia Social,
Formación profesional).
Organización: Se identifican como riesgos del proyecto que amenazan el plan del proyecto (Presupuesto,
Estimación, Planificación, Recursos, Dependencias del proyecto, Priorización, Alcance).
Externos: Identifican problemas externos que amenazan el proyecto (Condiciones climáticas, Mercado,
Intereses externos y Clientes).
38
Capítulo 2. Implementación del proceso
Riesgo
Requisitos
Calidad
La siguiente representación del riesgo abarca los aspectos fundamentales que se van a medir y tener en
cuenta en todos los procesos para gestionar los riesgos y formará parte del Plan de Gestión de Riesgos
del proyecto.
RIESGOS
Id Riesgo Clasificación Etapa Descripción Estado Prioridad Causa Consecuencia Involucrado Impacto …
Id: Identificador del riesgo único en la línea. Cadena de caracteres, las primeras letras van a ser el
identificador del nombre de la línea (LPH) y luego número consecutivos. Ejemplo: LPH1 (primer riesgo de
la línea Productos Horizontales).
39
Capítulo 2. Implementación del proceso
Etapa: Identificar etapa del proyecto donde se manifiesta el riesgo (Inicio, Elaboración, Construcción,
Cierre, Soporte).
Estado: Tener en cuenta una de estas categorías: Identificado, Analizado, Monitorizado, Cerrado,
Reabierto. Estas categorías van a estar en correspondencia con el tratamiento establecido para el riesgo
atendiendo a su prioridad e impacto.
Prioridad: Orden de prioridad para atender el riesgo teniendo en cuenta la criticidad y el impacto del
riesgo sobre los objetivos del proyecto.
De 0 a menor que 3: Menos priorizado. Se define para los riesgos con criticidad baja según la matriz de
probabilidad e impacto.
De 3 a menor que 6: Priorizado. Se define para los riesgos con criticidad media según la matriz de
probabilidad e impacto.
De 6 a 10: Muy priorizado. Se define para los riesgos con criticidad alta según la matriz de probabilidad e
impacto.
Involucrado: Persona que identificó el riesgo y responsable de las acciones que deben realizarse para él.
Impacto: Efecto que tendría el riesgo sobre los objetivos del proyecto en el caso de presentarse. Valor
numérico reflejado en los siguientes intervalos:
40
Capítulo 2. Implementación del proceso
Probabilidad: Valor numérico indicando ocurrencia del riesgo reflejado en los siguientes intervalos:
Frecuencia: Valor numérico porcentual que indica el factor de aparición del riesgo con respecto al tiempo
total del proyecto.
Criticidad: Valor numérico resultante de la multiplicación del impacto por la probabilidad. Debe ordenarse
los riesgos de acuerdo a su exposición para determinar la estrategia global de mitigación y para estimar
los esfuerzos inherentes a la misma.
Plan de mitigación: Acciones a realizar para evitar el riesgo. Se realiza solo cuando el impacto *
probabilidad > que 0.06.
A partir de los roles existentes en la línea se otorgarán responsabilidades para la gestión de riesgos, esto
contribuirá a lograr un proceso organizado, dirigido y planificado, un mejor trabajo en equipo y el éxito de
la Gestión de Riesgos en la línea. Los roles y sus responsabilidades serán incluidas en el Plan de Gestión
de Riesgos.
41
Capítulo 2. Implementación del proceso
Resto del equipo: Participa activamente en todas las actividades de gestión de riesgos
principalmente en los procesos de Identificación de Riesgos y Monitoreo y Control.
Este proceso es iniciado por el líder de la línea y es donde se planifican todas las actividades de Gestión
de Riesgos que se van a realizar en el proyecto y se definen las pautas para llevar a cabo el proceso.
Tiene en cuenta los factores ambientales y activos de los procesos. La planificación procura formalizar
una correcta gestión de los riesgos teniendo en cuenta el alcance y los objetivos del proyecto y es el punto
de partida para lograr responder ante los eventos adversos y evitarlos. Como salida de este proceso se
genera el Plan de Gestión de Riesgos que se va a incluir en el Plan de Gestión del proyecto.
Entradas
Factores Ambientales
Flujo de trabajo
42
Capítulo 2. Implementación del proceso
Se realizará una vez al comienzo del la Gestión de Riesgos según planificación del Jefe de Proyecto.
Participa todo el equipo de trabajo y su objetivo principal es planificar las tareas para la gestión de los
riesgos e incluirlas en el cronograma de actividades de la línea, se definirán los elementos principales que
se van a tener en cuenta para la identificación de los riesgos y el procedimiento para llevar a cabo el
análisis de los riesgos. Se darán a conocer las responsabilidades que va a asumir cada integrante para
gestionar los riesgos. En esta reunión se definirá un mecanismo de evaluación para el riesgo a partir del
aporte de cada integrante del equipo. El líder informará la categoría a utilizar para los riesgos y su
representación. Lo acordado en esta reunión se resumirá en el Plan de Gestión de Riesgos.
En esta sección se describe cómo elaborar el Plan de Gestión de Riesgos el cual contiene los elementos
que van a guiar la gestión de los riesgos en todo el ciclo de vida del proyecto y constituye un apéndice del
Plan de Gestión del proyecto. Define métodos y herramientas a utilizar en la gestión de los riesgos.
Especifica los roles y las responsabilidades para asumir la Gestión de Riesgos. Determina presupuesto,
frecuencia con la que se va a realizar el proceso de gestión de riesgos y establece las actividades que se
van a incluir en el cronograma del proyecto. Tiene en cuenta la categoría de los riesgos y el impacto y la
probabilidad reflejados en la matriz de probabilidad e impacto. Establece el formato de todos los artefactos
resultados de cada uno de los procesos y documenta las lecciones aprendidas para futuras necesidades.
43
Capítulo 2. Implementación del proceso
La realización del plan estará a cargo del Jefe de Proyecto y se actualizará con la información del Registro
de Riesgos una vez concluido cada proceso. A continuación explicamos cada uno de los elementos del
Plan de Gestión de Riesgos:
Periodicidad
Adicionalmente se deben documentar otras restricciones que se realicen en la planificación de las etapas
del proyecto y que incluyan los procesos de Gestión de Riesgos.
Presupuesto
En esta sección quedará registrado el análisis de costos y presupuesto asignado al proyecto para la
Gestión de Riesgos incluyendo los planes de respuesta.
Se definirán las actividades para asegurar la gestión de los riesgos en la línea a fin de lograr una
adecuada planificación, seguimiento y control de los riesgos. Estarán enfocadas en la realización de todos
44
Capítulo 2. Implementación del proceso
los procesos para gestionar los riesgos. Se registrarán mensualmente y serán planificadas en conjunto
con las actividades de producción.
Formatos de informe
En esta sección se registrará el formato de cada uno de los artefactos que se van a generar a lo largo de
la Gestión de Riesgos incluyendo lo documentados en el registro de riesgos.
Una vez redactado el plan con cada uno de sus elementos el Jefe de Proyecto lo discutirá con el equipo y
una vez aprobado lo registrará en formato digital en el expediente, incluyéndolo en el primer directorio en
la carpeta de planificación como salida del proceso de Planificación de los riesgos, quedando registrado
para posterior actualización o revisión.
Este proceso determina qué riesgos pueden afectar al proyecto, documenta sus características y requiere
la comprensión del cronograma, el coste y los planes de gestión de calidad del plan de gestión del
proyecto. Se va a realizar de forma periódica en la línea a fin de encontrar nuevos riesgos que puedan
afectar la planificación. Va a ser dirigido por el Jefe de Proyecto y va a participar todo el equipo incluyendo
el cliente. Importante tener en cuenta en este proceso que los riesgos identificados se van a basar
principalmente en el criterio: Incidencia en la planificación del proyecto y a partir de ahí se realizará la
continuidad del proceso.
Entradas
Factores Ambientales
Flujo de trabajo
45
Capítulo 2. Implementación del proceso
Técnicas a utilizar
Tormenta de ideas: La meta de esta técnica es obtener una lista completa de los riesgos que afectan el
proyecto. La aplicación de la técnica se realizará mediante el REDMINE donde cada integrante del equipo
registrará posibles riesgos en el proyecto en una semana, sus posibles causas y consecuencias. Luego el
panificador generará un reporte con la lista de riesgos identificados e incluirá el responsable temporal del
riesgo. Destacar que esta técnica se realizará semanalmente en la línea con el objetivo de controlar la
aparición de nuevos riesgos.
Entrevistas: Para esta técnica se utilizará el método de la encuesta o los cuestionarios que se
fundamentaran en los posibles riesgos a identificar teniendo en cuenta las características del proyecto.
Serán aplicados a los miembros del proyecto y al cliente con el objetivo de lograr una recopilación de
datos eficaz para la identificación. La técnica se realizará en dos sesiones en el mes y para ello el Jefe de
46
Capítulo 2. Implementación del proceso
Análisis de debilidades, amenazas, fortalezas y oportunidades: Este análisis tiene como objetivo
identificar y evaluar las capacidades internas de la línea, o sea los puntos fuertes y débiles para lograr una
mejor identificación de los riesgos previendo el área del proyecto que puede afectar.
Para realizar la matriz DAFO existen varias formas de representación, específicamente utilizaremos la que
muestra la figura # 13. Las combinaciones de fila y columna que inciden con más fuerza se marcan con
una X, las restantes con (-). Al final se totaliza el número de combinaciones fuertes.
El análisis sugiere además algunas acciones estratégicas que se pueden realizar. Por ejemplo, el
cuadrante en el que coinciden las fortalezas y las oportunidades, resulta el área de mayor impacto para la
elaboración de las estrategias, ya que allí convergen las fortalezas con las oportunidades.
47
Capítulo 2. Implementación del proceso
A partir del cuadrante en el cual coinciden las amenazas y las debilidades, se pueden trazar estrategias
defensivas o de supervivencia. Los otros dos cuadrantes, en el que convergen las fortalezas con las
amenazas, y en el que coinciden las debilidades con las oportunidades, constituyen la base para el
trazado de estrategias adaptativas, es decir estrategias mediante las cuales se realizan avances discretos
para luego ejecutar estrategias más ventajosas (36).
Resumen de la Identificación
Después de desarrollar todas las técnicas de identificación se procederá a agrupar los riesgos teniendo en
cuenta la clasificación de los riesgos definida. Después de analizar y organizar los riesgos se resumirán en
una Lista de Riesgos Identificados que va a tener de cada riesgo el id, nombre del riesgo, descripción,
clasificación, impacto, probabilidad y consecuencia. El equipo de trabajo realizará una lista de posibles
respuestas a los riesgos identificados, estas respuestas serán temporales porque pueden variar a medida
que se desarrolla la gestión de riesgos en busca de la mejor estrategia para evitar o mitigar el riesgo. El
planificador será el responsable de incluir las listas en el registro de riesgos.
Registro de Riesgos
Es un componente del Plan de Gestión del proyecto y contiene los resultados de todos los procesos de
gestión de riesgos a medida que se van llevando a cabo. Surge en el proceso de Identificación e incluye la
lista de riesgos identificados y la lista de posibles respuestas a esos riesgos. El responsable de la
elaboración y actualización del registro será el planificador.
En este proceso se priorizan los riesgos identificados a partir de métodos y se evalúa su prioridad a partir
de la probabilidad de ocurrencia, el impacto sobre los objetivos del proyecto y otros factores como el plazo
y la tolerancia de las restricciones del proyecto como coste, cronograma, alcance y calidad. Debe
realizarse continuamente durante todo el ciclo de vida del proyecto.
Entradas
48
Capítulo 2. Implementación del proceso
Registro de riesgos
Flujo de trabajo
Evaluación de riesgos
La evaluación cualitativa de los riesgos se realizará por encuentros y en grupo de tres personas liderados
por el Jefe de Proyecto, el planificador y el Administrador de Calidad, los que serán los responsables de
organizar el análisis de los riesgos identificados. La evaluación cualitativa va a tener en cuenta la
prioridad, probabilidad e impacto de los riesgos y de este análisis se obtendrá los riesgos más priorizados,
para ello se van a utilizar técnicas validadas con anterioridad.
Técnicas a utilizar
49
Capítulo 2. Implementación del proceso
PROBABILIDAD CATEGORÍA
0.50 Probable
0.10 Improbable
Para la evaluación del impacto las definiciones de los riesgos se analizan para cada objetivo del proyecto
(coste, tiempo, alcance y calidad) y el valor para cada riesgo se muestra en la Tabla #7.
IMPACTO CATEGORÍA
0.40 Alto
0.10 Bajo
50
Capítulo 2. Implementación del proceso
de la urgencia de los riesgos para priorizar los que necesiten acciones rápidas por parte del equipo del
proyecto. Esta técnica se va a desarrollar a partir de la matriz que se muestra en la Tabla #8.
PROBABILIDAD AMENAZAS
Gris: De 0.01- 0.05. Riesgos de baja criticidad que sólo requieren supervisión.
Verde: De 0.06 - 0.14. Riesgos de media criticidad que requieren supervisión y un Plan de Mitigación.
Rojo: De 0.18 - 0.72. Riesgos de alta criticidad que requieren de supervisión, Plan de Mitigación y Plan de
Contingencia.
Evaluación de la calidad de los datos sobre riesgos: Consiste en examinar el grado de entendimiento
del riesgo, la exactitud, calidad, fiabilidad e integración para lograr datos exactos que proporcionen mayor
utilidad para la gestión de riesgos. Se realizará mediante encuentros en la línea una vez desarrolladas las
técnicas anteriores teniendo en cuenta principalmente los riesgos priorizados resultado del análisis de
probabilidad e impacto.
Los resultados del análisis de probabilidad e impacto arrojarán los riesgos priorizados del proyecto, estos
riesgo se incluyen en la Lista de prioridades, que va a agrupar los riesgos más importantes definidos por
categorías. De estos riesgos se definirán los que requieren respuestas a corto plazo y los que requieren
51
Capítulo 2. Implementación del proceso
respuestas y análisis adicionales y para los riesgos de baja prioridad serán registrados en la Lista de
supervisión de riesgos de baja prioridad. El Planificador es el encargado de documentar las tendencias del
análisis cualitativo.
El Análisis Cuantitativo de Riesgos se realiza a partir del Análisis Cualitativo y tiene en cuenta los riesgos
priorizados que tienen un impacto significativo sobre el proyecto y se cuantifican numéricamente. Se debe
realizar nuevamente después de la Planificación de la Respuesta a los Riesgos y como parte del
Seguimiento y Control de Riesgos para determinar si las amenazas han sido reducidas satisfactoriamente.
Entradas
Registro de Riesgos
Flujo de trabajo
52
Capítulo 2. Implementación del proceso
La priorización de los riesgos tiene como objetivo identificar la prioridad de cada uno de los riesgos en el
proyecto. Se va a definir en dependencia de sus efectos en la planificación. Para realizar el análisis el
equipo se reúne con los resultados del análisis cualitativo y le otorga la prioridad a cada uno de los riesgos
a partir de los valores definidos en la representación del riesgo y en dependencia de su criticidad. La
criticidad de cada riesgo definida en la representación del riesgo va a ser el criterio de priorización a tener
en cuenta, cuanto más crítico sea un riesgo más prioridad obtendrá. Destacar que cada integrante del
equipo del proyecto debe conocer los elementos relacionados con la planificación del proyecto para poder
definir con claridad la prioridad del riesgo. Una vez definida la prioridad para cada definición del riesgo se
seleccionan los riesgos más priorizados y se les realiza un análisis cuantitativo a partir de las técnicas
siguientes.
Técnica a utilizar
Análisis de Sensibilidad: Este análisis ayuda a determinar los riesgos con mayor impacto sobre el
proyecto, específicamente se van a analizar los riesgos que influyen negativamente en la planificación del
proyecto obtenidos de la priorización de los riesgos. Los valores de impacto y probabilidad definidos en el
análisis cualitativo se analizaran nuevamente a partir de un juicio de expertos formado por los integrantes
53
Capítulo 2. Implementación del proceso
en la línea con vasta experiencia en el trabajo del proyecto y otros involucrados que van a determinar los
riesgos que tienen más peso en el proyecto, o sea, que presentan mayor amenaza.
Del análisis cuantitativo que se realiza para los riesgos priorizados resulta una lista de riesgos
cuantificados donde van a aquedar registrados los riesgos que representan mayor amenaza en el
proyecto. Los resultados se confirmarán a partir de un resumen de las tendencias del análisis cuantitativo.
El planificador será el encargado de cerrar este proceso en la línea.
El resultado de este proceso es una continuidad del Análisis Cualitativo porque mantiene el Registro de
Riesgos actualizado a partir del análisis de sensibilidad y la priorización de los riesgos del proyecto
teniendo en cuenta las estimaciones de los posibles resultados del cronograma y los costes del proyecto.
Como elemento fundamental agrega la lista de riesgos cuantificados resultado del análisis cuantitativo
donde se registran los riesgos que representan mayor amenaza para el proyecto, así como los que
requieren la mayor contingencia de costes y aquellos que tienen más probabilidad de influir sobre el
camino crítico. El Registro de Riesgos actualizado se incluirá en el Expediente de Gestión de Riesgos en
la carpeta de análisis cuantitativo.
2.6 Segundo directorio del Expediente de Gestión de Riesgos (Evaluación de los Riesgos)
Consiste en determinar acciones para reducir las amenazas en el proyecto. Aborda los riesgos en función
de su prioridad y las respuestas deben ser efectivas en relación al desafío, ser realistas y aplicadas a su
debido tiempo. Son resultado de acuerdos entre los miembros del proyecto. Se realiza después de los
procesos de Análisis Cualitativo y Cuantitativo y se basa inicialmente en el Plan de Gestión de Riegos y en
el Registro de Riesgos.
Entradas
Registro de Riesgos
54
Capítulo 2. Implementación del proceso
Flujo de trabajo
Para desarrollar el análisis el Jefe de Proyecto planifica un encuentro con la línea, pueden participar
personas externas al proyecto y que tengan conocimiento de gestión de riesgos. El encuentro tendrá
como objetivo decidir las estrategias que se van a tomar con respecto a los riesgos resultados del análisis
cuantitativo teniendo en cuenta principalmente los riesgos con mayor criticidad en el proyecto resultado de
su probabilidad e impacto, las mismas se explican a continuación y elaborar la mitigación y respuesta en
caso de que el riesgo lo requiera. El análisis de priorización de los riesgos se realizará semanalmente en
la línea.
Evitar: Consiste en cambiar el Plan de Gestión del proyecto ampliando el cronograma o reduciendo el
alcance con el objetivo de relajar el elemento del proyecto que está en peligro. En etapas tempranas del
proyecto se pueden tomar otras acciones para evitar el riesgo.
55
Capítulo 2. Implementación del proceso
Transferir: Consiste en trasladar el impacto negativo de una amenaza, junto con la propiedad de la
respuesta a un tercero responsabilizándolo de su gestión. Se utiliza generalmente ante riesgos financieros
o requerimientos importantes.
Mitigar: Reduce la probabilidad y/o el impacto de un evento negativo a un umbral aceptable definido por
el Jefe de Proyecto en dependencia de las políticas de la línea o la universidad.
Estrategias comunes
Aceptar: Se adopta cuando es imposible eliminar el riesgo o cuando no se desea hacer nada con él. Es
una estrategia sensible y se debe documentar el por qué de su elección.
La mitigación consiste en dirigir las acciones o estrategias con el fin de evitar el riesgo. Siempre se realiza
para cada uno de los riesgos especificando la estrategia a seguir y se incluye en el Plan de Gestión de
Riesgos. Los riesgos que tienen una criticidad (I*P)1> 0.06 requieren una mitigación agresiva por su
amenaza, a estos riesgos específicos se les realiza un Plan de Mitigación2 que va a tener la estructura
siguiente:
Indicadores: Elementos del riesgo que se tomaron en cuenta para realizar el plan de mitigación.
Todos los riesgos identificados necesitan de respuestas para poder reducirlos, solo algunos riesgos
determinan un plan de respuestas que se ejecutará solo si I*P > 0.18, esta contingencia se incluye en el
Plan de Mitigación y se estructura de la forma siguiente:
1
Criterio de criticidad: (Impacto * Probabilidad).
2
El resumen del Plan de Mitigación se incluye en el Plan de Gestión de Riesgos.
56
Capítulo 2. Implementación del proceso
El Plan de Mitigación será revisado y actualizado por el Planificador en un tiempo relativo a un mes y las
respuestas se tendrán en cuenta en el proceso de Monitoreo y Control con el objetivo de verificar la
efectividad del plan.
De este proceso resulta actualizado el Registro de Riesgos, el Plan de Gestión del proyecto y se realizan
acuerdos contractuales relacionados con el riesgo.
El Registro de Riesgos se actualizará con el Plan de Mitigación. Registrar los responsables de cada riesgo
y sus responsabilidades con los mismos, además tener en cuenta las salidas de los análisis cualitativos y
cuantitativos. El documento también incluirá la lista de riesgos residuales.
Otra salida del proceso es la actualización del Plan de Gestión del Proyecto a través del proceso Control
Integrado de Cambios y los acuerdos contractuales para especificar la responsabilidad de cada miembro
en cuanto a los riesgos.
El proceso de Seguimiento y Control de Riesgos identifica, analiza y planifica nuevos riesgos, mantiene un
seguimiento a los riesgos identificados y supervisados, analiza los existentes y sigue las condiciones que
disparan las contingencias, los riesgos residuales y ejecuta y revisa la ejecución de las respuestas a los
riesgos. Es un proceso que se realiza durante todo el ciclo de vida del proyecto. El monitoreo de los
riesgos se realizará semanal en la línea por la importancia del proceso y con el objetivo de evitar
continuas desviaciones
Entradas
3
Las actividades se incluyen en el cronograma de actividades del proyecto.
57
Capítulo 2. Implementación del proceso
Registro de Riesgos
Informes de rendimiento
Flujo de trabajo
Consiste en chequear el estado de los riesgos a partir de la lista de riesgos identificados. Para analizar
cada riesgo es obligación para el equipo del proyecto consultar el Registro de Riesgos y el Plan de
Gestión de Riesgos con el objetivo de verificar en qué estado se encuentran los riesgos identificados e
investigar si los valores han cambiado y cuánto lo han hecho. Si el equipo lo decide puede volver a
ejecutar el proceso de identificación aplicando las técnicas que se describen en el mismo para buscar
nuevos riesgos que puedan aparecer. Simultáneamente a la reevaluación se utilizarán técnicas que
propicien el seguimiento de los riesgos, una de ellas la explicamos a continuación:
58
Capítulo 2. Implementación del proceso
Para realizar la auditoría el equipo se reúne en sesión de trabajo y analizan los planes de mitigación
asociados a cada riesgo registrado en el Plan de Gestión de Riesgos y en el Plan de Mitigación
puntualizando el estado en que se encuentran, o sea, si se están por ejecutarse, si se están ejecutando o
si culminaron. Para la evaluación de la efectividad del plan se va a aplicar un criterio cualitativo que se va
a definir en:
Criterio cualitativo: Se considera un plan efectivo si los valores de probabilidad e impacto referente al
riesgo después del plan son notables y beneficiosos.
Medición del Rendimiento Técnico: En esta técnica se van a comparar los logros técnicos durante la
ejecución del proyecto con el cronograma de logros técnicos del plan de gestión del proyecto.
Análisis de Reserva
Consiste en comparar la cantidad de reservas para contingencias restantes con la cantidad de riesgo
restante en cualquier momento del proyecto para determinar si la reserva restante es suficiente. El análisis
se llevará a cabo en cualquier reunión planificada para tratar elementos de la Gestión de Riesgos y se
dirigirá principalmente a evaluar los planes de respuestas en ejecución y si han sido efectivos o no, en
caso negativo redireccionarlos ajustándolos para el cumplimiento de su objetivo. Importante considerar
para este análisis la cantidad de recursos disponibles para el ajuste de los planes.
59
Capítulo 2. Implementación del proceso
El análisis del estado de la situación representará un punto de las reuniones del equipo para debatir temas
de Gestión de Riesgos, estas reuniones se realizarán periódicamente con el fin de que la Gestión de
Riesgos en el proyecto resulte más fácil. Para el estado de la situación el equipo va a tener en cuenta el
estado del proyecto, las tareas para gestionar los riesgos en ejecución, los planes de respuestas, la
necesidad de recursos materiales para resolver algunos riesgos, cantidad de riesgos identificados,
cantidad de riesgos no cerrados, cantidad de riesgos con prioridad alta y cantidad de planes de
respuestas que faltan por ejecutar, para estos elementos cuantitativos es importante que el equipo pueda
establecer gráficos (pastel o de barras) que modelen estos valores. Estas reuniones se deben realizar una
vez a la semana en la línea.
El cierre del proceso lo realiza el equipo del proyecto en un encuentro formal donde analizarán todos los
riesgos identificados y verificarán en qué estado se encuentran así como los planes de mitigación, en el
caso de que el riesgo haya sido cerrado el Plan de Mitigación se actualiza igualmente. Igualmente si
aparecieron nuevos riesgos se revisan y documentan. Es importante incluir una valoración del estado de
la Gestión de Riesgos en la línea. Todos los cambios realizados igualmente se registran.
De este proceso resulta un Registro de Riesgos actualizado que incluye el resultado de las
reevaluaciones, auditorias y las revisiones que se han realizado a los riesgos. Registra los resultados
reales de los riesgos y sus contingencias. Estos elementos completan el Registro de Riesgo que va a ser
una entrada del Cierre del Proyecto.
Quedan registrados además los Cambios Solicitados que se envían al proceso Control Integrado de
Cambios como una salida del proceso Seguimiento y Control de Riesgos. Se emiten las solicitudes de
cambios aprobadas y pasan a ser entradas al proceso Dirigir y Gestionar la Ejecución del Proyecto y al
proceso Seguimiento y Control de Riesgos.
Otra salida son las Acciones Correctivas Recomendadas que incluyen los planes para contingencias y los
planes de soluciones alternativas. Se utilizan como entrada al proceso Control integrado de Cambios. Se
registran también las Acciones Preventivas Recomendadas que se usan para que el proyecto cumpla con
el Plan de Gestión del proyecto.
60
Capítulo 2. Implementación del proceso
Finalmente se actualizan los activos de los procesos y el Plan de Gestión del proyecto con los cambios
actualizados de todos los procesos realizados.
El resumen de este proceso en conjunto con la actualización y cierre del Registro de Riesgos y toda la
información secundaria se registran en el Expediente de Gestión de Riesgos en la carpeta de Monitoreo y
Control ubicada en el directorio de Evaluación de Riesgos.
Se generaron los artefactos Plan de Gestión de Riesgos, Lista de Identificación de Riesgos, Plan de
Mitigación y Registro de Riesgos para complementar la Gestión de Riesgos en la línea. Se describió una
propuesta que define un proceso para una adecuada Gestión de Riesgos en la línea Productos
Horizontales aprovechando las ventajas del PMBOK en esta área. El flujo de trabajo planteado está en
concordancia con cada uno de los procesos, resultando esta la mejor forma para lograr el cumplimiento de
sus objetivos.
61
Capítulo 3. Validación de la solución
El presente capítulo explica los mecanismos utilizados para validar el proceso de Gestión de Riesgos en la
línea Desarrollo de Productos Horizontales descrito en el capítulo anterior. Específicamente la validación
va enfocada en el comportamiento de la planificación, objetivo del proyecto elemental para lograr el éxito.
El análisis para demostrar las ventajas del proceso aplicado se basa en una comparación de los
resultados del proyecto antes y luego de aplicar la Gestión de Riesgos, insistiendo en las variaciones de
planificación con respecto al cronograma de las actividades y la aparición de riesgos. Adicionalmente se
realiza un resumen de la gestión de riesgos presentando resultados alcanzados en el proyecto.
El análisis se realiza para los meses de febrero y marzo, para ello se tuvo en cuenta los tipos de
desviaciones existentes en el proyecto y cómo han influido en la planificación. A continuación
enumeramos las desviaciones:
Personal: Ocurre cuando falta un recurso humano para el completamiento de una tarea, o sea la cantidad
de esfuerzo a utilizar.
Compromisos: La desviación ocurre cuando no se cumple un compromiso realizado por el equipo del
proyecto.
Actividades: Esta desviación abarca el estado de las actividades planificadas y contempla la variación del
programa (SV) resultante de la sumatoria del valor ganado (EV) de las actividades del período y la
sumatoria del valor planeado (PV) de estas actividades y su índice de rendimiento.
Datos: Ocurre cuando el dato no se entrega en la fecha establecida, cuando se viola el acceso al mismo y
cuando no se le garantiza el nivel de seguridad requerido.
Riesgos: Esta desviación abarca el estado de los riesgos identificados midiendo para ellos el impacto y la
criticidad.
62
Capítulo 3. Validación de la solución
Desviación en recursos materiales: Describe la falta de un recurso material para el cumplimiento de una
tarea.
Cada una de estas desviaciones ha afectado las planificaciones de tiempo y cronograma de las tareas que
se han realizado en la línea, obligando al equipo del proyecto a tomar estrategias urgentes en un mínimo
margen de holgura para darle cumplimiento a las actividades planificadas.
Una vez identificadas las desviaciones y su impacto en cada área del proyecto, se procedió al estudio del
valor planeado (PV) de las actividades del período y su incidencia en la variación del programa (SV).
Como resultado se obtuvo que de manera general la planificación en la línea no tuvo variaciones
significativas con respecto a la ejecución de las tareas, comportándose en un intervalo de 30 a 139 para el
módulo de Configuración y de 3 a 300 para Estructura y Composición con respecto a la variación
permitida, aunque la existencia de riesgos como falta de puertos de red, sillas rotas en el laboratorio de
producción, inestabilidad en el servicio de red, falta de tomas de corriente y las afectaciones al fluido
eléctrico mostraron impactos sobre lo planificado. Las siguientes tablas muestran estos resultados para
los módulos de Configuración y Estructura y Composición.
Configuración
S 1 al S 8 al S 15 al S 22 al S 1 al S 8 al S 15 al S 22 al
7 14 21 28 7 14 21 28
Valor planeado (PV) 52 206 358 499 499 563
Costo Real (AC) 133 511,9 707,9 822,9 838,9 888,9
Valor ganado (EV) 82 345,16492,23559,03562,23613,43
63
Capítulo 3. Validación de la solución
Estructura y Composición
Para validar la solución inicialmente se realizó el proceso de Identificación de Riesgos para definir nuevos
riesgos que afectan la planificación o que pueden hacerlo en el futuro. Para definir los principales riesgos
se aplicaron entrevistas y encuestas al equipo del proyecto, ambas arrojaron como resultado un total de
67 riesgos definidos en la línea que de una manera u otra afectan la planificación del proyecto y producen
desviaciones significativas. Se procedió entonces a realizar un análisis de probabilidad e impacto y la
evaluación de la criticidad de los riesgos para definir las estrategias a seguir, el resultado de este análisis
determinó que el proyecto se encontraba en un nivel crítico de riesgos. Las tablas muestran el resultado
obtenido:
64
Capítulo 3. Validación de la solución
Utilizando la matriz de probabilidad e impacto se identificaron 9 riesgos de baja criticidad que sólo
requieren supervisión, 26 de criticidad media que requieren supervisión y un Plan de Mitigación y 32 de
criticidad alta y que requieren de supervisión, mitigación y un Plan de Contingencia.
35
30
25
20
15 Riesgo
10
5
0
Alto Medio Bajo
Una vez identificados los riesgos con mayor impacto y probabilidad en el proyecto se calculó la Exposición
al Riesgo (Relación Impacto – Probabilidad de Riesgos) para estimar el nivel de exposición del proyecto
65
Capítulo 3. Validación de la solución
frente a los riesgos identificados. La métrica aplicada resuelve la interrogante: ¿Cuán expuestos estamos
a sufrir pérdidas significativas si nuestros riesgos se convierten en problemas? Para aplicarla se utilizó
como entrada la matriz de probabilidad e impacto. A continuación se explican los cálculos asociados y las
clasificaciones utilizadas:
Inicialmente se define una escala de exposición asociada a la exposición del riesgo obtenida de la matriz.
Definiremos los riegos de baja criticidad como Asumibles, los de media como Graves y los de alta
criticidad como Críticos.
CRRIP ESCALA
Crítico 1
Grave 2
Asumible 3
Catastrófico: Implica que el 100% de los riesgos analizados son críticos según la Matriz de
exposición al riesgo, lo cual deja claro que el proyecto puede no ser viable.
66
Capítulo 3. Validación de la solución
Crítico: Implica que más del 50% de los riegos analizados son críticos o graves según la Matriz de
exposición al riesgo, por lo que el proyecto puede tener grandes afectaciones durante su
desarrollo.
Despreciable: Implica que más del 50% de los riesgos analizados son asumibles según la Matriz
de exposición al riesgo y que el proyecto no sufrirá pérdidas significativas.
El resultado del cálculo realizado determinó que el proyecto se encuentra en un nivel Crítico con respecto
a los riesgos, esto significa para la Planificación que puede haber posibles riesgos en la fecha de entrega.
Para atenuar la situación se comenzó a tomar medidas de mitigación con el objetivo de disminuir la acción
adversa de los riesgos sobre el proyecto. La mitigación comenzó con los riesgos más críticos del proyecto
a los cuáles se les aplicó planes de mitigación y contingencia, de la misma forma se mitigaron los riesgos
de media criticidad, los más bajos se registraron en una lista de supervisión para monitorearlos
periódicamente en el proyecto.
Una vez gestionados los riesgos se procedió al cálculo de la efectividad de los planes de respuesta para
obtener el impacto final de la gestión de los riesgos en el proyecto y su incidencia en la panificación. El
objetivo es determinar la relación existente entre los riesgos mitigados y el total de riesgos identificados.
La efectividad de la mitigación de riesgos (RM%) está dada por la siguiente ecuación:
Donde:
A medida que el porciento de mitigación de riesgos se acerque al 100%, significará que el número de
riesgos mitigados se acerca a los identificados, o sea, se habrán empleado mejores métodos para
contrarrestar estos riesgos. Resumiendo los resultados la mitigación se efectuó a un 86.57 %.
67
Capítulo 3. Validación de la solución
Mitigación
Supervisión
Finalmente una vez realizados todos los procesos se comprueba el nivel del proyecto, los resultados
muestran que la línea se encuentra en un nivel despreciable con respecto a los riesgos, se muestra un
aumento del valor ganado y un mejor índice de rendimiento así como menor variación del programa
mejorando esto la planificación del proyecto lo que demuestra que el proceso de Gestión de Riesgos
aplicado es efectivo.
El resumen se realiza al concluir todos los procesos de Gestión de Riesgos y se incluye en el Expediente
de Gestión de Riesgos al cerrar el proyecto. El resumen va a tener el siguiente formato:
68
Capítulo 3. Validación de la solución
Análisis Activos de los procesos Evaluación de la Evaluación de los Actualización del Registro
Cualitativo de probabilidad y el riesgos. de Riesgos.
riesgos Enunciado del alcance del impacto de los
proyecto riesgos. Lista de Prioridades
Plan de Gestión de Matriz de probabilidad Lista de riesgos con
Riesgos e impacto. respuestas a corto
plazo.
Registro de riesgos Evaluación de la
calidad de los datos Lista de riesgos con
de los riesgos. respuestas y análisis
adicionales.
Lista de supervisión de
riesgos de baja
prioridad.
Análisis Activos de los procesos Análisis de Priorización de los Actualización del Registro
Cuantitativo sensibilidad. riesgos. de Riesgo.
de riesgos Enunciado del alcance del
proyecto
Plan de Gestión de Lista de riesgos
Riesgos cuantificados.
Registro de Riesgos
Plan de Gestión del
proyecto
69
Capítulo 3. Validación de la solución
Se definen algunas ventajas y desventajas con respecto a los modelos de Gestión de Proyecto analizados
y descritos en el capítulo 1. Para ello tuvimos en cuenta los siguientes criterios:
Definición de roles y responsabilidades: El proceso define responsabilidades para los roles del
proyecto en la Gestión de Riesgos haciendo protagonista al equipo de todas las actividades relacionadas
con los riesgos en el proyecto. Esto proporciona interés, motivación y responsabilidad ante las tareas de
gestión del proyecto. La mayoría de los modelos estudiados no describen roles para la Gestión de
Riesgos, excepto el SRE.
70
Capítulo 3. Validación de la solución
Generación de artefactos: Todos los procesos definidos incluyen artefactos que registran cada actividad
realizada en materia de riesgos, ejemplo de ello el Plan de Gestión de Riesgos, la Lista de Riesgos
Identificados, la Lista de Supervisión, el Plan de Mitigación y Contingencias. A diferencia de los modelos
estudiados los artefactos son descritos correctamente y ejemplificados en los anexos de la investigación.
Representación de los riesgos mejor definida: La representación de los riesgos definida cuenta con
una mejor estructura porque se definen los elementos principales que se deben tener en cuenta a la hora
de registrar el riesgo teniendo en cuenta el desarrollo del software. Los modelos estudiados no presentan
una representación amplia ni un desglose adaptado a condiciones específicas de los proyectos. El
PMBOK es quien presenta una mejor propuesta en este sentido.
Aborda todas las etapas del proyecto: El proceso descrito aborda todas las etapas del proyecto dando
la oportunidad de realizar algunos procesos de Gestión de Riesgos varias veces en cada etapa según lo
considere el equipo del proyecto. Cada uno de los procesos especifica sus entradas y las técnicas que se
deben utilizar para llevarlo a cabo. Este aspecto constituye un paso de avance ya que los demás modelos
no vinculan la Gestión de Riesgos con las etapas del proyecto ni ofrecen recomendaciones en este
sentido.
En otro orden de criterios el proceso solo es aplicable a proyectos de software dentro de la Universidad de
las Ciencias Informáticas , el proceso en general va orientado a la panificación como objetivo fundamental
del proyecto, para otros objetivos como coste y tiempo se deben realizar otras adaptaciones. La validación
del proceso debe evaluarse con mayor cantidad de valores cuantitativos.
En este capítulo se le dio cumplimiento al último objetivo de la investigación relacionado con la validación
de la solución. Se establecieron métricas que arrojaron resultados relevantes para la investigación. A partir
de los análisis de valor ganado, rendimiento y variación del cronograma se identificaron los elementos
fundamentales a tener en cuenta en la línea en cuanto a los riesgos y desviaciones. Se realizó un
resumen de la Gestión de Riesgos que complementa el proceso definido y sirve de guía para futuras
implementaciones del mismo. Finalmente se establecieron ventajas y desventajas del proceso que
propician un mejor entendimiento del mismo.
71
Conclusiones
CONCLUSIONES
El estudio del estado del arte realizado en el capítulo 1 acerca de los principales centros que tratan o
investigan temas de Gestión de Riesgos y los modelos para la Gestión de Proyecto especificados arrojó
los siguientes resultados:
Los modelos en su totalidad no incluyen una representación de los riesgos específica ni definen
métodos para tratar las desviaciones en los proyectos de software.
La solución propuesta en esta investigación es aplicable a la línea Productos Horizontales del programa
ERP-Cuba y a otros proyectos de software en la UCI. El proceso definido aprovecha las ventajas que
ofrece la Guía PMBOK para la Gestión de Riesgos y define otras mejoras que proporcionan una mejor
implementación de la Gestión de Riesgos.
El desarrollo de la solución le dio cumplimiento al objetivo general definido y los objetivos específicos
trazados, presentó un enfoque dirigido a la planificación en el proyecto propiciando claridad en este
objetivo, se ajustó al trabajo de la línea, definió un expediente para la Gestión de Riesgos, una
clasificación de los riesgos más estructurada, una representación mejor definida y generó artefactos que
propician retroalimentación al equipo de la línea.
72
Recomendaciones
RECOMENDACIONES
Aplicar el proceso de Gestión de Riesgos propuesto a otros proyectos de software para valorar el
desarrollo y desempeño del mismo.
Definir nuevos artefactos que mejoren el Registro de Riesgos y así lograr un mayor control.
Implementar el proceso teniendo en cuenta otros objetivos del proyecto como coste, tiempo,
calidad y alcance.
73
Bibliografía
BIBLIOGRAFIA
1. Rojo, María Jesús Salido. Slideshare. Gestión de Proyecto de Riesgos. [En línea] 2008. [Citado el: 18
de Octubre de 2010.] http://www.slideshare.net/Odilas/gestin-de-proyectos-riesgos-1270267.
2. Véliz, Yeleny Zulueta y Contanten, Yadira Ruiz. RevistaCiencias.com. Tendencias actuales de la
Gestión de Riesgos. [En línea] 21 de Junio de 2007. [Citado el: 18 de Octubre de 2010.]
http://www.revistaciencias.com/publicaciones/EElkuyFZuAkrUVZhMc.php.
3. Institute, Project Management. Gestión de Riesgos. Guía de los Fundamentos de la Dirección de
Proyectos. 4. Pennsylvania : Inc.Four Campus Boulevard Newtown Square Project Management Institute,
2004, 11.
4. Empirical Evaluation of a Risk Management Method. Kontio, Jyrki y Basili, Victor R. Atlantic : s.n.,
1997. pág. 8.
5. Society for Risk Analysis. [En línea] 2011. [Citado el: 9 de Enero de 2011.] http://www.sra.org/.
6. Software Engineering Institute. [En línea] 2011. [Citado el: 9 de Enero de 2011.] http://www.sei.cmu.edu.
7. IEEE Advancing Technology for Humanity. [En línea] 2011. [Citado el: 9 de Enero de 2011.]
http://www.ieee.org.
8. Microsoft. [En línea] 2011. [Citado el: 9 de Enero de 2011.] http://www.microsoft.com.
9. International Organization for Standardization. [En línea] 2011. [Citado el: 9 de Enero de 2011.]
http://www.iso.org.
10. PMI.Project Management Institute. [En línea] 2011. [Citado el: 9 de Enero de 2011.]
http://www.pmi.org.
11. Greenberg, Michael. SRA Journal. Risk Analysis: An International Journal. [En línea] 2011. [Citado el:
12 de Enero de 2011.] http://www.sra.org/journal.php.
12. SRA-Europa. Journal of Risk Research. s.l. : Routledge, 1997.
13. Esteves, J., y otros. Scribd. Implementación y Mejora del Método de Gestión Riesgos del SEI en un
proyecto universitario de desarrollo de software. [En línea] [Citado el: 13 de Enero de 2011.]
http://es.scribd.com/doc/17291705/Analisis-de-Riesgos.
14. Navarro, Antonio. Gestión del riesgo. Ingeniería del Software. pág. 99.
15. Romero, Manuel. manuelromero. [En línea] 2010. [Citado el: 18 de Enero de 2011.]
www.manuelromero.com.ar/site/fss/.../5/.../NORMA%20IEEE%201058.doc.
16. S.A, Gattaca. Presentación de Metodología MSF. pág. 7.
17. Institute, Project Management. Credencial PMP Project Management Prof. Credencial PMP Project
Management Professional.
18. —. Certified Associate in Project Management (CAPM).
19. —. PM Network. [ed.] Dan Goldfischer. PM Network. Atlanta, Estados Unidos : Calendars.
20. —. PMI Today. PMI Today.
21. —. Project Management Journal. [ed.] John Wiley & Sons. Project Management Journal. s.l. :
Journal's.
22. BCN, La Salle. ¿Qué es el PMI, Project Management Institute?
23. Aquilino. Universidad de Oviedo. Gestió de Riesgos. [En línea] 2011. [Citado el: 20 de Enero de
2011.] http://www.di.uniovi.es/~aquilino/Asignaturas/ProyectosInformatica/Documentos/07-
GestionRiesgos.pdf.
74
Bibliografía
75
Anexos
ANEXOS
Anexo #1. Plan de Gestión de Riesgos
Proyecto ERP-Cuba
Versión 1.1
Introducción
1.1 Propósito
El propósito del presente documento es definir cómo se gestionarán los riesgos en la línea.
1.2 Alcance
1.4 Referencias
No procede.
1.5 Resumen
El Plan de Gestión de Riesgos contiene los elementos que van a guiar la gestión de los riesgos en todo el ciclo de
vida del proyecto.
5 Artefactos generados.
76
Anexos
Riesgos Monitoreo
No.
N Riesgo Tipo Descripción Efectos I P C Mitigación Contingencia Responsable F. F. F. Estado Des
o I F R Real
8 Roles y responsabilidades
9 Periodicidad
En esta sección se documenta la periodicidad de las actividades de Gestión de Riesgos planificadas en el proyecto.
10 Presupuesto
En esta sección quedará registrado el análisis de costos y presupuesto asignado al proyecto para la Gestión de
Riesgos incluyendo los planes de respuesta.
77
Anexos
Se especifica solo algunos riesgos por cuestiones de espacio en el documento. El resto de la lista puede
encontrarla en el Expediente de Gestión de Riesgos de la línea Productos Horizontales.
Lista de Riesgos
Línea de Desarrollo de Productos
Versión 1.0
1 Introducción
1.1 Propósito
1.2 Alcance
No procede
1.4 Referencias
Resumen
La Lista de Riesgos Identificados el ID, nombre, tipo de riesgo, descripción, causa, consecuencia,
involucrado, el impacto y la probabilidad expresados cualitativamente y la etapa del proyecto en la que fue
identificado.
78
Anexos
laboratorio 17.
Se especifica solo algunos riesgos mitigados por cuestiones de espacio en el documento. El artefacto
puede encontrarlo en el Expediente de Gestión de Riesgos de la línea Productos Horizontales.
79
Anexos
1. Introducción
1.1 Alcance
No procede
Referencias
Lista de Identificación de Riesgos Zerelda Ivette Tamayo Isern Expediente de Gestión de Riesgos
0.0243
LPH2 Falta de puertos 0.26 0.26 0.0655 Ante la falta de Llevar a cabo una
80
Anexos
LPH3 Sillas rotas en el 0.26 0.26 En todos los Tomar como medidas
laboratorio de encuentros con la alta la reorganización de
producción. gerencia se recuerda los medios en el
la necesidad de sillas laboratorio y de los
en el laboratorio. recursos humanos
para así no afectar el
desarrollo de la línea
ya que no todos
trabajan en los
mismos horarios.
0.0655
0.0399
81
Anexos
0.0102
Nota:
Monitoreo: ¿Qué factores podemos vigilar que nos permitan ser capaces de determinar si el riesgo es más o menos
probable?
Administración: ¿Con qué planes de contingencia contamos si el riesgo se vuelve realidad?
Proyecto: __________________________
Facultad: __________________________
Cargo o rol que desempeña: ______________________________
El objetivo de la presente encuesta consiste en conocer si se aplica un proceso formal o informal para la
Gestión de Riesgos en el proyecto en el que trabaja, así como los principales artefactos que genera en el
proceso.
Desarrollo:
¿Se aplica en su proyecto algún proceso para la gestión de riesgos?
a. ___ Sí
b. ___ No
Si la respuesta anterior es afirmativa, responda: el proceso de gestión de riesgos que se aplica ¿es propio
de su proyecto?
a. ___ Sí
b. ___ No Explique:
¿Cuáles han sido los principales artefactos que han sido generados en la Gestión de Riesgos en su
proyecto?
82
Anexos
83