Guia Avanzada de Gestion de Riesgos

7/28/2019 Guia Avanzada de Gestion de Riesgos

1/127

GUA AVANZADA DEGESTIN DE RIESGOS

LNCS

Diciembre 2008


2/127

AVISO LEGAL

CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por laUniversidad Carnegie Mellon

Las distintas normas ISO mencionadas han sido desarrolladas por la InternationalOrganization for Standardization.

PMBOK es una marca registrada por el Project Management Institute, Inc.

Todas las dems marcas registradas que se mencionan, usan o citan en la presente guason propiedad de los respectivos titulares.

INTECO cita estas marcas porque se consideran referentes en los temas que se tratan,buscando nicamente fines puramente divulgativos. En ningn momento INTECO busca con

su mencin el uso interesado de estas marcas ni manifestar cualquier participacin y/oautora de las mismas.

Nada de lo contenido en este documento debe ser entendido como concesin, porimplicacin o de otra forma, y cualquier licencia o derecho para las Marcas Registradasdeben tener una autorizacin escrita de los terceros propietarios de la marca.

Por otro lado, INTECO renuncia expresamente a asumir cualquier responsabilidadrelacionada con la publicacin de las Marcas Registradas en este documento en cuanto al

uso de ninguna en particular y se eximen de la responsabilidad de la utilizacin de dichasMarcas por terceros.

El carcter de todas las guas editadas por INTECO es nicamente formativo, buscando entodo momento facilitar a los lectores la comprensin, adaptacin y divulgacin de lasdisciplinas, metodologas, estndares y normas presentes en el mbito de la calidad delsoftware.


3/127

NDICE

1. 7 INTRODUCCIN1.1. 7 Conceptos1.2. 9 Qu es un riesgo?1.2.1. 11 Clasificacin de riesgos1.3. 14 En qu consiste la gestin de riesgos de un royecto?1.4. 16 Qu es un plan de gestin de riesgos?1.5. 16 Roles y responsabilidades dentro de la gestin de riesgos2. 20 ACTIVIDADESDE GESTIN DE RIESGOS2.1. 21 Desarrollar un plan de gestin de riesgos2.1.1. 22 Dependencias2.1.2. 22 Tareas para la planificacin de gestin de riesgos2.2. 24 Identificar riesgos2.2.1. 25 Dependencias2.2.2. 25 Tareas para identificar riesgos2.3.28 Analizar riesgos2.3.1. 29 Tareas para el anlisis de riesgos2.4. 34 Planificarrespuestas a los riesgos2.4.1. 35 Tareas para la planificacin de respuestas a losriesgos2.4.2. 38 Herramientas2.5. 39 Controlar y monitorizar riesgos2.5.1. 40 Dependencias2.5.2. 40 Tareas para controlar y monitorizar riesgos2.5.3. 42 Herramientas2.6. 42 Cierre de la gestin de riesgos2.6.1. 43 Dependencias2.6.2. 43 Tareas del cierre de gestin de riesgos3. 44 ARTEFACTOS RELACIONADOS CON GESTIN DE RIESGOS4. 45 ENFOQUE DE ALGUNOS MODELOS4.1. 45 CMMI vs SPICE4.2. 46 PMBOK vs PRINCE25.50 ANEXO I: MTODOS DE IDENTIFICACIN DE RIESGOS


4/127

5.1. 50 Tcnicas de identificacin de riesgos5.1.1. 50 Tcnicas de Recopilacin de Infomacin5.1.2. 51 Tcnica de organizacin de informacin5.1.3. 51 Anlisis mediante listacontrol5.1.4. 51 Anlisis de suposiciones5.1.5. 52 Tcnicas de diagramacin5.2. 52 Buenas prcticas6. 53 ANEXO II: METODOLOGAS Y TCNICAS DE ANLISIS DE RIESGOS6.1. 53 Tcas de Anlisis de riesgos6.1.1.53Tcnicas de valoracin cualitativa de riesgos (anlisiscualitativo)6.1.2. 53 Tcnica de valoracin cuantitativa (anlisis cuantitativo)6.2. 55 Metodologas6.2.1. 55 MAGERIT6.2.2. 56 OCTAVE6.2.3. 57 NIST 800-307. 59 ANEXO III: ESTRATEGIAS DE RESPUESTAS7.1. 59 Estrategias para Riesgos Negativos o Amenazas7.1.1. 59 Evitar7.1.2. 59 Transferir7.1.3. 60 Mitigar7.2. 60 Estrategias para Riesgos Positivosu Oportunidades7.2.1. 60 Explotar7.2.2. 60 Compartir7.2.3. 61 Mejorar7.3. 61 Estrategia Comn ante Amenazas y Oportunidades7.3.1. 61 Aceptar7.4. 61 Estrategia deRespuesta para Contingencias8. 63 GLOSARIO9. 66 REFERENCIAS


5/127

NDICE DE TABLAS

Tabla 1 ......................................................................... 12 Clasificacin de fuentes internasTabla 2 ........................................................................ 12 Clasificacin de fuentes externasTabla 3 ....................................................... 13 Clasificacin de riesgosrespecto al impactoTabla 4 ................................................................................... 19 Roles y responsabilidadesTabla 5 ........................ 22 Entradas, salidas y herramientas del plan de gestin de riesgosTabla 6 ............................ 24 Entradas, salidas y herramientas de identificacin de riesgosTabla 7 .............. 28 Entradas, salidas y herramientas de anlisis de riesgosDependenciasTabla 8 .............................................................................................. 30 Impacto de riesgosTabla 9 ....................................................................................... 31 Probabilidad de riesgosTabla 10 ............................................................................... 32 Matriz probabilidad - impactoTabla11 ....... 35 Entradas, salidas y herramientas de planificacin de respuesta de riesgosTabla 12 .................................................................... 38 Ejemplo entrada registro de riesgosTabla 13 ........... 40 Entradas, salidas y herramientas de control y monitorizacin de riesgosTabla 14 ..................... 43 Entradas, salidas y herramientas del cierre de gestin de riesgosTabla 15................................................................... 62 Estrategias de respuesta de riesgosTabla 16 .............................................

............... 62 Ejemplo estrategias asignadas a riesgos


6/127

NDICE DE FIGURASFigura 1 ............................................. 8 Relacin entre conceptosrelacionados con riesgosFigura 2 .......................................................... 10 Relacin coste-riesgo Fuente PMBOKFigura 3 ............................................................................ 21 Actividades gestin de riesgosFigura 4 ..... 23 Ejemplo de una Estructurade Desglose de Riesgo (RBS), segn PMBOKFigura 5 ............................................................................ 57 Procesos metodologa OctaveFigura 6 ....... 58 Flowchart de metodologa de evaluacin de riesgos. Fuente NIST 800-30


7/127

1. INTRODUCCIN

Los riesgos normalmente son considerados como amenazas para el proyecto, y comotalesdeben ser minimizados. A menudo, la mejor aproximacin es que cada riesgo seaexaminado para determinar si puede transformarse en oportunidad.

En lugar de tratar los riesgos como algo que debe evitarse, deberan buscarseoportunidades para transformar un evento desfavorable en algo positivo. Por ejemplo, en unproyecto se detecta un riesgo que consiste en que puede que la WAN no tenga suficientecapacidad para soportar una nueva aplicacin. En este caso, en lugar de minimizarlasfuncionalidades de la aplicacin para adaptarla a la capacidad de la WAN, se podratratardicho riesgo como una oportunidad, y trabajar junto con otras unidades de negocio paradesarrollar un acuerdo para expandir la WAN permitiendo a otros departamentos mantener

las funcionalidades de la aplicacin previamente frenadas por la capacidad de la WAN.

1.1. CONCEPTOS

Antes de comenzar a describir en qu consiste el proceso de gestin de riesgos esimportante saber diferenciar ciertos conceptos que a menudo se confunden o incluso seutilizan indistintamente para hacer referencia al riesgo. A lo largo de esta guavan a parecer

conceptos tales como amenaza, impacto, vulnerabilidad, para definir y describir aspectosrelacionados con los riesgos. Por ello, en este apartado van a aclararse ciertosconceptos detal forma que al leer el resto de la gua no haya confusiones.

Activo

Cualquier recurso de SW, HW, datos, administrativo, fsico, de personal, decomunicaciones

Por ejemplo servidores, bases de datos, redes, usuario, aplicaciones, sistemas operativos,

dinero, informacin

Vulnerabilidad

Una vulnerabilidad es una debilidad que puede ser activada de forma accidental ointencionadamente. Es un factor de riesgo interno de un elemento expuesto a unaamenazade ser susceptible a sufrir un dao y de encontrar dificultades en recuperarseposteriormente.


8/127

Por ejemplo, cuentas de usuarios sin contrasea; el personal externo no registra su entraday salida a las instalaciones; falta de directrices para la construccin de contraseas; no hayun software de control de accesos; no contar con un plan de recuperacin de desastres.

El anlisis de la amenaza en un sistema IT debe incluir un anlisis de las vulnerabilidadesasociadas al entorno del sistema. El objetivo es desarrollar una lista de vulnerabilidades quepueden transformarse en fuente potencial de amenazas.


9/127

Amenaza

Una amenaza es la posibilidad de que se produzca una determinada vulnerabilidadde formasatisfactoria. Una fuente de amenazas no plantea un riesgo cuando no hay vulnerabilidadesque puedan ser activadas.

Al determinar la probabilidad de ocurrencia de una amenaza, se deben tener en cuenta lasfuentes de las amenazas, las vulnerabilidades potenciales y los controles existentes.

Es decir, una amenaza es una circunstancia o evento con la capacidad de causar dao a unsistema, entendiendo como dao una forma de destruccin, revelacin o modificacin dedatos.

Ejemplos:

- Naturales: Terremotos que destruyan el centro de cmputo.

- Humanas: Fraude realizado al modificar los saldos de cuentas por cobrar.

- Software: Cambios no autorizados al sistema que realicen clculos incorrectos.

Impacto

El impacto es la materializacin de un riesgo; una medida del grado de dao o cambiosobreun activo, entendiendo como riesgo la probabilidad de que un evento desfavorable

ocurra yque tendra un impacto negativo si se llegase a materializar. Se har una descripcinmsdetallada acerca de la definicin de riesgo en el siguiente apartado.

Ejemplos:

- Retraso en la ejecucin y conclusin de actividades de negocio

- Prdida de oportunidad y efectividad en la operacin.

- Falta de credibilidad frente a clientes.

- Divulgacin de informacin confidencial.


10/127

Un activo puede dar lugar a una vulnerabilidad. El riesgo es el resultado de lacombinacin de su impacto y de la probabilidad de ocurrencia.IMPACTOPROBABILIDADRIESGOACTIVOVULNERABILIDAD

Figura 1 Relacin entre conceptos relacionados con riesgos

Por ltimo vamos a ver el concepto de suposicin que tiende a crear confusin al utilizarloen el entorno de los riesgos.


11/127

Suposiciones

Las suposiciones son afirmaciones aceptadas como reales pero sin ningn tipo de pruebaque las sustente. Tambin es verdad que con el tiempo se puede determinar si lassuposiciones son verdaderas o falsas. Las suposiciones y los riesgos son conceptos muysimilares. Se podra entender que una suposicin es un tipo de riesgo.

Las suposiciones y los riesgos comparten dos caractersticas clave:

- Incertidumbre (probabilidad)

- Consecuencia (impacto)

Por esta razn las suposiciones podrn beneficiarse del anlisis cualitativo y del usode unamatriz probabilidad-impacto, que se tratarn en apartados posteriores de la gua.

Normalmente las suposiciones con baja probabilidad e impacto alto o muy alto seconviertenen riesgo, en cuyo caso no deben ser ignoradas, sino gestionadas como riesgos. Porejemplo, si se desarrolla una aplicacin para una empresa que funciona con un determinadosistema operativo, se podra suponer que todos los usuarios de dicha empresa trabajansobre ese sistema operativo. La probabilidad de que haya algn usuario que utiliceunodiferente es muy baja, pero si ocurre el impacto ser muy alto ya que esa personano podrutilizar la aplicacin que necesita para desarrollar sus labores en la empresa. Po

r lo tantoesta suposicin que se hizo en un principio se ha convertido en un riesgo.

Una manera de identificar suposiciones es la de llevar a cabo anlisis de riesgoscualitativose identificar aquellos elementos con riesgo bajo y medio. Algunos de estos riesgos medios obajo pueden ser candidatos a ser suposiciones. El problema vendra si estas suposicionesfuesen incorrectas, ya que habra implicaciones negativas.

Las suposiciones deberan ser identificadas, analizadas de forma cualitativa, controladas y

documentadas, aunque no es necesario realizar un anlisis cuantitativo ni crear unplan derespuestas sobre las mismas. Todos estos temas se vern ms adelante con ms detalle.

1.2. QU ES UN RIESGO?

En el apartado anterior ya se defini de forma breve qu es un riesgo, pero de forma


12/127

genrica. Esta gua se centrar en los riesgos dentro de un proyecto.

Un riesgo de un proyecto es un evento o condicin incierto que, si se produce, tendr unefecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,coste,alcance o calidad, es decir, cuando el objetivo de tiempo de un proyecto es cumplir con elcronograma acordado; cuando el objetivo de coste del proyecto es cumplir con elcosteacordado, etc.

Las organizaciones perciben los riesgos por su relacin con las amenazas al xito delproyecto o por las oportunidades de mejorar las posibilidades de xito del proyecto. Losriesgos que son amenazas para el proyecto pueden ser aceptados si el riesgo est enequilibrio con el beneficio que puede obtenerse al tomarlo.


13/127

Los riesgos que constituyen oportunidades, como la aceleracin del trabajo que puedelograrse asignando personal adicional, pueden ser monitorizados para beneficiarlosobjetivos del proyecto.

Las personas y, por extensin, las organizaciones, tienen actitudes hacia el riesgo queafectan tanto a la exactitud de la percepcin del riesgo como a la forma en que responden al. Las actitudes respecto al riesgo deberan hacerse explcitas siempre que sea posible.Para cada proyecto, se debe desarrollar un enfoque consistente hacia el riesgo que cumplacon los requisitos de la organizacin, y la comunicacin acerca del riesgo y su tratamientodeben ser abiertos y honestos. Las respuestas a los riesgos reflejan el equilibrio percibidode una organizacin entre tomar y evitar los riesgos.

Para tener xito, la organizacin debe estar comprometida a tratar la gestin de riesgos deforma proactiva y consistente durante todo el proyecto.

Durante las primeras fases del ciclo de desarrollo del producto, el nmero de riesgos es mucho mayor que durante las ltimas fases, durante las fases de ejecucin y terminacin del proyecto. Sin embargo el coste que supone reaccionar ante un riesgo, tomando medidas preventivas, es una funcin inversa a la del nmero de riesgos. Durante la fase de concepto, o planificacin de proyecto, el coste que supondra reaccionar ante los riesgos ser mucho menor que el coste de reaccin al finalizar el proyecto, cuando el producto ya est desarrollado. Por lo tanto, el periodo de mayorimpacto de riesgos ser tiempo en el que ambas funciones se cruzan.Planificacin del proyectoEjecucin del proyectoCantidad de riesgosConceptoDesarrolloEjecucinTerminacinCoste de reaccionarOportunidades y riesgosPeriodo de mayorimpacto de riesgoValor monetario del proyecto

Figura 2 Relacin coste-riesgo Fuente PMBOK

Un riesgo puede tener una o ms causas y, si se produce, uno o ms impactos. Porejemplo, una causa puede ser necesitar un permiso ambiental para hacer el trabajo, o quese asigne personal limitado para disear el proyecto. El evento de riesgo en amboscasossera que la agencia que otorga el permiso podra tardar ms de lo previsto en emitirelpermiso, o que el personal de diseo disponible y asignado no sea suficiente para

laactividad. Si ocurre alguno de estos eventos inciertos, puede haber un impacto sobre elcoste, el cronograma o el rendimiento del proyecto.

Las condiciones de riesgo pueden incluir aspectos del entorno del proyecto o delaorganizacin que pueden contribuir al riesgo del proyecto, tales como prcticas deficientes


14/127


15/127

de direccin de proyectos, la falta de sistemas de gestin integrados, mltiples proyectosconcurrentes o la dependencia de participantes externos que no pueden ser controlados.

El riesgo del proyecto tiene su origen en la incertidumbre que est presente en todos losproyectos. Existen distintos tipos de riesgos. Los riesgos conocidos son aquellos que hansido identificados y analizados, y es posible planificar las acciones a tomar alrespecto tal ycomo se ver en apartados sucesivos. Los riesgos desconocidos no pueden gestionarsede forma proactiva, y una respuesta prudente del equipo del proyecto puede ser asignar unacontingencia general contra dichos riesgos, as como contra los riesgos conocidospara loscuales quizs no sea rentable o posible desarrollar respuestas proactivas.

El riesgo est compuesto de tres componentes esenciales:

- un evento definible

- probabilidad de ocurrencia

- consecuencia de la ocurrencia (impacto)

Otras de las caractersticas que distinguen a los riesgos son:

- Los riesgos son situacionales: los riesgos varan drsticamente de una situacin aotra. Un uso eficiente de las herramientas y tcnicas puede ayudar a mitigar dicho

sriesgos.

- Los riesgos pueden ser interdependientes: los riesgos a menudo estn relacionados.La respuesta a un riesgo puede provocar un nuevo riesgo o aumentar el impacto deuno ya existente.

- Los riesgos dependen de la magnitud: un determinado riesgo podra ser aceptadopor ejemplo, si los beneficios y oportunidades potenciales son mayores.

- Los riesgos estn basados en valor: el nivel de tolerancia del riesgo vara de unapersona a otra. Tanto las personas como la compaa influyen en la tolerancia alriesgo.

- Los riesgos estn basados en tiempo: el riesgo es un fenmeno del futuro causadopor acciones actuales. El tiempo adems afecta a la percepcin del riesgo.


16/127

Dependiendo de cundo ocurra el riesgo, la percepcin cambia.

1.2.1. Clasificacin de riesgos

Usar categoras de riesgos ayuda a identificar nuevos riesgos. Las categoras puedenserdistintas dependiendo del tipo de proyecto. A continuacin se proponen algunas:

Los riesgos se pueden clasificar segn sus fuentes, es decir, segn las causas que losprovocan. Existen dos grandes categoras en la que agrupar las fuentes de los riesgos:

- Fuentes de riesgos internos

- Fuentes de riesgos externos.

Los riesgos externos son aquellos que tienen sus fuentes fuera de la organizacinqueesponsoriza el proyecto. Sin embargo, los riesgos internos tienen sus fuentes dentro de la


17/127

organizacin, incluyendo el proyecto. Los riesgos internos pueden ser controladospor elequipo de proyecto. Obviamente, las fuentes de los riesgos y la exposicin a prdidaspotenciales son factores dependientes del proyecto.

Las siguientes tablas muestran ejemplos de la clasificacin de las fuentes de losriesgostanto internos como externos que ayudan a la identificacin de los mismos.

Tecnologa

Programacin

Financiera

Contractual y legal

Tecnologa nueva o noprobada

Disponibilidad de recursos

Fondos y presupuestoPropiedad intelectual

Disponibilidad deexperiencia tcnica

Planificacin inadecuada

Exactitud de estimacin

Polticas de gobierno

Actuacin delsubcontratista/vendedor

Restricciones deprogramacin

Cambio en coste de material

Derechos de datos

Personalizacin (riesgos dediseo)

Informacin insuficiente

Ambigedades de contrato

Transicin desde diseo aproduccin

Dependencias de la


18/127

empresa

Multas

Disponibilidad de materiales

Dependencias del cliente

Derechos de patentes oincumplimientos

Tabla 1 Clasificacin de fuentes internas

Impredecibles

Predecibles pero inciertosCambios reguladores

Cambios de mercados

Impacto ambiental, del entorno,sociales

Tasacin

Desastres naturales

Inflacin

Inters pblico

Tipo de cambio

Relaciones industriales (huelga)

Subcontratista o partnerpolticos

Mercados dinmicos

Mercados dinmicos

Tabla 2 Clasificacin de fuentes externas

Si clasificsemos los riesgos en funcin de su impacto tendramos:


19/127


20/127


21/127

- Tareas de camino crtico

- Tareas con mltiples predecesores

- Tareas estimadas de forma no realista

- Tareas dependientes de organizaciones externas

- Grandes hitos

- Cronograma sin suposiciones documentadas

- Restricciones de planificacin

- Insuficiente informacin

Riesgos de recursos:


22/127

- Prdida de contribuidores crticos

- Trabajo con proveedores no fiables

- Tareas no asignadas a nadie

- Formacin

- Hardware y/o software

Riesgos financieros

- Desajustes en presupuesto

- Cambios en el coste de material

Riesgos de alcance y calidad

- Nueva tecnologa no probada (incertidumbre)

- Cambios en los requisitos del cliente

- Herramientas no disponibles

- Alta tasa de defectos

- Alto impacto de negocio

Riesgos generales

- Mal entendimiento (requisitos, diseo)

- Seguridad

- Prdida de patrocinio

- Dificultades de lenguaje o comunicacin


23/127

- Prdida de informacin

1.3. EN QU CONSISTE LA GESTIN DE RIESGOS DE UNPROYECTO?

La gestin de riesgos se lleva a cabo:

- En la elaboracin de una propuesta, cuando se planifica el proyecto

- A intervalos regulares durante la vida del proyecto: por ejemplo, como parte de losinformes de estado del proyecto.

- Cuando hay un cambio de alcance en el proyecto

Por tanto, es un proceso iterativo y recurrente a lo largo de toda la vida del proyecto. Elpropsito de la gestin de riesgos es minimizar la probabilidad y consecuencias de losriesgos negativos (o amenazas) y maximizar la probabilidad y consecuencias de los riesgospositivos (u oportunidades) identificados para el proyecto de tal forma que losobjetivos delos proyectos se cumplan. Esto se consigue siguiendo una serie de pautas:


24/127

- Identificar todos los riesgos conocidos del proyecto

- Realizar una evaluacin de la probabilidad de ocurrencia y del impacto potencial

- Cuantificar cual sera el coste de los riesgos en caso de que ocurrieran

- Crear planes de accin para gestionar los riesgos de alta prioridad

- Reconocer y gestionar los riesgos lo antes posible

El proceso de gestin de riesgos comienza cuando se identifica una oportunidad denegocioy concluye cuando la solucin ha sido aceptada por el cliente. El equipo de proyecto deberentregar una solucin que satisfaga las necesidades del cliente tal y como se espe

cificaronen el alcance del proyecto, en el tiempo acordado y cumpliendo los trminos y condicionesdel contrato. Si falla alguno de estos aspectos podra provocar un aumento del coste delproyecto, y por lo tanto una reduccin del beneficio.

Al gestionar los riesgos de forma efectiva, conseguiremos cumplir los objetivosde negocio ydel proyecto, y de esta forma se evitarn problemas que pudieran causar prdidasinesperadas y no planificadas.

Cuando los requisitos del cliente generan riesgos inusuales, dichos riesgos debe

ran serdiscutidos para evitar sorpresas, retrasos y costes. Adems, este debate pondr enconocimiento del cliente que las reas de riesgos pueden requerir soluciones alternativas.En algunos casos, ciertos riesgos podran llegar a ser propuestas alternativas o la base parafuturas solicitudes de cambio. De esta manera la gestin de riesgos podra servir paraidentificar nuevos proyectos y oportunidades de negocio. Los elementos de riesgopuedenser negociados con el cliente para reducir el riesgo y coste total del proyecto.

Los objetivos de la gestin de los riesgos del proyecto son aumentar la probabilidad y elimpacto de los eventos positivos, y disminuir la probabilidad y el impacto de los eventosadversos para el proyecto. Las empresas normalmente estn en entornos de negocio conriesgo, ya que los proyectos tienen riesgos. Al gestionar los riesgos de forma proactiva, seconseguir mejorar el beneficio de la empresa. Otros de los beneficios que se obtienen al


25/127

llevar a cabo una buena gestin de los riesgos son:

- Se reduce los costes del proyecto

- Se mejora la satisfaccin del cliente

- Se incrementa la capacidad y probabilidades de xito

- Facilita el desarrollo del proyecto

- Disminuye drsticamente las sorpresas en los proyectos

- Ayuda a la empresa a conseguir los objetivos de negocio y proyecto evitandoproblemas que podran causar prdidas inesperadas y no planificadas


26/127

1.4. QU ES UN PLAN DE GESTIN DE RIESGOS?

El plan de gestin de riesgos describe la estrategia que se va a seguir en el proyecto, ycmo las actividades de gestin de riesgos van a ser organizadas y llevadas a cabo durantela vida del proyecto.

El propsito del plan de gestin de riesgos es minimizar el impacto de los riesgos negativosy maximizar los riesgos positivos (oportunidades) identificados en el proyecto.Esto selograr identificando todos los riesgos conocidos del proyecto, efectuando una valoracin dela probabilidad de su ocurrencia y de su impacto potencial, y creando planes deaccin pararesponder a los riesgos que lo requieran. El plan de gestin de riesgos define cmoenfocary planificar las actividades de gestin de riesgos para un proyecto. Este procesoasegura

que los esfuerzos de las actividades de gestin de riesgos son adecuados para laimportancia que el proyecto tiene, tanto para el cliente como para la propia empresa. Por lotanto un plan de riesgos debera describir:

- Una estrategia de gestin de riesgos

- Alcance del esfuerzo en gestin de riesgos

- Cmo se piensa llevar a cabo la identificacin de riesgos

- Cmo se va a llevar a cabo el anlisis de riesgos (cualitativo, cuantitativo,priorizacin)

- Cmo se va a llevar a cabo el plan de respuesta (no debe contener los propiosplanes de respuesta ni tratar riesgos concretos)

- Cmo se va a llevar a cabo la monitorizacin y control

- Presupuesto de gestin de riesgos

- Calendario de actividades de gestin de riesgos

- Roles y responsabilidades


27/127

El plan se crea durante la etapa de planificacin del proyecto, aunque debera ser revisado alo largo del mismo. Existe un mayor esfuerzo inicial en el desarrollo del plan,que luegodecrece. El enfoque y la idoneidad de las actividades de gestin de riesgos debernserrevisadas continuamente a lo largo del proyecto. Las distintas fases del procesode gestinde riesgos sern descritas en apartados sucesivos.

La persona encargada de generar y mantener el plan de gestin de riesgos ser el jefe deproyecto como se ver en el siguiente apartado (Roles y responsabilidades de riesgos). Sinembargo, puede tener aportaciones y colaboracin de otros integrantes del proyecto(miembros del equipo, cliente). Esta idea aplica a todas las fases.

1.5. ROLES Y RESPONSABILIDADES DENTRO DE LA GESTIN DERIESGOS

El jefe de proyecto de la organizacin es el encargado de crear y de mantener actualizado elplan de gestin de riesgos. Adems, deber revisar y vigilar proactivamente el estadode


28/127

todos los riesgos del proyecto, recabando la informacin necesaria del equipo de proyecto, yvolcarlos a un registro comn de todo el proyecto. Tambin debe mantener informado alcliente del estado de riesgos del proyecto en las reuniones de seguimiento.

El responsable de cada parte del proyecto (Gestin de sistemas, Gestin de fallos) deberealizar el proceso de gestin de riesgos en la parte de alcance de la que es responsable, yhacer una puesta en comn al inicio del proyecto con el jefe de proyecto. Duranteelproyecto debe llevar a cabo la monitorizacin y control de los riesgos de los queesresponsable, mandar las actualizaciones de su registro al jefe de proyecto y deescalarsituaciones excepcionales al jefe de proyecto.

Los miembros del equipo de proyecto deben revisar los riesgos en las reuniones deseguimiento conjuntamente con el jefe de proyecto, deben llevar a cabo aquellosplanes derespuesta de los que sean responsables, e informar al jefe de proyecto de la org

anizacinde posibles riesgos que detecten relacionados con el proyecto, as como colaboraren elproceso de gestin de los mismos cuando se considere necesario y as se acuerdemutuamente.

Los gerentes del proyecto, con la ayuda del cliente, debern revisar los riesgos siempre quepor su importancia as se requiera, y tambin llevarn a cabo aquellos planes de respuestade los que sean responsables, informando al jefe de proyecto de posibles riesgosquedetecten, y colaborando en el proceso de gestin de los mismos cuando se considere

necesario.

A continuacin se indican los roles ms relevantes en las actividades llevadas a cabodurante las distintas fases del proceso de gestin de riesgos del proyecto.

Desarrollo del plan de gestin de riesgos

- Jefe de proyecto Desarrolla y mantiene el plan de gestin de riesgos.

- Involucrado en el negocio Proporciona informacin acerca del nivel de riesgo que

se considera aceptable.

- Aceptador Proporciona entradas sobre los criterios de aceptacin de losentregables que puedan influenciar sobre el riesgo del proyecto.


29/127

Identificacin de riesgos

- Jefe de proyecto Identifica los riesgos del proyecto.

- Involucrado en el negocio Proporciona informacin de histricos que sirvan deayuda para la identificacin de los riesgos del proyecto.

- Expertos en la materia - Proporciona informacin de histricos que sirvan de ayudapara la identificacin de los riesgos del proyecto.

- Equipo del proyecto Trabaja con el jefe del proyecto para identificar riesgos.

Anlisis de riesgos

- Jefe de proyecto Analiza los riesgos del proyecto.


30/127

- Involucrado en el negocio Valida las suposiciones realizadas durante laplanificacin del proyecto y proporciona entradas sobre las probabilidades e impactodel riesgo.

- Expertos en la materia - Valida las suposiciones realizadas durante la planificacindel proyecto y proporciona entradas sobre las probabilidades e impacto del riesgo.

Planificacin de respuesta de riesgos

- Jefe de proyecto Dirige el proceso de planificacin de repuestas, identifica a losparticipantes y define los planes de respuesta de riesgos con la ayuda del equipo delproyecto.

- Involucrado en el negocio Participan en el desarrollo de los planes de respuesta decada riesgo individual y asumen la responsabilidad de sus planes.

Control y monitorizacin de riesgos

- Jefe de proyecto Responsable final de la monitorizacin y control de riesgos. Eselresponsable del mantenimiento del plan de riesgos.

- Involucrado en el negocio Identifican nuevos riesgos y riesgos que han cambiado;evalan la efectividad de la gestin de riesgos, los planes de respuesta y cualquieraccin de respuesta.

- Responsable de un riesgo Responsable del plan de respuesta de un riesgo.

Cierre de la gestin de riesgos

- Jefe de proyecto Registra las lecciones aprendidas durante la gestin de riesgosyproporciona los resultados durante el cierre del proyecto.


31/127

Jefe deproyecto

Involucradoen el negocio

Aceptador

Expertosen lamateria

Equipo delproyecto

Responsablede un riesgo

Planificacingestin deriesgos

X

X

X

Identificacinde riesgos

X

X

X

X

Anlisis deriegos

X

X

X


32/127

Planificacin derespuesta deriesgos

X

X

Control ymonitorizacinde riesgos

X

X

X


33/127

Cierre de lagestin deriesgos

X

Tabla 4 Roles y responsabilidades

NOTA: En algunos proyectos, el jefe o responsable del mismo puede delegar este proceso aotro miembro del equipo. Sin embargo toda la responsabilidad recae en el jefe deproyecto.Si un jefe de proyecto no ha sido identificado, el responsable oportuno se har cargo de esteproceso.


34/127


35/127

El primer proceso que hay que llevar a cabo es el desarrollo del plan de gestin de riesgos, para poder pasar a la identificacin de riesgos. Los riesgos se tendrn que analizar, as como monitorizar y controlar. Se ha de desarrollar tambin un plande respuesta de riesgos. El ltimo proceso a llevar a cabo ser el del cierre de lagestin de riesgos.Desarrollo del Plan de Gestinde RiesgosIdentificar RiesgosAnalizar RiesgosMonitorizar y Controlar RiesgosCierre de Gestin de RiesgosPlan de Respuesta de RiesgosPresupuesto de riesgos

Figura 3 Actividades gestin de riesgos

Estos procesos interactan entre s y tambin con los procesos de las dems reas. Cadaproceso puede implicar el esfuerzo de una o ms personas o grupos de personas,dependiendo de las necesidades del proyecto. Cada proceso tiene lugar por lo menos unavez en cada proyecto y se realiza en una o ms fases del proyecto, si el proyectoseencuentra dividido en fases.

2.1. DESARROLLAR UN PLAN DE GESTIN DE RIESGOS

Una planificacin cuidadosa y explcita mejora la posibilidad de xito de los otros cincoprocesos de gestin de riesgos. La planificacin de la gestin de riesgos es el proceso dedecidir cmo abordar y llevar a cabo las actividades de gestin de riesgos de un proyecto.La planificacin de los procesos de gestin de riesgos es importante para garantizarque elnivel, el tipo y la visibilidad de la gestin de riesgos sean acordes con el riesg

o y laimportancia del proyecto para la organizacin, a fin de proporcionar recursos y tiemposuficientes para las actividades de gestin de riesgos, y para establecer una baseacordadapara evaluar los riesgos. El proceso de planificacin de la gestin de riesgos debecompletarse en las fases tempranas de la planificacin del proyecto, dado que es crucialpara realizar con xito los dems procesos.

Es importante planificar y realizar una aproximacin de las tareas relacionadas con lagestin de riesgos de un proyecto y realizar revisiones sobre dichas actividades a

lo largodel proyecto.


36/127

ENTRADAS

SALIDAS

HERRAMIENTAS

- Factores ambientales de laempresa.

- Activos de los procesos de laorganizacin.

- Polticas y estndares de laorganizacin.

- Enunciado del alcance delproyecto.

- Plan de gestin del proyecto.

- Estructura de tareas desglosada(WBS)

- Plan de gestin de riesgos

- Reuniones y anlisis deplanificacin

Tabla 5 Entradas, salidas y herramientas del plan de gestin de riesgos

2.1.1. Dependencias

El plan de gestin de riesgos es el ncleo del proceso de planificacin y depende delalcance de la definicin del proyecto. Tanto los procesos de desarrollo del cronograma del


37/127

proyecto como su presupuesto dependen directamente de la planificacin de gestin deriesgos. Los riesgos definidos y sus correspondientes soluciones, pueden tener un impactosignificativo en el coste y planificacin del proyecto.

2.1.2. Tareas para la planificacin de gestin de riesgos

El propsito del plan de gestin de riesgos es describir cmo las actividades de gestideriesgos son organizadas y llevadas a cabo a lo largo del ciclo de vida del proyecto paraasegurar que el esfuerzo invertido es el apropiado en funcin de la importancia del proyectopara el cliente y para la propia organizacin.

La planificacin de riesgos es un proceso iterativo, y debe comenzar cuanto antesen lasetapas de evaluacin de oportunidades.

Las tareas relacionadas con este proceso son:

- Revisar entradas de riesgo

- Revisar el proceso de riesgos end to end

- Definir lista de actividades de gestin de riesgos

- Estimar el esfuerzo de los riesgos

- Asignar recursos a riesgos

- Definir herramientas que se van a utilizar

- Desarrollar planificacin y presupuesto de riesgos


38/127

- Actualizar plan de compromisos

El plan de gestin de riesgos describe cmo se estructurar y realizar la gestin de rgosen el proyecto. El plan de gestin de riesgos incluye:

- Metodologa: Define los mtodos, las herramientas y las fuentes de informacin quepueden utilizarse para realizar la gestin de riesgos en el proyecto.

- Roles y responsabilidades: Define el lder, el apoyo y los miembros del equipo degestin de riesgos para cada tipo de actividad del plan de gestin de riesgos, asignapersonas a estos roles y explica sus responsabilidades.

- Preparacin del presupuesto: Asigna recursos y estima los costes necesarios parala gestin de riesgos a fin de incluirlos en la lnea base de coste del proyecto.

- Periodicidad: Define cundo y con qu frecuencia se realizar el proceso de gestinde riesgos durante el ciclo de vida del proyecto, y establece las actividades degestin de riesgos que se incluirn en el cronograma del proyecto.

- Categoras de riesgo: Proporciona una estructura que garantiza un procesocompleto de identificacin sistemtica de los riesgos con un nivel de detalle uniforme,y contribuye a la efectividad y calidad de la identificacin de riesgos. Unaorganizacin puede usar una categorizacin de riesgos tpicos preparada

previamente. Una estructura de desglose del riesgo (RBS) es uno de los mtodospara proporcionar dicha estructura donde las definiciones generales de los niveles deprobabilidad e impacto se adaptan a cada proyecto individual durante el procesodeplanificacin de la gestin de riesgos para usarlas en el proceso de anlisiscualitativo de riesgos.

Los riesgos del proyecto se pueden dividir, por ejemplo, en las siguientes categoras: tcnico, externo, de la organizacin, direccin de proyecto. Dentro de la catego

de riesgos tcnicos podra haber riesgos relacionados con los requisitos, la tecnologa, complejidad e interfaces, rendimiento y fiabilidad y calidad. Para el caso de la categora de riesgos externos podra haber riesgos relacionados con los subcontratistas y proveedores, con regulaciones, con el mercado, los clientes o las condiciones climticas. Para el caso de riesgos de la organizacin podramos tener riesgos relacionados con dependencias del proyecto, con recursos, con la financiacin ocon la priorizacin. Por ltimo, en el caso de riesgos de la direccin de proyectos podramos encontrar riesgos relacionados con la estimacin, la planificacin, el controlo la comunicacin.PROYECTOTcnicoExternoDe la organizacinDireccin de


39/127

proyectosRequisitosTecnologaComplejidad eInterfacesRendimiento yfidelidadCalidadSubcontratistas yProveedoresRegulatorioMercadoClienteCondicionesclimticasDependencias delproyectoRecursosFinanciacinPriorizacinEstimacinPlanificacinControlComunicacin

Figura 4 Ejemplo de una Estructura de Desglose de Riesgo (RBS), segn PMBOK


40/127

Los riesgos del proyecto pueden categorizarse por fuentes de riesgo, utilizandola RBS uotra clasificacin til (por ejemplo, fases del proyecto) para determinar las reas del proyectoque estn ms expuestas a los efectos de la incertidumbre. Agrupar los riesgos por causascomunes puede contribuir a desarrollar respuestas efectivas a los riesgos.

Las categoras de riesgo pueden revisarse durante el proceso de identificacin de riesgos.De todas formas, una buena prctica es revisar las categoras de riesgos durante elprocesode planificacin de la gestin de riesgos antes de usarlas en el proceso de identificacin deriesgos. Es posible que sea necesario adaptar, ajustar o extender las categoras de riesgosbasadas en proyectos anteriores a las nuevas situaciones, antes de utilizarlas en el proyectoactual.

Otra de las tareas que se deberan llevar a cabo durante la etapa de planificacin de gestinde riesgos es la definicin general de los niveles de probabilidad e impacto del p

royecto, quese utilizarn ms adelante durante el anlisis de riesgos. La calidad y credibilidad delproceso de anlisis cualitativo de riesgos requiere que se definan los diferentesniveles deprobabilidad e impacto de los riesgos, como se ver ms adelante, y es en esta etapadondese definirn.

2.2. IDENTIFICAR RIESGOS

Entradas

Salidas

Herramientas

- Categora de riesgos

- Clasificacin de fuentes deriesgos

- Factores ambientales de laempresa

- Activos de los procesos de laorganizacin

- Enunciado del alcance del


41/127

proyecto


- Plan de gestin de proyectos(WBS, agenda, recursos,requisitos, alcance, diseo,..)

- Informacin histrica:lecciones aprendidas en otrosproyectos

- Registro de riesgos

o Riesgos identificados

o Disparadores

o Suposiciones


- Artefactos para laidentificacin de riesgos (hojade clculo)

- Revisiones dedocumentacin.

- Tcnicas especificadas enANEXO I

Tabla 6 Entradas, salidas y herramientas de identificacin de riesgos

El proceso de identificacin de riesgos consiste en determinar cules son los riesgo


42/127

s quepodran afectar a los proyectos y en documentar sus caractersticas. Los roles quenormalmente estn involucrados en este proceso son el jefe del proyecto, los miembros delequipo del proyecto, el equipo de gestin de riesgos (si se asigna uno), expertosen lamateria ajenos al equipo del proyecto, clientes, usuarios finales, otros jefes de proyectos,interesados y expertos en gestin de riesgos. Si bien estos miembros del personalson amenudo participantes clave de la identificacin de riesgos, se debera fomentar laidentificacin de riesgos por parte de todo el personal del proyecto.


43/127


44/127

2.2.2.1. Identificar riesgos

El proceso de identificacin de riesgos debera ser completado por el equipo de trabajo enconjunto, en lugar de hacerlo de forma individual.

Los riesgos deberan ser identificados durante:

- La determinacin del alcance del proyecto

- El desarrollo de la estructura de desglose del trabajo (WBS)

- Preparacin estimacin de recursos, programacin y costes

- Establecimiento de una lnea base del contrato

- Evaluacin de subcontratistas potenciales


45/127


46/127

La amplia variedad de riesgos en un proyecto determinado genera a menudo problemas desobrecargada de informacin, provocando que ciertos riesgos sean pasados por altooduplicados.

La categorizacin de los riesgos simplifica la gestin de los mismos facilitandocomparaciones y toma de mtricas a lo largo del proyecto.

2.2.2.4. Identificacin de disparadores

A la hora de identificar riesgos es importante identificar y documentar los disparadores decada uno de ellos. Los disparadores, a menudo llamados sntomas del riesgo o sealesdeaviso, son indicadores de que un riesgo ha ocurrido o est a punto de ocurrir y por lo tanto

es necesario buscar un remedio. Los disparadores pueden ser eventos especficos como


47/127

por ejemplo, no cumplir ciertos hitos puede ser un disparador de un inminente retraso en laagenda programada. Estos disparadores tambin pueden ser umbrales predefinidos comopor ejemplo, que una estimacin en el desarrollo de un producto exceda el 10% de loplanificado en las primeras cuatro primeras semanas indica que se ha detectado un riesgo.

En ocasiones puede ser til establecer disparadores tempranos que proporcionen tiemposuficiente para tratar los riesgos inminentes. Estos disparadores, al igual quelos riesgos,sern controlados y revisados como parte del proceso de control y monitorizacin.

2.2.2.5. Consolidar y registrar los riesgos del proyecto identificados

Antes de ser analizados, los riesgos identificados deben ser registrados. Es ms,los riesgosdeberan ser expuestos de forma clara de tal forma que los miembros del equipo sea

ncapaces de entender exactamente el riesgo cuando haya pasado un tiempo. La eficienciadel proceso de gestin de riesgos est relacionada directamente con cmo de bien estdefinido cada evento. En la descripcin del riesgo se debera incluir el evento relacionado,el momento en que ocurri y el impacto del mismo.

Adems, los equipos de proyecto han de evitar generar grandes listados de riesgosalintroducir riesgos insignificantes. Las amenazas y oportunidades que tengan unabajaprobabilidad de ocurrencia o que tengan un bajo impacto deberan ser tenidas en cu

enta enfuturas consideraciones. Otra posibilidad sera consolidar varios riesgos en un nico riesgoque sea mayor.

El uso de registros de riesgos es una de las prcticas ms comunes utilizadas pararegistrar los riesgos identificados. Este registro es utilizado normalmente en el proceso degestin de riesgos, soportando el anlisis de riesgos, la planificacin de la respuesta y elcontrol de los riesgos.

En las primeras etapas del ciclo de vida ser difcil completar todo el registro de

riesgos. Lainformacin mnima requerida que debe ser registrada para cada riesgo durante esta etapade identificacin es:

- Identificador del riesgo: es un identificador nico para cada riesgo

- Estado del riesgo: una de las siguientes etiquetas para comunicar el estado actual


48/127

del riesgo.

o Identificado: el riesgo ha sido identificado pero no ha sido analizado nievaluado.

o Evaluado: un riesgo identificado que actualmente no tiene un plan derespuesta.

o Planificado: un riesgo identificado con un plan de respuesta.

o En proceso: un riesgo donde la respuesta al riesgo est siendo ejecutada.

o Cerrado: un riesgo que ocurri y que ha sido cerrado.

o No ocurrido: un riesgo que fue identificado pero que no ocurri. Este estadoes utilizado para diferenciar entre aquellos riesgos que fueron identificados,


49/127

evaluados y gestionados hasta su cierre y aquellos que fueron identificadospero que nunca ocurrieron.

- Descripcin del riesgo: la descripcin del riesgo debera incluir el evento, el momentoen que ocurri y el impacto.

El equipo de proyecto revisar y consolidar esta lista asegurndose de que esta listaesmanejable.

2.3. ANALIZAR RIESGOS

El anlisis de riesgos evala los riesgos identificados en la fase anterior para det

erminar laprobabilidad de que ocurran, el impacto del riesgo, el impacto acumulativo de mltiplesriesgos y la prioridad de cada riesgo.

Las actividades relacionadas con el anlisis de riesgos estn divididas en tres categoras:

- Anlisis cualitativo de riesgos: evaluacin del impacto y la probabilidad deocurrencia de los riesgos sobre las salidas del proyecto utilizando mtodoscualitativos.

- Anlisis cuantitativo de riesgos: evaluacin matemtica de la probabilidad deocurrencia de cada riesgo y sus consecuencias en las salidas del proyecto.

- Priorizacin del anlisis: centralizar el esfuerzo de la gestin de riesgos y ganarelmayor impacto positivo posible sobre el proyecto para dicho esfuerzo.

El anlisis de riesgo debera ser revisado a travs del proyecto y ajustado en funcin e los

cambios que se vayan produciendo sobre los riesgos del proyecto. Mientras se lleva a caboel anlisis de riesgos, es importante permanecer dentro del alcance tal y como sedefini enel plan de gestin de riesgos.

Entradas

Salidas


50/127

Herramientas


- Lista de riesgos identificados(registro de riesgos)

- Suposiciones

- Juicio de expertos

- Enunciado del alcance delproyecto

- Activos de los procesos de laorganizacin

- Plan de gestin del proyecto

- Registro de riesgos actualizado

- Lista de riesgos priorizados porimpacto y probabilidad

- Evaluacin de probabilidad eimpacto de los riesgos.

- Matriz de probabilidad eimpacto.

- Evaluacin de la calidad delos datos sobre riesgos

- Categorizacin de riesgos

- Evaluacin de la urgencia deriesgos

- Tcnicas de anlisiscuantitativo de riesgos (y


51/127

cualitativo)

Tabla 7 Entradas, salidas y herramientas de anlisis de riesgosDependencias

El anlisis de riesgos es un proceso de apoyo a los procesos de planificacin de proyectos,y depende de la identificacin de los riesgos del proyecto. El anlisis de riesgos cuantitativo


52/127


53/127


54/127

la discusin, ya que los participantes pueden tener poca experiencia en la evaluacin deriesgos.

a) Determinar el impacto de ocurrencia de riesgos de forma cualitativa

El impacto es una estimacin de la ganancia o prdida que se sufrira en caso de que elriesgo ocurriese. El equipo del proyecto determina el impacto que tendran los riesgos sobretodas las reas de contrato relacionadas si el evento ocurriese.

El impacto podra afectar al coste, programacin o alcance de la calidad, o a unacombinacin de dichos factores. El equipo debera definir no slo cmo de grande es elimpacto, sino tambin cul es el elemento del proyecto ms afectado.

Para soportar el anlisis del impacto cualitativo, se podran definir cuatro nivelesde impactode riesgos. La herramienta de registro de riesgos elegida debera permitir registrar uno de

los siguientes valores para estimar el impacto de cada riesgo desde un punto devistacualitativo:

Impacto

Descripcin

Muy alto

Objetivos crticos (la mayor parte de ellos) del proyecto estn seriamente impactados o no secumplirn (coste, calendario, calidad o satisfaccin del cliente).

Alto

Objetivos crticos (muchos de ellos) del proyecto estn amenazados

Medio

Algunos objetivos del proyecto pueden verse afectados.

Bajo

Fcilmente remediable. Los objetivos del proyecto no sern afectados.

Tabla 8 Impacto de riesgos

b) Estimar la probabilidad de ocurrencia de riesgo - Cualitativo


55/127

El jefe de proyecto y el equipo analizan los riesgos identificados para determinar laprobabilidad de que ocurra cada evento. Normalmente es ms simple y ms rpido hacerlode forma cualitativa utilizando etiquetas de probabilidad como las que se muestran msabajo. El uso de etiquetas de probabilidad estndar asegura consistencia dentro delosequipos y a travs de proyectos.

En el procedimiento de gestin de riesgos se determinaran los valores a usar para estimarla probabilidad de cada riesgo desde un punto de vista cualitativo. La herramienta deregistro de riesgos debera permitir el registro de uno de los siguientes valorespara cadariesgo:

Probabilidad

Descripcin

Probabilidad recomendada

Muy alta 85% +Es muy probable que ocurra elevento.

0.90

Alta 65% - < 85%

El evento ocurrir probablemente

0.70


56/127

Media 35% - < 65%

El evento podra ocurrir.

0.45

Baja < 35%

Aunque es improbable que ocurra elevento, podra ocurrir.

0.15

Tabla 9 Probabilidad de riesgos

2.3.1.2. Determinar la categora y prioridad del riesgo

Aunque es importante identificar el mayor nmero posible de riesgos del proyecto,enmuchos casos el nmero de riesgos identificados puede ser abrumador, y lgicamente elequipo de trabajo no podr realizar un seguimiento ni una gestin efectiva de todosellos.Una solucin sera agrupar los riesgos en funcin de sus prioridades de tal forma queelequipo pueda centrarse en los ms crticos.

La evaluacin de la importancia de cada riesgo y, por consiguiente, de su priorida

d,generalmente se realiza usando una matriz de probabilidad e impacto (matriz P-I). Estamatriz asignar categoras a los riesgos basndose en la combinacin de dichos factores(probabilidad e impacto) que llevan a la calificacin de los riesgos como de prioridad baja,moderada o alta. Pueden usarse trminos descriptivos o valores numricos, dependiendo dela preferencia de la organizacin. Las reglas para calificar los riesgos pueden adaptarse alproyecto especfico en el proceso planificacin de la gestin de riesgos.

Una vez asociado a cada riesgo un valor estimado cualitativo de probabilidad e i

mpacto(explicado en el apartado anterior: anlisis cualitativo de riesgo), se propone unejemplode una Matriz P-I con tres distintas clasificaciones de riesgos, basados en niveles deprobabilidad e impacto de riesgo, para definir el valor cualitativo de cada riesgo.


57/127

Probabilidad de riesgo

Muy alto

Alto

Medio

Bajo

Imapcto del riesgo

Muy alto

Muy alto

Alto

Alto

Alto

Alto

Alto

Alto

Medio

Medio

Medio

Alto

Medio

Medio

Bajo

Bajo

Bajo

Bajo

Bajo

Bajo


58/127

Tabla 10 Matriz probabilidad - impacto

De esta forma podemos seleccionar qu riesgos merecen un mayor estudio, esfuerzo yrespuesta. Algunos riesgos bajos o incluso medios, son posibles candidatos a sertratadoscomo suposiciones. Es recomendable realizar un anlisis cualitativo de las suposiciones quehaya en el proyecto ya que pueden convertirse en riesgos.

En caso de que haya un nmero alto de riesgos dentro de la categora Alto, esrecomendable priorizar dichos riesgos identificando los n riesgos ms altos dentro de estacategora, siendo este nmero determinado por la organizacin en funcin de su situaciEntre los indicadores de prioridad pueden incluirse:

- Las categoras determinadas para el riesgo

- El impacto de los riesgos identificados

- El nmero de riesgos

- El tipo de riesgos

- El tiempo para dar una respuesta a los riesgos

El resto de riesgos no seleccionados se debern vigilar en la fase de monitorizacinycontrol ya que pueden cambiar su estado (aumente su probabilidad o cambie su impactopotencial).

2.3.1.3. Anlisis cuantitativo de riesgo

El anlisis de riesgo cuantitativo es la evolucin matemtica de la probabilidad de cadariesgo y sus consecuencias en las salidas del proyecto. El anlisis de riesgo cuantitativoutiliza tcnicas para:

- Determinar la probabilidad de conseguir los objetivos especficos del proyecto

- Cuantificar el valor esperado del proyecto y sus probabilidades, y determinar


59/127

el costey la programacin para reservas de contingencia

- Identificar objetivos de coste, cronograma o alcance realistas y viables


60/127


61/127

documentar los resultados en el registro de riesgos.

Por ejemplo si un riesgo implicara un coste adicional de 5000 euros, esta cantidad seridentificada como el impacto asignado a dicho riesgo. O si por ejemplo un determinadoevento causase un aumento de una semana en la agenda, tambin sera considerado comoimpacto de un riesgo y como tal tambin debera ser asociado a un coste, por ejemplo, elcoste que implicara cubrir los recursos que se van a utilizar durante esa semana.Por lotanto, los impactos del riesgo normalmente deberan representarse en forma de costes,siempre aplicando ciertos mrgenes.

b) Estimar la probabilidad de ocurrencia de riesgo de forma cuantitativa

Durante esta etapa, la probabilidad de ocurrencia del riesgo est cuantificada, dando as unvalor porcentual real.


62/127

c) Calcular el valor esperado

El valor esperado es un dato estadstico que proporciona significado acerca de lasprdidaso ganancias que se tendran en caso de que el riesgo ocurriese. Esto deriva de unsimpleclculo:

Valor esperado = Impacto del riesgo * Probabilidad del riesgo

El impacto del riesgo debera indicarse en formato monetario o en duracin das/semanas, yla probabilidad de riesgo ser un nmero dentro del rango 0.01 - 0.99.

Tambin podra tenerse en cuenta un factor para cuantificar an ms el riesgo, en cuyo asose utilizara la siguiente frmula:

Impacto total de riesgo = Impacto * Probabilidad * Factor

Si se utilizan mtodos cuantitativos para determinar la probabilidad y el impactodel riesgo,el proceso no es tan sencillo. En este caso la valoracin a realizar es subjetivay el nicomtodo que puede utilizarse es el mtodo juicio de expertos comentado con anteriorida,donde los expertos en la materia expresan sus opiniones sobre la probabilidad, el impacto yel riesgo total asociado a ese determinado riesgo.

Es importante ir documentando el proceso de anlisis (tanto cualitativo como cuantitativo) yla priorizacin de los riesgos. Podra utilizarse para ello un registro de riesgos,

y as irregistrando las conclusiones obtenidas del anlisis de riesgos, incluyendo la prioridad, elimpacto y la categora de cada impacto.

En los procedimientos de gestin de riesgos se podran definir, por ejemplo, la siguienteinformacin como resultado del anlisis de riesgos:

- Probabilidad cualitativa (bajo, medio, alto, muy alto)

- Impacto cualitativo (bajo, medio, alto, muy alto)

- Impacto del coste (si aplica)

- Categoras de riesgos (bajo, medio, alto; Matriz P-I)

- Probabilidad cuantitativa (%)


63/127

- Impacto cuantitativo (Euros)

- Valor esperado (si aplica)

2.4. PLANIFICAR RESPUESTAS A LOS RIESGOS

La planificacin de respuestas a los riesgos es el proceso de desarrollar opcionesydeterminar acciones para mejorar las oportunidades y reducir las amenazas a losobjetivosdel proyecto. Se realiza despus de los procesos anlisis cualitativo de riesgos y anlisiscuantitativo de riesgos. La planificacin de la respuesta a los riesgos aborda losriesgos enfuncin de su prioridad, introduciendo recursos y actividades en el presupuesto, cronograma

y plan de gestin del proyecto, segn sea necesario.


64/127

El plan de respuesta de riesgos documenta la estrategia de respuesta elegida para losriesgos identificados, las acciones detalladas para implementar la estrategia yquin es elresponsable de los elementos de riesgo. Los planes de respuesta estn integrados con laprogramacin (agenda) y el presupuesto del proyecto para la implementacin de lasrespuestas de riesgos. Adems deben ser congruentes con la importancia del riesgo,seraplicadas a su debido tiempo, ser realistas dentro del contexto del proyecto, estar acordadaspor todas las partes implicadas, y a cargo de una persona responsable.

Para la planificacin de respuestas, el equipo de proyectos debera centrarse, por lo menos,sobre los riesgos de alto impacto. Aunque el equipo de proyecto puede elegir nocentrarsesobre riesgos de bajo o moderado impacto, estos riesgos han de ser monitorizadosyseguidos porque su probabilidad de ocurrencia, e incluso su impacto, pueden cambiar amedida que el proyecto avanza. Lo que inicialmente fue considerado un riesgo debajo

impacto puede cambiar y transformarse en un riesgo de alto impacto.La planificacin de respuestas a los riesgos asegura una respuesta adecuada a un riesgodeterminado del proyecto. Esta informacin crtica es utilizada a lo largo del proyecto.

Entradas

Salidas

Herramientas


- Lista de riesgos priorizados ycuantificados

- Lista de riesgos para unanlisis y gestin adicional

- Propietarios del riesgo

- Plan de respuesta de riesgos

- Riesgos residuales

- Acuerdos contractuales


65/127

relacionados con el riesgo

- Reserva de riesgos necesaria

- Plan de gestin del proyectoactualizado

- Registro de riesgos actualizado


- Estrategias para riesgos

- Estrategia de respuestapara contingencias

Tabla 11 Entradas, salidas y herramientas de planificacin de respuesta de riesgos

2.4.1. Tareas para la planificacin de respuestas a los riesgos

A continuacin se describen las tareas relacionadas con la planificacin de respuestas a losriesgos:

- Desarrollo de la estrategia de respuestas a los riesgos

o Identificar al propietario del riesgo

- Desarrollo e implementacin del plan de estrategia de riesgos

o Evaluar y valorar la estrategia y planes de respuesta

o Implementar planes de contingencia para los riesgos aceptados


66/127


67/127

1. Desarrollo de la estrategia de respuesta de riesgos

El desarrollo de las estrategias de gestin de riesgos conlleva identificar variasestrategiasde respuesta de riesgos para cada riesgo seleccionado, evaluar la efectividad decadaopcin y seleccionar la mejor.

Para cada riesgo, pueden aplicarse varias estrategias o alternativas. El equipode proyectodebe identificar estas alternativas, evaluar sus mritos de forma individual y seleccionar laque ofrezca la mejor solucin. Puede ocurrir que el propio equipo de proyecto trabaje comogrupo en el desarrollo de estrategias para cada riesgo, o bien que sea el jefe de proyectoquien divida los riesgos entre los miembros del equipo basndose en su experiencia. Cadamiembro del equipo trabajara, segn este ltimo caso, de forma independiente sobre los

riesgos que tenga asignados, determinara las opciones disponibles y seleccionara la msapropiada. Para ms informacin acerca de tipos de respuesta: ANEXOIII

a) Identificar al propietario del riesgo

Es muy importante asignar un propietario a cada riesgo. El propietario del riesgo debeinvolucrarse en el desarrollo de la estrategia y de acciones de respuesta para dicho riesgo y

para controlar y gestionar los riesgos durante el proyecto.

El propietario del riesgo puede ser una persona externa al equipo del proyecto,por ejemplo,un representante comercial puede ser el propietario de los riesgos comerciales.

2. Desarrollo e implementacin del plan de estrategia de riesgos

Las acciones para soportar la estrategia de respuestas, en caso de que un riesgoocurra,

estn desarrolladas. Este grupo de acciones forman el plan de respuesta.

Los planes asociados a las estrategias de respuesta de riesgos Transferir, MitigarEvitarson implementados como parte de la estructura de desglose del trabajo (WBS)contemplando su coste en el presupuesto del proyecto. Son llevados a cabo tal ycomo semuestra en el plan del proyecto y de forma peridica evalan su estado para determinar siexiste la necesidad de tomar nuevas acciones.


68/127

Si la estrategia de respuesta de riesgos es aceptacin puede que no haya plan derespuesta (aceptacin pasiva), o que exista un plan de contingencia (aceptacin activ).Los planes de contingencia de los riesgos de aceptacin activa, son contemplados en unregistro de riesgos junto con su coste, tiempo y/o recursos necesarios para implementarlos.El coste de implementar el plan de contingencia est incluido en la reserva presupuestariade riesgo. En este tipo de riesgos tratados de esta manera, es importante identificar ymonitorizar los disparadores para determinar de forma rpida y exacta cundo activarelplan.

El plan de contingencia se activa cuando ocurre el riesgo. Cuando sea apropiadopodrdefinirse un plan alternativo a utilizar en caso de que fallase el plan de contingencia. Tanto elplan de contingencia como el plan alternativo deberan estar incluidos en el plandelproyecto (tiempo, recursos, coste) y debera realizarse un seguimiento sobre los mismos,

siempre que el jefe del proyecto los haya aprobado.


69/127

a) Evaluar y valorar la estrategia y planes de respuesta

El equipo del proyecto debera tener en cuenta que la implementacin de una estrategia derespuestas, y las acciones que tiene asociadas, pueden crear nuevos riesgos. Cadaestrategia debera ser evaluada en base a sus mritos y a cmo afectan a otros elementosdel proyecto. Si se identifican riesgos adicionales, estos riesgos y sus causasdeberan seranalizados.

Para minimizar estos riesgos adicionales puede ser til revisar las siguientes preguntas:

- Qu ocurrir si se implementa la estrategia?

- Esta estrategia afectar a otros paquetes de trabajo o elementos del proyecto?

- Cul ser la probabilidad de ocurrencia del riesgo si se implementa esta estrategia?

- Esta es la mejor estrategia?

- Cules seran los impactos adicionales de precio/programacin en el caso en quelos paquetes de trabajo se vean afectados?

b) Implementar planes de contingencia para los riesgos aceptados

Cuando ocurre un riesgo, se utilizan estrategias de respuesta de aceptacin, tantopasivascomo activas. Para asegurar que la respuesta de los riesgos es implementada segnloplanificado, el propietario del riesgo, y responsable del elemento del WBS relacionado condicho riesgo, controla el estado del riesgo hasta su cierre.

Implementar un plan de contingencia requiere la utilizacin de la reserva de riesgos, y quese realice un seguimiento del esfuerzo invertido en el plan de contingencia. Despus deactivar la estrategia de aceptacin, el jefe de proyecto debe revisar el plan delproyecto parareflejar el coste de la implementacin de la accin (tiempo, personas y dinero). Esta revisin,que es necesaria ya que el coste no est incluido en la estimacin original, debera s


70/127

erregistrada en el registro de riesgos.

c) Determinar riesgos residuales

Despus de haber desarrollado e implementado un plan de respuesta, puede que el riesgono se consiga eliminar completamente, o que dicha implantacin implique nuevasactividades en el proyecto que afecten a otros elementos del mismo, pudiendo crear nuevosriesgos. Por este motivo es importante asignar responsables de los riesgos (propietarios delos riesgos), que se encargarn de mantener el estado de los riesgos, monitorizarlos,implementar planes de respuesta

Cualquier riesgo que permanezca, que no consiga ser eliminado, tras haber implantado unplan de respuesta de un riesgo se llama riesgo residual, y debera ser identificadoyanalizado como cualquier otro riesgo. Es particularmente importante para estos r

iesgos lasestrategias de mitigar, transferir o evitar ya que el valor esperado de los riesgos residualesest incluido en el presupuesto de reserva de riesgos.


71/127

3. Determinar la reserva de riesgos del proyecto

Una reserva de riesgos presupuestaria es un colchn en el presupuesto del proyectoutilizado para reducir el impacto negativo de riesgos (o incrementar los positivos),respetando los mrgenes establecidos para el proyecto. La reserva de riesgos incluye unareserva de contingencia y una reserva de gestin cuyo propietario es el jefe delproyecto, que siempre tiene que contar con la aprobacin de la empresa.

La reserva de contingencia es la suma del valor esperado para los riesgos con unaestrategia de respuesta de aceptacin y el valor esperado para riesgos residuales, porejemplo, para aquellos con estrategias de respuesta como mitigacin y transferencia(riesgos conocidos pero no controlables). La reserva de gestin, sin embargo, depende de laincertidumbre de los proyectos (riesgos no conocidos).

Un problema importante a tener en cuenta en la reserva de riesgos son los riesgosdesconocidos del proyecto. El mtodo recomendado para tratar este problema es aadirunanica entrada en el registro de riesgos para todo este conjunto de riesgos desconocidostratndolos como otro riesgo ms, dndoles una descripcin, calculando su probabilidad impacto y desarrollando una estrategia de respuesta de aceptacin. A continuacin semuestra un ejemplo de una entrada a un registro de riesgos para riesgos desconocidos:

Descripcin del riesgo

Probabilidad

Impacto

Valor riesgo

Riesgos desconocidos

Media

Media

Media

$ CosteImpacto

( % * $ )Valor esperado

Propietario del riesgo


72/127

Estrategia de respuestade riesgos

$75,000

$33,750

Jefe del proyecto

Aceptacin

Tabla 12 Ejemplo entrada registro de riesgos

Una vez que se ha estimado la reserva de riesgo debera ser validada. El porcentaje deriesgos desconocidos dentro de la reserva de riesgos es un indicador de todos los riesgosdel proyecto. En el presupuesto deberan incluirse otros costes asociados a riesgos (con una

estrategia de respuesta de mitigar, transferir o evitar), no en la reserva de rieSolamente los valores esperados de riesgos residuales procedentes de estas estrategiasdeberan incluirse en la reserva de riesgos.

2.4.2. Herramientas

Los resultados del registro de riesgos pueden plasmarse por ejemplo en una hojaExcel.

Dicha hoja podra utilizarse como entrada para los planes de respuesta de riesgoscomoindicador de la importancia de los riesgos sobre ciertas reas del entorno del proyecto. Lasreas con alta sensibilidad deberan tener planes de respuesta de riesgos y de planesalternativos ms detallados y completos.


73/127

El registro de riesgos debera ser utilizado para registrar los planes de respuesta de, por lomenos, aquellos riesgos dentro de la categora Alta. Tambin debera mostrar la suma los valores esperados para aquellos riesgos que contribuyen a la estimacin de reserva deriesgos de proyectos, incluyendo aquellos riesgos desconocidos.

Del plan de repuesta de riesgos se debera recoger la siguiente informacin:

- Propietario del riesgo

- Estrategia de respuesta (si aplica)

- Descripcin de la respuesta (si aplica)

2.5. CONTROLAR Y MONITORIZAR RIESGOS

Las respuestas planificadas a los riesgos que estn incluidas en el plan de gestindelproyecto se ejecutan durante el ciclo de vida del proyecto, pero deben ser supervisadascontinuamente para detectar riesgos nuevos o cambiantes.

Controlar y monitorizar riesgos es un proceso que consiste en controlar los disparadores deriesgos (si ha saltado alguno), gestionar los riesgos identificados, realizar seguimientossobre los riesgos residuales, descubrir nuevos riesgos, ejecutar planes de respu

esta deriesgos y evaluar la efectividad de las acciones de respuesta. El proceso de seguimiento ycontrol de riesgos, as como los dems procesos de gestin de riesgos, es un procesocontinuo que se realiza durante la vida del proyecto. Un control efectivo y unamonitorizacinadecuada de los riegos proporcionan avisos tempranos de los riesgos y ayudan a ejecutaruna toma de decisiones efectivas. Durante este proceso es necesario que haya unacomunicacin peridica con los propietarios de las respuestas de los riesgos y losinvolucrados del proyecto sobre el estado de los riesgos.

La monitorizacin de riesgos determina si:

- Los planes de respuesta de los riesgos han sido implementados de la formaadecuada.

- Los planes de respuesta de los riesgos son efectivos o si es necesario el desarrollode nuevos planes.


74/127

- Las suposiciones de los riesgos continan siendo vlidas.

- Un disparador del riesgo ha ocurrido.

- Se han seguido las polticas de la empresa.

- Han aparecido riesgos no identificados.

El control de riesgos normalmente implica elegir nuevas estrategias de respuesta, ejecutarplanes de contingencia, tomar acciones correctivas o modificar planes del proyecto. Lospropietarios de las respuestas de los riesgos deberan informar de la efectividaddel plan derespuesta, riesgos secundarios, estados de riesgos residuales y cambios en la estrategia derespuesta.

Entradas

Salidas

Herramientas


- Plan de respuesta a los

- Documentacin adicional sobreriesgos del proyecto, incluyendo


- Auditoras de los riesgos


75/127

riesgos

- Comunicacin del proyecto

- Cambios de alcance

- Identificacin y anlisis deriesgos adicionales


- Solicitudes de cambioaprobadas

- Informes de rendimiento

planes temporales, planes de accincorrectiva, solicitudes de cambio.

- Lecciones aprendidas

- Actualizaciones de informacin deriesgos, planes de respuesta yestado de registro de riesgos

- Plan de gestin del proyectoactualizado

- Acciones correctivas y preventivasrecomendadas

- Medicin del rendimiento

- Reuniones sobre el estado dela situacin

Tabla 13 Entradas, salidas y herramientas de control y monitorizacin de riesgos


76/127

2.5.1. Dependencias

El control y monitorizacin de los riesgos es un proceso soportado por todos los procesos decontrol de todo el proyecto. Este proceso es dependiente de la informacin proporcionadapor las comunicaciones del proyecto y cualquier cambio en el alcance del mismo.El controly monitorizacin de los riesgos puede influir en otros procesos del proyecto al ejecutaracciones correctivas y solicitudes de cambio.

2.5.2. Tareas para controlar y monitorizar riesgos

Los planes de respuesta de riesgos deben ser evaluados de forma continua, y actualizadosa lo largo de la implementacin del proyecto. Debe documentarse cundo y cmo se hallevado a cabo en el plan de gestin de riesgos. Es muy importante valorar el efecto queproduce el plan de respuesta a los riesgos para realizar ajustes e incluso actualizar dichoplan para realizar una gestin de riesgos efectiva.

El registro de riesgos y su efectividad deberan evaluarse segn se indica a continuacin:

- Revisar el estado de los riesgos con el equipo en reuniones peridicas.

- Revisar el estado de los riesgos con el cliente en reuniones peridicas.

- Hitos principales del proyecto.

- Como parte del proceso de control de cambios del proyecto.

Los riesgos, su probabilidad de ocurrencia y su impacto estn continuamente cambiando.Aparecen nuevos riesgos y los antiguos desaparecen. Implementar acciones de mitigacinde riesgos puede crear nuevos riesgos no predecibles, o cambiar el efecto de riesgos yaexistentes. Por lo tanto evaluar de forma peridica el plan es una actividad esencial, y lasrevisiones peridicas deberan ser especificadas en la programacin del proyecto.


77/127

Los grandes hitos son puntos importantes en la gestin del proyecto. Ayudan a evaluarcmo va el proyecto y evaluar los cambios en el entorno. Cada vez que se propone unimportante cambio en el proyecto y se aprueba su implementacin, el equipo del proyectodebera estudiar cmo afectar este cambio al proyecto y determinar si se introducirn


78/127

nuevos riesgos debidos al cambio. Tambin ser necesario desarrollar nuevas estrategiasde respuestas a estos riesgos.

Otros disparadores que pueden provocar una evaluacin de los riesgos son:

- Variacin significativa en los costes respecto a lo esperado

- Inconsistencia en la programacin/agenda respecto a lo esperado

- Cambios en las predicciones de fechas del proyecto

- Cambios en la actitud de los involucrados en el negocio

- Cualquier cambio durante el proyecto que amenace los objetivos del mismo.

Para realizar la valoracin y actualizacin del registro de riesgos seguir los siguientes pasos:

- Revisar los planes de respuesta de los riesgos que han sido implementados paraevaluar su efectividad y detectar la necesidad de tomar acciones correctivas.

- Revisar y actualizar la probabilidad, impacto, prioridad y el estado de los riesgospreviamente identificados.

- Desarrollar nuevas estrategias de respuesta de riesgos o modificar las antiguas encaso de que la estrategia actual no funcione segn lo previsto.

- Evaluar los riesgos mayores de los elementos WBS actualmente implementadospara comprobar si ha habido cambios o si las estrategias deberan habersemodificado.

- Identificar nuevos riesgos, analizarlos e incorporarlos en el proceso de gestinderiesgos del proyecto. Tambin desarrollar los planes y estrategias de respuesta

correspondientes.

- Actualizar el plan del proyecto para que refleje cambios en los planes de respuestade riesgos.

- Volver a analizar los riesgos residuales previamente filtrados, o aquellos riesgos con


79/127


80/127

2.5.3. Herramientas

El jefe de proyectos debera utilizar el registro de riesgos de forma regular registrando elestado de cada elemento de riesgo. Cualquier cambio en la informacin o el estadode losriesgos debera comunicarse tan pronto como sea posible. El estado de cada riesgo,laestrategia de respuestas y los costes planificados deberan grabarse.

La informacin a obtener al ejecutar el proceso de control y monitorizacin de los riesgosdepender de los intereses de la empresa. A continuacin se propone un ejemplo de lainformacin que se podra almacenar:

- Identificador del riesgo

- Estado del riesgo

- Descripcin del riesgo

- Probabilidad cualitativa (baja, media, alta, muy alta)

- Impacto cualitativo (bajo, medio, alto, muy alto)

- Impacto de costes

- Categorizacin de riesgos cualitativa (bajo, medio, alto, calculado por matriz P-I)

- Probabilidad cuantitativa (%)

- Impacto cuantitativo (Euros)

- Valor esperado

- Estrategia de respuesta

- Descripcin de respuesta

2.6. CIERRE DE LA GESTIN DE RIESGOS


81/127

Compartir lecciones aprendidas es un recurso muy valioso en el mbito de la gestinderiesgos. Estas lecciones pueden proporcionar experiencia general sobre el proceso degestin de riesgos y su relacin con las salidas del proyecto. Las lecciones aprendidasdeberan se capturadas a lo largo de todo el ciclo de vida del proyecto, no solamente en estaltima etapa de cierre del proyecto. Por ejemplo, una posibilidad podra ser capturar dichaslecciones durante las reuniones de revisiones de proyectos o de riesgos. Una vezcapturadas deben compartirse y han de estar en concordancia con la poltica yprocedimientos de la organizacin. Las siguientes preguntas podran ayudar a identificarestas lecciones:

- Qu se ha hecho bien

- Qu deberamos haber hecho mejor o de otra forma

- Podran hacerse posibles mejoras o cambios en el proceso de gestin de riesgos yen las herramientas existentes.


82/127

Entradas

Salidas

Herramientas


- Planes de respuesta a losriesgos desde el registro deriesgos

- Comunicacin de riesgos

- Realimentacin del equipo

- Lecciones aprendidasdocumentadas en un informe delcierre del proyecto.

- Mejoras registradas para el proceso,plantillas y herramientas de lagestin de riesgos

- Mejoras registradas para otrosprocesos del proyecto, plantillas y

herramientas


Tabla 14 Entradas, salidas y herramientas del cierre de gestin de riesgos

2.6.1. Dependencias

El cierre de la gestin de riesgos depende del conjunto de lecciones aprendidas a


83/127

travs delciclo de vida. Durante el cierre del proyecto estas lecciones se organizan comoparte delproceso de informes del cierre del proyecto y se comparte con el resto de profesionales dela empresa.

2.6.2. Tareas del cierre de gestin de riesgos

Las tareas relacionadas con el cierre del proceso de gestin de riesgos son:

- Capturar lecciones aprendidas

- Proporcionar entradas al cierre del proyecto


84/127

3. ARTEFACTOS RELACIONADOS CON GESTIN DE RIESGOS

Existen distintos documentos que pueden ayudar a una organizacin en las tareasrelacionadas con la gestin de riesgos. En esta seccin se van a proponer algunos modeloso plantillas que pueden ayudar a la hora de crear dichos documentos.

Estas plantillas o modelos pretenden ser una gua a la hora de crear documentosrelacionados con la gestin de riesgos.

- Plantilla de gestin de riesgos: plantilla para registrar, analizar, planificarycontrolar los riesgos de un proyecto.

- Checklist de identificacin de riesgos: lista de comprobacin para asegurar quese est siguiendo adecuadamente el proceso definido para la identificacin deriesgos.

- Checklist de riesgos: lista de riesgos identificados en otros proyectos de lasmismas caractersticas para ayudar a la identificacin de riesgos del proyecto actual.

- Plantilla de estrategia de gestin de riesgos: el proceso de gestin de riesgostiene que asegurar que el nivel, tipo y visibilidad de la gestin de riesgos esproporcional al riesgo y a la importancia del proyecto. Mediante este documentosevan a describir las actividades asociadas a la gestin de riesgos, siendo stasasignadas a las distintas personas implicadas. Se ha de establecer la forma en la

que se va a medir el impacto y la probabilidad de los riesgos y por la tanto lavaloracin final de los mismos.

- Plantilla de registro de riesgos: sirve como registro de los riesgos identificados, ascomo para el anlisis, planificacin de respuesta, monitorizacin y control de losmismos. En la plantilla se han definido unos valores modelo que aparecen en lastablas de la parte inferior y que son los que aparecen en las listas desplegables decada una de las columnas. La valoracin de los riesgos se hace en funcin delimpacto y la probabilidad, para los que se han definido una serie de valores posibles,

que pueden ser modificados de acuerdo a las necesidades. stos deberan serconsistentes con los datos expuestos en la estrategia de gestin de riesgos.

Algunos ejemplos de estos artefactos y herramientas pueden encontrarse en los serviciosonline de Directorio de herramientas y Repositorio documental de procesos disponibls de


85/127

forma gratuita en el portal de INTECO (www.inteco.es), en su seccin de Calidad desoftware.


86/127

4. ENFOQUE DE ALGUNOS MODELOS

4.1. CMMI VS SPICE

El modelo SPICE describe los procesos que una organizacin debe ejecutar para adquirir,proveer, desarrollar, operar, evolucionar y dar soporte al software, y las prcticas genricasque caracterizan la capacidad de esos procesos.

Cada proceso del modelo se describe en trminos de prcticas bsicas, que son lasactividades esenciales de un proceso especfico. El modelo clasifica los procesosen cincocategoras que son: Cliente-Proveedor, Ingeniera, Proyecto, Soporte y Organizacin.

La categora Proyecto consiste en una serie de procesos que coordinan y gestionanlosrecursos de los proyectos para producir un producto, o proporcionar servicios que satisfagan

al cliente. Dentro de esta categora est el proceso MAN.5 Gestin de riesgos.El propsito del proceso de gestin de riesgos es identificar, analizar, tratar y monitorizar losriesgos de forma continua de un proyecto a lo largo de todo su ciclo de vida. Segn SPICEla gestin de riesgos consiste en identificar nuevos riesgos, trabajar para mitigarlos de formaefectiva y evaluar el xito de los esfuerzos de mitigacin. Las prcticas relacionadasconeste proceso son:

- MAN.5.1 Establecer el alcance de la gestion de riesgos

- MAN.5.2 Definir estrategias de gestin de riesgos

- MAN.5.3 Identificar riesgos

- MAN.5.4 Analizar riesgos

- MAN.5.5 Definir y realizar acciones de tratamiento de riesgos

- MAN.5.6 Monitorizar los riesgos

- MAN.5.7 Tomar acciones preventivas o correctivas

CMMI es un modelo de madurez de mejora de procesos para el desarrollo y


87/127

mantenimiento de productos y servicios. Consiste en una serie de mejores prcticasquedirigen las actividades de desarrollo y mantenimiento que cubren el ciclo de vida delproducto.

Al igual que ocurre en SPICE, el modelo CMMI organiza sus reas de proceso encategoras: Gestin de proceso, Gestin de proyecto, Ingeniera y Soporte. El rea deproceso Gestin de riesgos est englobada en la categora de Gestin de proyecto.

Segn CMMI la gestin de riesgos est dividida en 3 partes:

- Definir una estrategia de gestin de riesgos

- Identificar y analizar los riesgos


88/127

- Manejar los riesgos identificados, incluyendo la implementacin de planes demitigacin cuando sea necesario.

En las reas de proceso Planificacin de proyectos y Control y monitorizacin deproyectos, las organizaciones inicialmente se centran en identificar los riesgossimplementepara tener conocimiento de ellos y reaccionar cuando apareciesen. El rea de procesoGestin de Riesgos describe una evolucin de estas prcticas, planificando, anticipny mitigando riesgos para minimizar de forma proactiva su impacto sobre el proyecto.

Las prcticas que propone seguir CMMI para llevar a cabo con xito una ge

Date post:	03-Apr-2018
Category:	Documents
Upload:	anelinuit
View:	219 times
Download:	0 times

Guia Avanzada de Gestion de Riesgos

Documents