Gestin de Riesgos en Proyectos Informticos

P. F. Gallina; M.I. Pildain; P. Sayol

Universidad Argentina de la Empresa

Abstract
El presente trabajo intenta resaltar la importancia
de realizar una correcta Gestin de Riegos en los
Proyectos Informticos para maximizar las
probabilidades de xito de los mismos. Se presenta
una breve introduccin a la Gestin de Riesgos y su
aplicacin en Proyectos Informticos. Se realiza un
corto recorrido por los mtodos de Gestin de
Riesgo ms reconocidos (Euromethod, Safe, SEICRM, RiskIt y los mtodos de la IEEE y del PMI).
Se describen las diferentes fases de la Gestin de
Riesgo: Identificacin, anlisis, clasificacin y
Control. Se da una resea de las herramientas
utilizadas para apoyar la Identificacin de Riesgos
(Revisin de documentacin, tcnicas de
recopilacin de informacin, anlisis mediante
lista de control, anlisis de asunciones, tcnicas de
diagramacin), herramientas para Anlisis
Cualitativo
de
Riesgos
(Evaluacin
de
probabilidad e impacto de los riesgos, matriz de
probabilidad e impacto, evaluacin de la calidad
de los datos sobre los riesgos, categorizacin de
los riesgos), herramientas de soporte para el
Anlisis cuantitativo de Riesgos (Tcnicas de
recopilacin y representacin de datos, Tcnicas de
Anlisis cuantitativo de Riesgos y de modelado) y
para la planificacin de la respuesta a riesgos
(Estrategias para riesgos negativos o amenazas,
Estrategias para riesgos positivos u oportunidades,
Estrategia de respuesta para contingencias,
Medicin del rendimiento tcnico, Anlisis de
reserva, Reuniones sobre el estado de la situacin).
Finalmente se analizan las diferentes formas de
mitigar los Riesgos inherentes a los Proyectos
Informticos.
Palabras claves
Gestin de Riesgos Proyectos Informticos
Planificacin Euromethod Safe SEI-CRM
RiskIt IEEE PMI Anlisis Cualitativo de
Riesgos Anlisis Cuantitativo de Riesgos

Objetivos
Resaltar la importancia de la gestin de
riesgos en un Proyecto Informtico para
poder satisfacer la triple demanda
(Alcance, Plazo y Costo).

Alcances
Definicin y Conceptos Bsicos
Clasificacin y Anlisis
Estimacin y Evaluacin del Riesgo
Metodologa de Gestin de Riesgos
Qu es la Gestin de Riesgos?

El PMBOK (PMI, 2004) define: Un

riesgo de un proyecto es un evento o
condicin inciertos que, si se produce,
tiene un efecto positivo o negativo sobre al
menos un objetivo del proyecto, como
tiempo, coste, alcance o calidad (es decir,
cuando el objetivo de tiempo de un
proyecto es cumplir con el cronograma
acordado; cuando el objetivo de coste del
proyecto es cumplir con el coste adecuado;
etc.). Un riesgo puede tener una o ms
causas y, si se produce, uno o ms
impactos.
La Gestin de Riesgos en un proyecto
incluye los procesos relacionados con la
identificacin, el anlisis, la planificacin y
las respuestas a los riegos, as como
tambin el seguimiento y control de los
mismos. Los objetivos de la Gestin de
Riesgos son aumentar la probabilidad y el
impacto de los eventos positivos, y
disminuir la probabilidad y el impacto de
los eventos adversos para el proyecto.
Los procesos de Gestin de los Riesgos
del proyecto incluyen lo siguiente:
1. Planificacin de la Gestin de
Riesgos: una planificacin cuidadosa y
explcita mejora la posibilidad de xito

Pgina 1/16

de los siguientes cinco procesos de

gestin de riesgos. La Planificacin de
la Gestin de Riesgos es el proceso de
decidir cmo abordar y llevar a cabo
las actividades de gestin de riesgos de
un proyecto. La planificacin de los
procesos de gestin de riesgos es
importante para garantizar que el nivel,
el tipo y la visibilidad de la gestin de
riesgos sean acordes con el riesgo y la
importancia del proyecto para la
organizacin, a fin de proporcionar
recursos y tiempo suficientes para las
actividades de gestin de riesgos y para
establecer una base acordada para
evaluar los riesgos. El proceso de
Planificacin de la Gestin de Riesgos
debe completarse en las fases
tempranas de la planificacin del
proyecto, dado que es crucial para
realizar con xito los dems procesos.
2. Identificacin de Riesgos: determina
qu riesgos pueden afectar al proyecto
y documenta sus caractersticas. Entre
las personas que participan en
actividades de identificacin de riesgos
se pueden incluir, segn corresponda,
las siguientes: el director del proyecto,
los miembros del equipo del proyecto,
el equipo de gestin de riesgos (si se
asigna un), expertos en la materia
ajenos al equipo del proyecto, clientes,
usuarios finales, otros directores de
proyectos, interesados y expertos en
gestin de riesgos. Si bien estos
miembros del personal son a menudo
participantes clave de la identificacin
de riesgos, se debera fomentar la
identificacin de riesgos por parte de
todo el personal del proyecto.
La Identificacin de Riesgos es un
proceso iterativo porque se pueden
descubrir nuevos riesgo a medida que
el proyecto avanza a lo largo de su
ciclo de vida. La frecuencia de la
iteracin y quin participar en cada
ciclo variar de un caso a otro. El
equipo del proyecto debe participar en
el proceso para poder desarrollar y

mantener un sentido de pertenencia y

responsabilidad por los riesgos y las
acciones asociadas con la respuesta a
los riesgos. Los interesados ajenos al
equipo
del
proyecto
pueden
proporcionar informacin adicional
sobre los objetivos.
3. Anlisis Cualitativo de Riesgos:
incluye los mtodos para priorizar los
riesgos identificados para realizar otras
acciones, como Anlisis Cuantitativo
de Riesgos o Planificacin de la
Respuesta a los Riesgos. Las
organizaciones pueden mejorar el
rendimiento del proyecto de manera
efectiva centrndose en los riesgos de
alta prioridad. El Anlisis Cualitativo
de Riesgos evala la prioridad de los
riesgos identificados usando la
probabilidad de ocurrencia, el impacto
correspondiente sobre los objetivos del
proyecto si los riesgos efectivamente
ocurren, as como otros factores como
el plazo y la tolerancia al riesgo de las
restricciones del proyecto como coste,
cronograma y calidad.
Las definiciones de los niveles de
probabilidad e impacto, as como las
entrevistas a expertos, pueden ayudar a
corregir los sesgos que a menudo estn
presentes en los datos usados en este
proceso. La criticidad temporal de
acciones relacionadas con riesgos
puede magnificar la importancia de un
riesgo. Una evaluacin de la calidad de
la informacin disponible sobre los
riesgos del proyecto tambin ayuda a
comprender a evaluacin de la
importancia del riesgo para el proyecto.
4. Anlisis Cuantitativo de Riesgos: se
realiza respecto a los riesgos
priorizados en el proceso Anlisis
Cualitativo de Riesgos por tener un
posible impacto significativo sobre las
demandas concurrentes del proyecto.
El proceso Anlisis Cuantitativo de
Riesgos analiza el efecto de esos
riesgos y les asigna una calificacin

Pgina 2/16

numrica. Tambin presenta un mtodo

cuantitativo para tomar decisiones en
caso de incertidumbre. Este proceso
usa tcnicas tales como la simulacin
de Monte Carlo y el anlisis mediante
rbol de decisiones para:
Cuantificar los posibles resultados
del proyecto y sus probabilidades
Evaluar la probabilidad de lograr
los objetivos especficos del
proyecto
Identificar los riesgos que requieren
una mayor atencin mediante la
cuantificacin de su contribucin
relativa al riesgo general del
proyecto
Determinar la mejor decisin de
direccin del proyecto cuando
algunas condiciones o resultados
son inciertos.
5. Planificacin de la Respuesta a los
Riesgos: es el proceso de desarrollar
opciones y determinar acciones para
mejorar las oportunidades y reducir las
amenazas a los objetivos del proyecto.
Se realiza despus de los procesos
Anlisis Cualitativo de Riesgos y
Anlisis Cuantitativo de Riesgos.
Incluye la identificacin y asignacin
de una o ms personas (el propietario
de la respuesta a los riesgos) para que
asuma la responsabilidad de cada
respuesta a los riesgos acordada y
financiada. La Planificacin de la
Respuesta a los Riesgos aborda los
riesgos en funcin de su prioridad,
introduciendo recursos y actividades en
el presupuesto, cronograma y plan de
gestin del proyecto, segn sea
necesario.
Las respuestas a los riesgos
planificadas deben ser congruentes con
la importancia del riesgo, tener un
coste efectivo en relacin al desafo ser
aplicadas a su debido tiempo, ser
realistas dentro del contexto del
proyecto, estar acordadas por todas las
partes implicadas, y a cargo de una
persona responsable. A menudo es

necesario
seleccionar
la
mejor
respuesta a los riesgos entre varias
opciones.
6. Seguimiento y Control de Riesgos:
las respuestas a los riesgos planificadas
que estn incluidas en el plan de
gestin del proyecto se ejecutan
durante el ciclo de vida del proyecto,
pero el trabajo del proyecto debe ser
supervisado
continuamente
para
detectar riesgos nuevos o que cambien.
El Seguimiento y Control de Riesgos
es el proceso de identificar, analizar y
planificar nuevos riesgos, realizar el
seguimiento
de
los
riesgos
identificados y los que se encuentran
en la lista de supervisin, volver a
analizar los riesgos existentes, realizar
el seguimiento de las condiciones que
disparan los planes para contingencias,
realizar el seguimiento de los riesgos
residuales y revisar la ejecucin de las
respuesta a los riesgos mientras se
evala su efectividad. Este proceso
aplica tcnicas, como el anlisis de
variacin y de tendencias, que
requieren el uso de datos de
rendimiento generados durante la
ejecucin del proyecto. El proceso
Seguimiento y Control de Riesgos, as
como los dems procesos de gestin de
riesgos, es un proceso continuo que se
realiza durante la vida del proyecto.
Otras finalidades de este proceso son
determinar si:
Las asunciones del proyecto an
son vlidas
El riesgo, segn fue evaluado, ha
cambiado de su estado anterior, a
travs del anlisis de tendencias
Se estn siguiendo polticas y
procedimientos de gestin de riesgo
correctos
Las reservas para contingencias de
coste
o
cronograma
deben
modificarse para alinearlas con los
riesgos del proyecto.

Pgina 3/16

El xito de un proyecto informtico

comercial es difcil de predecir porque el
alcance cambia constantemente por los
requerimientos del mercado y los recursos
son reasignados para acomodarse a las
ltimas condiciones del mercado. Los
proyectos informticos para un cliente
especfico tambin sufren de un alto grado
de incertidumbre debido a los atributos
tcnicos especficos del proyecto. Como
resultado, los profesionales informticos de
las empresas tienen un alto grado de
rotacin. Por ejemplo los gerentes de
proyecto de la India perciben a la rotacin
de recursos humanos como la mayor fuente
de riesgo.

Figura 1. Descripcin General de los Riesgo

del Proyecto (PMBOK)

Aplicacin de la Gestin de Riesgos en

Proyectos Informticos.
Los proyectos informticos son
colecciones de grandes programas y
procesos con muchas interacciones y
dependencias. Estos incluyen la creacin
de algo que nunca antes se haba hecho
aunque el proceso de desarrollo sea similar
a otros proyectos. Como resultado, este
tipo de proyectos presentan un gran desafo
a la hora de mantener los costos y ajustarse
al cronograma, habitualmente tambin
suelen aparecer problemas de calidad y
usabilidad.
Algunos estudios demuestran que los
diferentes tipos de riesgos afectaran al
proyecto en su presupuesto, en la
satisfaccin del usuario y en el desempeo
del sistema.
Otras investigaciones indican que entre
el 15 y el 35% de todos los proyectos
informticos
son
cancelados
prematuramente, y el resto de ellos sufre
retrasos en el cronograma, incrementos de
costo o fallan en alcanzar los objetivos
planteados.

Percepciones acerca de la Gestin de

Riesgos
Actualmente las percepciones acerca de
la gestin de riesgos por parte de la
mayora de las empresas informticas
contribuyen a la falta de estabilidad del
proyecto y se suman a los desafos
inherentes a un proyecto informtico.
Algunos autores concuerdan en afirmar
que la gestin de riesgos es la disciplina
menos practicada de las reas del
conocimiento de gestin de proyectos.
Otros mencionan que nuestra cultura ha
evolucionado tanto que reconocer como
propios los riesgos es usualmente
confundido con el fracaso. En muchas
organizaciones la tendencia a matar al
mensajero usualmente desanima a las
personas a llamar la atencin de la gerencia
ante un problema inminente. Esta actitud
es el resultado del desentendimiento de la
gestin de riesgos.
Barry Boehm identifica 10 elementos de
riesgo a tener en cuenta en proyectos
informticos:
Dficit de personal
Cronogramas y presupuestos poco
realistas
Desarrollo de funcionalidades y
propiedades equivocadas

Pgina 4/16

Desarrollo de interfaces de usuario

equivocadas
Agregado de ms funcionalidades que
las necesarias
Continuos cambios de requerimientos
Dficit en componentes decorados
externamente
Dficit en tareas
ejecutadas
externamente
Dficit de desempeo en tiempo real
Sobre exigencia a las capacidades de
las ciencias de la computacin.

Posteriormente Capers Jones present

los tres factores claves en relacin a los
riesgos que deben tener en cuenta los
ejecutivos y gerentes de proyectos
informticos.
Riesgos asociados a la estimacin
inexacta y al incorrecto planeamiento
del cronograma
Riesgos asociados al incorrecto y
optimista reporte de estado
Riesgos asociados con presiones
externas que pueden daar los
proyectos informticos.
A pesar de esto, la mayora de los
profesionales informticos y los gerentes
de proyecto perciben los procesos y
actividades de la gestin de riesgos como
trabajo extra y costoso. Los procesos de la
gestin de riesgos son los primeros en ser
eliminados cuando el cronograma del
proyecto se retrasa. Las culturas de
informalidad creativa de muchas
empresas informticas muchas veces entra
en conflicto con la cantidad de control
requerido para realizar sistemas complejos
en forma disciplinada.
Metodologas de Gestin de Riesgos
Desde la introduccin de la gestin de
riesgos en la ingeniera del software, se
han propuesto y desarrollado diversas
metodologas
formales
para
su
implementacin. Esta seccin trata de
proporcionar una visin general de las

diferentes
metodologas
existentes,
analizando sus diferentes enfoques y
tcnicas utilizadas.
Modelo en espiral de Boehm (WinWin)
Boehm propuso un modelo de desarrollo
de software orientado a los riesgos,
basndose en un modelo en espiral. Este
modelo las fases de desarrollo se revisita
en forma iterativa e incremental.

Fig.1 Modelo en espiral de Boehm

Este modelo se caracteriza por eliminar los
riesgos en las etapas iniciales del
desarrollo, en lugar de tener que
resolverlos en fases posteriores donde el
costo es mayor.
Boehm profundiza su modelo en espiral
original utilizando el modelo Theory W
(Win-Win), que pone el foco en los
objetivos e intereses de los stakeholders
(personas afectadas por el proyecto). La
Theory W propone que para garantizar el
xito del proyecto se debe identificar a los
key stakeholders y establecer los
objetivos y alcances del producto a partir
de las condiciones (win conditions) que
impongan cada uno. Estas condiciones
deben ser negociadas y reconciliadas por
todos los stakeholders para que el proyecto
pueda avanzar.
Boehm desarroll un conjunto de
principios y prcticas para la gestin de
riesgos llamados el paradigma anlisis-

Pgina 5/16

riesgo. Este modelo se enfoca en el

concepto de exposicin del riesgo,
definido por relacin entre la probabilidad
de un desenlace insatisfactorio y las
prdidas causadas por dicho desenlace
determinan el valor de un riesgo
determinado. Este modelo utiliza un rbol
de decisin para identificar los riesgos
individuales y una top ten checklist que
lista los principales riesgos asociados al
desarrollo. El objetivo de este mtodo es
reducir la exposicin de los riegos
asociados al proyecto.
Las tcnicas dentro del modelo de Boehm
se componen de dos actividades primarias,
compuestas de tres actividades cada una.
La primera actividad, Asesoramiento de
riesgos, est compuesta de:

La Identificacin de Riesgos que

consiste en producir una lista de los
riesgos especficos del proyecto
que pudieran comprometerlo.
El Anlisis de Riesgo estima la
probabilidad y la magnitud de
prdida de cada riesgo identificado.
La Priorizacin de Riesgos detalla
una lista ordenada por su
valoracin de os riesgos analizados.

El Control de Riesgos,
actividad, involucra:

la

segunda

Planeamiento de Gestin de
Riesgos, que prepara para cada
riesgo un plan y su coordinacin
con el plan general del proyecto.
Resolucin de Riesgos, en la que se
crea una situacin donde el riesgo
es resuelto o eliminado.
Monitoreo de Riesgos, que implica
hacer un seguimiento del progreso
del proyecto respecto a la
resolucin de riesgos y tomar
acciones correctivas donde sea
apropiado.

Si bien la estrategia Win-Win no es

siempre realizable en la prctica, su
contribucin es importante ya que
introduce la participacin de los
stakeholders en el proceso de gestin de
riegos. El modelo de Boehm posee la
ventaja de ser simple y adaptarse a todas
las fases del desarrollo de software.
Boehm tambin propone un framework
para la gestin de riesgos, el cual ayuda a
identificar las causas primarias de casa
riesgo, y facilita su anlisis y resolucin.
Este framework puede integrarse al modelo
en espiral original o al modelo Win-Win.
Mtodo SEI-SRE
SEI-SRE (Software Engineering
Institute, Software Risk Evaluation) es
un mtodo desarrollado por el Software
Engineering Institute, que depende del
departamento de Defensa de los Estados
Unidos. Fue creado originalmente como un
mtodo para gestin de proyectos, y el
elemento pertinente a la gestin de riesgos
fue agregado posteriormente.
La metodologa para riesgos SEI-SER
provee un framework para evaluar riesgos
que pudieran afectar al xito del proyecto,
comprendido en tres grupos de prcticas:
Software Risk Evaluation (Evaluacin de
riesgos de Software), Continuous Risk
Management (Gestin continua de riesgos)
y Team Risk Management (Gestin de
riesgos en equipo). Software Risk
Evaluation consiste en la identificacin,
anlisis, comunicacin y mitigacin de
estrategias para la gestin de riesgos. Esto
se hace en base a una clasificacin de
riesgos utilizada para organizar los
distintos riesgos en categoras como
requerimientos, diseo, codificacin, etc.
Continuous risk management provee
procesos, mtodos y herramientas para la
administracin continua de los riesgos
durante todas las fases del ciclo de vida del
proyecto.

Pgina 6/16

Team risk management es una prctica que

concierne al desarrollo de metodologas,
procesos y herramientas para construir
relaciones de trabajo entre los clientes y los
proveedores. Estos tres grupos de prcticas
estn interrelacionados y se benefician
entre s.
El proceso SEI-SRE comienza con una
actividad de elicitacin de riesgos, en el
que se utilice un cuestionario basado en
taxonomas (TBQ, por sus siglas en ingles)
con todo el equipo de proyecto.
Se contina con una etapa de anlisis, en la
que se intentan convertir los datos que se
poseen sobre los riesgos en informacin
para la toma de decisiones.
Es, en efecto, la construccin y evaluacin
de un modelo de riesgos.
En la etapa de planeamiento se utiliza la
informacin analizada para elaborar planes
y acciones concretas, esto incluye tanto
medidas para mitigar riesgos como la
adquisicin de informacin ms profunda
sobre riesgos existentes.
En la etapa de seguimiento, se identifican y
monitorean las mtricas de riesgo global
del proyecto. Tambin se identifican
eventos que disparen posibles riesgos.
La etapa de control consiste en corregir los
desvos de acciones de acuerdo a lo
planeado, que puede requerir elementos
claves de etapas anteriores. Una actividad
adicional, comunicacin, es considerada
central a todas las otras actividades.

Fig.2 Etapas del mtodo SEI

Las ventajas del mtodo SEI-SRE radican
en su naturaleza prctica y eficiente.
Adems, al haber sido desarrollado por un
instituto dedicado al desarrollo de
software, puede utilizarse en cualquier
proyecto informtico. Como contrapartida,
la definicin detallada de cada prctica,
incluidas las entrevistas, lo vuelve un
mtodo poco flexible. .
RISKIT
El mtodo RISKIT fue desarrollado en
1996 en la Universidad de Maryland,
debido a la falta de mtodos confiables
disponibles en ese entonces. Los creadores
de RISKIT crean que los mtodos de
gestin de riesgos eran poco utilizados
debido a diversos factores:
- La necesidad de los usuarios de
herramientas para definir el riesgo con
precisin.
- La dificultad para cuantificar y priorizar
los riesgos de acuerdo a su probabilidad.
- Pocos mtodos proveen formas de lidiar
con las expectativas de distintos
stakeholders.
- La mayora de los mtodos se enfocan en
los riesgos que afectan a la calidad, costo y
plazos del proyecto, pero omiten otras
caractersticas o posibles combinaciones.
- Muchos mtodos son considerados muy
complejos o costosos para su uso.
El mtodo RISKIT fue desarrollado como
respuesta a estas cuestiones y con el
propsito de crear un mtodo de gestin de
riesgos de aplicacin amplia, fcil uso, que
favorezca la comunicacin entre los

Pgina 7/16

participantes y produzca resultados en un

tiempo establecido.
RISKIT consiste en siete etapas de
implementacin, que pueden definirse de
acuerdo a los siguientes principios:
1. El mtodo RISKIT provee
definiciones precisas e inambiguas
para riesgo: cada riesgo es definido
formalmente y con precisin.
2. RISKIT define explcitamente los
objetivos, lmites, metas y otros
factores que influencien al
proyecto.
3. El objetivo de RISKIT es modelar
y documentar los riesgos de forma
cualitativa, proveyendo las
herramientas conceptuales y
graficas para ello.
4. RISKIT utiliza escalas tanto
ordinales como escalares para
priorizar los riesgos de acuerdo a la
cuantificacin necesaria para la
toma de decisiones.
5. El mtodo RISKIT utiliza el
concepto de perdida de utilidad
para medir la prdida asociada a un
riesgo determinado, en lugar de
utilizar una nica mtrica como
costo o calidad.
6. Las perspectivas de los distintos
stakeholders deben ser modeladas
en el mtodo RISKIT,
reconociendo las diferentes
expectativas y prioridades en juego.
7. El mtodo posee una definicin
operacional que puede aplicarse de
forma fcil y consistente.
RISKIT utiliza distintas tcnicas, como el
grafico de anlisis de riesgos (RAG) para
modelar el desarrollo de los escenarios de
riesgo, y tcnicas de brain storming para
identificar los riesgos a priori. Para
calcular la perdida de utilidad asociada a
un riesgo se utiliza una frmula que
multiplica la probabilidad del riesgo por la
prdida de utilidad estimada. Frente a un
riesgo, se sugieren cinco opciones de

control: Inaccin, plan de contingencia,

reducir perdida, evitar el riesgo y reducir
probabilidad de evento.
Las ventajas de RISKIT son su
flexibilidad, ya que puede aplicarse en
distintas reas de negocio, y sus
definiciones explicitas e inambiguas para
calcular riesgos. Sin embargo, presenta
dificultades para estimar la probabilidad de
ocurrencia los riesgos, y no ofrece una
manera de conciliar las diferentes
perspectivas de los stakeholders respecto a
los efectos de los riesgos.
Mtodo P2I2
El mtodo P2I2 , desarrollado por Elaine
Hall, identifica cuatro factores que tienen
el potencial de afectar los resultados
esperados en cualquier proyecto: el
Personal, los Procesos, la Infraestructura y
la Implementacin.
El factor de Personal concierne a los
aspectos de recursos humanos asociados a
la gestin de riesgos. El xito de toda
actividad de gestin depende de la
comunicacin de los distintos problemas
que vayan surgiendo en el proceso.
El factor de Procesos define a los procesos
que deban ejecutarse para administrar los
riesgos y minimizar la incertidumbre del
proyecto.
La Infraestructura hace referencia a los
requerimientos, recursos y resultados
requeridos para realizar las actividades de
gestin de riesgos.
El factor de Implementacin son las
implementaciones efectivas de las
actividades de gestin de riesgos, como
establecer el plan, asesorar os riesgos y
controlarlos.
Mtodo PMI
La gestin de riesgos del proyecto es una
de las reas de conocimiento del estndar
desarrollado por el PMI (Project

Pgina 8/16

Management Institute). Este estndar,

conocido como PMBOK (), documenta las
prcticas recomendadas dentro de la
gestin de proyectos y las divide en
procesos, segn su rea de conocimiento.
Los procesos que analizaremos son los
propios al rea de gestin de Riesgos.
Planificacin de la Gestin de Riesgos
En este proceso se decide como enfocar y
llevar a cabo la gestin de riesgos del
proyecto. Toma lugar en las fases iniciales
de planificacin del proyecto, y se realiza
mediante reuniones de anlisis y
planificacin entre equipos de proyecto. El
documento que se genera al finalizar la
planificacin es el Plan de Gestin de
Riesgos, que define como se estructurar y
realizar la gestin de riesgos, incluyendo
la metodologa, os roles y
responsabilidades de los participantes,
asignacin de recursos y estimacin de
costos, y el cronograma de actividades. El
Plan de Gestin tambin define las
categoras de identificacin a las que se
asignarn los riesgos del proyecto.
Identificacin de Riesgos
Este proceso determina qu riesgos pueden
afectar al proyecto y cules son sus
caractersticas. Es considerado un proceso
iterativo ya que se pueden descubrir
nuevos riesgos a medida que avanza el
proyecto. La informacin necesaria es
recopilada mediante entrevistas, revisin
de la documentacin del proyecto, brain
storming, o un anlisis FODA. Al finalizar
el proceso se genera un registro de riesgos,
que contiene la lista de riesgos
identificados, asociados a su categora y a
los eventos que puedan causarlos. Se
detalla adems una lista de posibles
respuestas a un riesgo que pueden ser
utilizadas en procesos posteriores.
Anlisis Cualitativo de Riesgos
Este anlisis contiene los mtodos para
priorizar los riesgos identificados. Se
evala la prioridad de los riesgos
utilizando su probabilidad de ocurrencia y

su impacto correspondiente sobre los

objetivos del proyecto, tanto a nivel de
costos como de plazos, alcance y calidad.
Este anlisis es una forma rpida de
establecer prioridades para la Planificacin
de Respuesta a Riesgos y sienta las bases
para el posterior anlisis cuantitativo. De
acuerdo a la combinacin de la
probabilidad de ocurrencia con su impacto
estimado sobre el proyecto, se califica a un
riesgo como alto, moderado o bajo. Se
suele utilizar una matriz de probabilidad e
impacto para representar esta escala.
Segn su puntuacin se establece que
riesgos requieren prioridad de accin y
cules deben ser supervisados para futuras
contingencias. La informacin del anlisis
cualitativo se utiliza para actualizar el
registro de riesgos, asociando a cada riesgo
una categora, prioridad y tipo de
respuesta, dependiendo del caso.
Anlisis Cuantitativo de Riesgos
A partir de los riesgos priorizados en el
anlisis cualitativo se realiza un anlisis
para tener una calificacin numrica del su
impacto sobre las demandas del proyecto.
Este anlisis cuantitativo no siempre es
necesario pero ayuda a desarrollar
respuestas efectivas a los riesgos.
Para realizar estas estimaciones se realizan
entrevistas, distribuciones de probabilidad,
anlisis de sensibilidad, arboles de decisin
y modelos de simulacin. Con esta
informacin se vuelve a actualizar el
registro de riesgos.
Planificacin de Respuesta a Riesgos
Este es el proceso de desarrollar opciones y
determinar acciones para reducir las
amenazas a los objetivos del proyecto. Las
respuestas a los riesgos del proyecto deben
ser planificadas de acuerdo a la
importancia del riesgo, acordadas por todas
las partes implicadas, tener un costo
efectivo en relacin al desafo, ser realistas
dentro del contexto del proyecto y estar a

Pgina 9/16

cargo de una persona responsables. La

respuesta ms apropiada puede provenir de
varias alternativas disponibles.
Normalmente se utilizan tres estrategias
para lidiar con los riesgos identificados:
Evitar, que implica realizar un
cambio en los planes para eliminar
una amenaza dada.
Transferir, que significa trasladar
un impacto negativo de un riesgo a
un tercero, que pasa a ser
responsable de la gestin del riesgo
y de su respuesta. Esto usualmente
implica costos adicionales, como
adquirir garantas o seguros.
Mitigar, es reducir la probabilidad
y/o impacto de un determinado
riesgo hacia un umbral aceptable.
Estas acciones suelen ser ms
efectivas y econmicas que intentar
reparar el dao ya realizado.
Una estrategia que se plantea frente a
determinados riesgos que no pueden
eliminarse o que son poco probables es la
de aceptar el riesgo. Una aceptacin pasiva
no requiere accin, y una aceptacin activa
puede ser establecer una reserva para
contingencias.
Una vez elegidas y acordadas las
respuestas apropiadas, pasan a incluirse en
el registro de riesgos. Tambin se sealan
el cronograma y el presupuesto de las
actividades necesarias para implementar
las respuestas.
Seguimiento y Control de Riesgos
El seguimiento y control de riesgos es un
proceso de supervisin continua que se
realiza para detectar nuevos riesgos o
alteraciones en los riesgos existentes.
Tambin se hace un seguimiento de la
ejecucin de las respuestas implementadas
y se evala su efectividad.
Para llevar a cabo este proceso se realizan
auditorias de los riesgos, anlisis de
variacin y tendencias del rendimiento

general del proyecto, y anlisis de las

reservas para contingencias. Si se sugieren
cambios o acciones correctivas deben ser
aprobadas por el Control Integrado de
Cambios. Los resultados de las
evaluaciones y auditorias pueden ser
actualizados en el registro de riesgos.
Mtodo SERUM
SERUM (Software Engineering Risk:
Understanding and Management) es una
tcnica de gestin de riesgos definida
dentro de un proceso de software. Utiliza
una gestin explicita e implcita de riesgos.
La gestin implcita de riesgos es un
mtodo por el cual el proceso de desarrollo
software est diseado para reducir el
riesgo. En la gestin explicita de riesgos
los riesgos son tratados directamente
mediante los procesos de identificacin,
valoracin, priorizacin, planeamiento,
resolucin y monitoreo. SERUM realiza un
nfasis en la gestin implcita de riesgos,
para no tener que lidiar explcitamente con
los riesgos genricos comunes a todos los
proyectos. Esta reduccin del nmero de
riesgos permite realizar una gestin
explicita ms sencilla y adecuada.
La premisa del mtodo es: El cambio es
inevitable para todos los sistemas de
software comerciales. SERUM es
tpicamente utilizado en proyectos de
software porque es adecuado para
proyectos continuos que requieren diversas
modificaciones y actualizaciones.
La prioridad de un cambio a realizar es
expresada en funcin de cinco variables:
Riesgos posibles en el sistema
actual
Riesgos posibles en el sistema
propuesto
Riesgos posibles en la
implementacin del cambio
Costo del cambio
Beneficio del cambio
La implementacin de SERUM consta de
los siguientes pasos:
Pgina 10/16

Una vez definido el cambio propuesto, se

desarrolla un plan de cambios y un plan de
control de riesgos para los riesgos
aceptados.
SERUM se destaca por ser un mtodo
prctico para el desarrollo de software, en
especial para lanzamiento de diferentes
versiones. Considera los aspectos tcnicos
y de negocio del cambio en un sistema, y
reconoce su naturaleza evolutiva. A
diferencia de otros mtodos, no trabaja con
todos los riesgos de forma explcita, sino
que considera una gestin implcita. Se
destaca tambin por tener en cuenta los
riesgos tanto del sistema propuesto como
los del sistema actual, lo que ayuda a
analizar los beneficios y reducir los riesgos
a medida que cambia el sistema.
La desventaja de SERUM est en la
dificultad que presenta tener que analizar
los costos y beneficios de todas las etapas
antes de comenzar el desarrollo. Adems,
su nfasis en cubrir la mayor cantidad
posible de riesgos puede imposibilitar la
gestin, por lo que se terminan gestionando
solo los riesgos con mayor exposicin.
Herramientas tiles en la Gestin de
riesgos.
Anteriormente se mencionaron los
distintos procesos que incluye la gestin de
riegos de un proyecto. Cada uno de esos
procesos contiene algn tipo de
herramienta o tcnica para ser llevado a
cabo. A continuacin mencionaremos
cuales son para cada uno de ellos.
Para la Planificacin de la Gestin de
Riesgos se pueden llevar a cabo Reuniones
de Planificacin y Anlisis, estas consisten
en que los equipos del proyecto celebren
reuniones de planificacin para desarrollar
el plan de gestin de riesgos. A estas
reuniones pueden asistir, entre otros, el
director del proyecto, miembros del equipo

del proyecto e interesados en el proyecto

seleccionados,
cualquiera
de
la
organizacin con responsabilidad de
gestionar las actividades de planificacin y
ejecucin de riesgos, y otras personas
segn sea necesario. En estas reuniones se
definen los planes bsicos para llevar a
cabo las actividades de gestin de riesgos.
Se desarrollarn los elementos de coste del
riesgo y las actividades del cronograma
para incluirlos en el presupuesto y el
cronograma del proyecto, respectivamente.
Se asignarn las responsabilidades respecto
al riesgo. Las plantillas generales de la
organizacin para las categoras de riesgo y
las definiciones de trmino como los
niveles de riesgo, la probabilidad por tipo
de riesgo, el impacto por tipo de objetivo y
la matriz de probabilidad se adaptaran para
el proyecto especfico. Las salidas de estas
actividades se resumirn en el plan de
gestin de riesgos.
Para la Identificacin de Riesgos se
encuentran las siguientes herramientas:
Revisin de documentacin: Se puede
realizar una revisin estructurada de la
documentacin del proyecto, incluidos
planes, asunciones, archivos de proyectos
anteriores y otra informacin. La calidad
de los planes, as como la consistencia
entre esos planes y con los requisitos y
asunciones del proyecto, pueden ser
indicadores de riesgo del proyecto.
Tcnicas
de
recopilacin
de
informacin:
Tormenta de ideas. La meta es
obtener una lista completa de los
riesgos del proyecto. El quipo suele
realizar tormentas de ideas, a
menudo
con
un
equipo
multidisciplinario de expertos que
no pertenecen al equipo. Se
generan ideas acerca de los riesgos
del proyecto bajo el liderazgo de un
facilitador.
Tcnicas Delphi. Es una forma de
llegar a un consenso de expertos.
Los expertos en riesgos de
proyectos participan en esta tcnica

Pgina 11/16

de forma annima. Un facilitador

emplea un cuestionario para
solicitar ideas acerca de los riesgos
importantes del proyecto. Las
respuestas son resumidas y luego
enviadas a los expertos para que
realicen comentarios adicionales.
La tcnica Delphi ayuda a reducir
sesgos en los datos y evita
que cualquier persona ejerza
influencias impropias en el
resultado.
Entrevistas.
Entrevistar
a
participantes experimentados y
expertos en la materia puede servir
para identificar riesgos. Las
entrevistas son una de las
principales fuentes de recopilacin
de datos para la identificacin de
riesgos.
Identificacin de la causa. Es una
investigacin de las causas
esenciales de los riesgos de un
proyecto. Refina la definicin del
riesgo y permite agrupar los riegos
por causa. Se pueden desarrollar
respuestas efectivas a los riesgos si
se aborda la causa del riesgo.
Anlisis
de
debilidades,
oportunidades, fuerzas y amenazas,
(FODA). Esta tcnica asegura el
examen del proyecto desde cada
una de las perspectivas del anlisis
FODA, para aumentar el espectro
de los riesgos considerados.
Anlisis mediante Lista de control: Las
listas de control para identificacin de
riesgos pueden ser desarrolladas basndose
en informacin histrica y en el
conocimiento que ha sido acumulado de
proyectos anteriores similares y de otras
fuentes de informacin. Si bien una Lista
de Control puede ser rpida y sencilla, es
imposible elaborar una que sea exhaustiva.
Anlisis de Asunciones: Todos los
proyectos se conciben y desarrollan sobre
la base de un grupo de hiptesis,
escenarios o asunciones. El anlisis de
asunciones es una herramienta que explora
la validez de las asunciones segn su

aplicacin en el proyecto. Identifica los

riesgos del proyecto debidos al carcter
inexacto, inconsistente o incompleto de las
asunciones.
Tcnicas de diagramacin:
Diagrama de causa y efecto.
Diagrama de flujo o de sistema.
Diagrama de influencias.

En el Anlisis Cualitativo de Riesgos

tambin encontramos una variedad de
herramientas que nos ayudarn a llevarlo a
cabo:
Evaluacin de probabilidad e impacto
de los riesgos: Investiga la probabilidad de
ocurrencia de cada riesgo especfico y el
posible efecto sobre un objetivo del
proyecto, como tiempo, coste, alcance o
calidad, incluidos tanto los efectos
negativos por las amenazas que implican,
como los efectos positivos por las
oportunidades que generan. Para cada
riesgo identificado se evalan la
probabilidad y el impacto. Los riesgos
pueden ser evaluados en entrevistas con
participantes
seleccionados
por
su
familiaridad con las categoras del riesgo
del orden del da.
Matriz de probabilidad e impacto: Los
riesgos pueden ser priorizados para un
anlisis cuantitativo posterior y para las
respuestas posteriores, basndose en su
clasificacin. Las calificaciones son
asignadas a los riesgos basndose en la
probabilidad y el impacto evaluados. La
evaluacin de la importancia de cada
riesgo y, por consiguiente, de su prioridad,
generalmente se realiza usando una tabla
de bsqueda o una matriz de prioridad e
impacto.
Dicha
matriz
especfica
combinaciones de probabilidad e impacto
que lleva a la calificacin de los riesgos
como de prioridad baja, moderada o alta.
Pueden usarse trminos descriptivos o
valores numricos, dependiendo de la
preferencia de la organizacin.
Evaluacin de la calidad de los datos
sobre riesgos: Un anlisis cualitativo de

Pgina 12/16

riesgos requiere de datos exactos y sin

sesgos para que sea creble. El anlisis de
la calidad de los datos sobre riesgos es una
tcnica para evaluar el grado de utilidad de
los datos sobre los riesgos para la gestin
de riesgos. Implica examinar el grado de
entendimiento del riesgo, y la exactitud,
claridad, fiabilidad e integridad de los
datos sobre el riesgo.
Categorizacin de Riesgos: Los riesgos
del proyecto pueden categorizarse por
fuentes de riesgo, rea del proyecto
afectada u otra categora til para
determinar las reas del proyecto que estn
ms expuestas a los efectos de la
incertidumbre. Agrupar los riesgos por
causas comunes puede contribuir a
desarrollar respuestas efectivas a los
riesgos.
Evaluacin de la urgencia de los riesgos:
Los riesgos que requieren respuestas a
corto plazo pueden ser considerados como
ms urgentes. Entre los indicadores de
prioridad pueden incluirse el tiempo para
dar respuesta a los riesgos, los sntomas y
seales de advertencia
,
y
la
calificacin de riesgo.
A continuacin se especificarn las
herramientas para el proceso del Anlisis
cuantitativo de Riesgos:
Tcnicas
de
recopilacin
y
representacin de datos:
Entrevistas. Las tcnicas de
entrevistas
se
utilizan
para
cuantificar la probabilidad y el
impacto de los riesgos sobre los
objetivos
del
proyecto.
La
informacin necesaria depende del
tipo
de
distribuciones
de
probabilidad que se vayan a usar.
Por
ejemplo,
para
algunas
distribuciones comnmente usadas,
la informacin se podra recopilar
agrupndola
en
escenarios
optimistas, pesimistas y ms
probables y en media y desviacin
estndar
para
las
otras
distribuciones.

Distribuciones de probabilidad.
Representan la incertidumbre de los
valores, como las duraciones de las
actividades en el cronograma y los
costes de los componentes del
proyecto.
Las
distribuciones
discretas pueden usarse para
representar eventos inciertos, como
el resultado de una prueba o un
posible escenario de un rbol de
decisiones.
Juicio de expertos. Expertos en la
materia internos y externos a la
organizacin, como expertos en
ingeniera o en estadstica, validan
los datos y las tcnicas.
Tcnicas de Anlisis cuantitativo de
Riesgos y de modelado:
Anlisis de sensibilidad. Ayuda a
determinar que riesgos tienen el
mayor impacto posible sobre el
proyecto.
Anlisis del valor monetario
esperado.
Es
un
concepto
estadstico que calcula el resultado
promedio cuando el futuro incluye
escenarios que pueden ocurrir o no.
Anlisis
mediante
rbol de
decisiones.
Normalmente
se
estructura usando un diagrama de
rbol de decisiones que describe
una situacin que se est
considerando, y las implicaciones
de cada una de las opciones
disponibles
y
los
posibles
escenarios.
Modelado y simulacin. Usa un
modelo
que
traduce
las
incertidumbres especificadas a un
nivel detallado del proyecto en su
impacto posible sobre los objetivos
del proyecto.
Ahora procederemos a detallar las
herramientas de la planificacin de la
respuesta a los riesgos:
Estrategias para riesgos negativos o
amenazas:
Evitar: Implica cambiar el plan de
gestin del proyecto para eliminar

Pgina 13/16

la amenaza que representa un

riesgo adverso, aislar los objetivos
del proyecto del impacto del riesgo
o relajar el objetivo que est en
peligro, por ejemplo, ampliando el
cronograma o reduciendo el
alcance.
Transferir. Requiere trasladar el
impacto de una amenaza, junto con
la propiedad de la respuesta, a un
tercero.
Mitigar.
Implica
reducir
la
probabilidad y/o el impacto de un
evento de riesgo adverso a un
umbral aceptable.
Estrategias para riesgos positivos u
oportunidades:
Explotar. Se puede seleccionar esta
estrategia para los riesgos con
impactos positivos, cuando la
organizacin desea asegurarse que
la oportunidad se haga realidad.
Compartir. Implica asignar la
propiedad a un tercero que est
mejor capacitado para capturar la
oportunidad para beneficio del
proyecto.
Mejorar. Modifica el tamao de
una oportunidad, aumentando la
probabilidad y/o los impactos
positivos, e identificando y
maximizando
las
fuerzas
impulsoras claves de estos riesgos
de impacto positivo.
Estrategia comn para amenazas y
oportunidades:
Aceptar. Se adopta debido a que
rara vez es posible eliminar todo el
riesgo de un proyecto. Indica que el
equipo del proyecto ha decidido no
cambiar el plan de gestin del
proyecto para hacer frente a un
riesgo, o no ha podido identificar
ninguna otra estrategia de respuesta
adecuada.
Estrategia
de
respuesta
para
contingencias:
Algunas respuestas estn diseadas para
ser usadas nicamente si tienen lugar

determinados eventos. Para algunos

riesgos, resulta adecuado que el equipo del
proyecto prepare un plan de respuesta que
solo se ejecutar bajo determinadas
condiciones predefinidas, si se cree que
habr suficientes seales de advertencia
para implementar el plan.
Por ltimo encontramos el Seguimiento
y Control de Riesgos:
Reevaluacin de los riesgos: A menudo se
requiere la identificacin de nuevos riesgos
y reevaluacin de los riesgos. Las
reevaluaciones de los riesgos deben ser
programadas con regularidad. La gestin
de los riesgos del proyecto debe ser un
punto del orden del da en las reuniones
sobre el estado del equipo del proyecto.
Auditoras de los riesgos: Examinan y
documentan la efectividad de las
respuestas a los riesgos para tratar los
riesgos identificados y sus causas, as
como la efectividad del proceso de gestin
de riesgos.
Anlisis de variacin de tendencias: Las
tendencias en la ejecucin del proyecto
deben ser revisadas usando los datos de
rendimiento. El anlisis del valor ganado y
otros mtodos de anlisis de variacin y de
tendencias del proyecto pueden usarse para
realizar el seguimiento del rendimiento
general del proyecto.
Medicin del rendimiento tcnico:
Compara los logros tcnicos durante la
ejecucin del proyecto con el cronograma
de logros tcnicos del plan de gestin del
proyecto.
Anlisis de reserva: A lo largo de la
ejecucin del proyecto, es posible que
tengan lugar algunos riesgos, con impactos
positivos o negativos sobre las reservas
para contingencias del presupuesto o del
cronograma.
Reuniones sobre el estado de la
situacin: La gestin de los riesgos del
proyecto puede ser un punto del orden del
da en las reuniones peridicas sobre el
estado de la situacin. Ese punto puede
llevar nada de tiempo o puede llevar
mucho tiempo, dependiendo de los riesgos

Pgina 14/16

que hayan sido identificados, su prioridad

y dificultad de respuesta.
Mitigacin de riesgos
La mitigacin de riesgos implica priorizar,
evaluar, e implementar el control
apropiado de reduccin de riesgos de la
evaluacin de riesgos del proceso. La
eliminacin de todos los riesgos no suele
ser prctica y hasta a veces cercana a
imposible. La responsabilidad se encuentra
en utilizar el enfoque de menor costo e
implementar el control ms apropiado para
disminuir el riesgo del proyecto a un nivel
aceptable, con el menor impacto a los
recursos de la organizacin y del proyecto.
A continuacin se especificaran algunas
opciones para mitigar los riesgos de un
proyecto:
Ignorar el riesgo:
Limitar el riesgo:
Planificar el riesgo:
Investigacin y reconocimiento:
Transferir el riesgo:
Los objetivos y la misin de una
organizacin deberan ser consideradas
eligiendo cualquiera de estas opciones de
mitigacin de riesgos.
Estrategia para mitigar los riesgos:

controles administrativos para minimizar

los riesgos o prevenir la ocurrencia.
Cuando el costo del ataque es menor que la
ganancia potencial, la opcin es aplicar
protecciones para minimizar la motivacin
del atacante aumentando el costo que
necesita el atacante para realizarlo.
Cuando la prdida es demasiado grande se
podran aplicar principios de diseo,
diseos de arquitectura y protecciones
tanto tcnicas como no-tcnicas para
limitar la extensin del ataque y as reducir
el potencial de la perdida.
Enfoque para la aplicacin de control:
Puede ser descripto con la siguiente
metodologa de mitigacin de riesgos.
Priorizar acciones, evaluar opciones de
control recomendadas, conducir anlisis de
costo-beneficio, seleccionar controles,
asignar responsabilidades, desarrollar un
plan de implementacin de garantas,
implementar controles seleccionados.
Categoras de control: Una organizacin
debera considerar controles de seguridad
tcnica, gerencial y operacional para
maximizar la efectividad de los controles
para sus sistemas informticos.
Anlisis de costo-beneficio: Puede ser
cualitativo o cuantitativo. Su propsito es
demostrar que el costo de implementar los
controles es justificado para la reduccin
en el nivel de riesgos.
Riesgo residual: Los riesgos restantes
luego de la implementacin de un control
se denominan riesgos residuales.

Cuando existe vulnerabilidad lo ms

apropiados sera aplicar tcnicas de
garantas para reducir la probabilidad de
que una vulnerabilidad sea practicada.
Cuando una vulnerabilidad puede ser
ejercitada se puede aplicar la proteccin
por capas, diseos de arquitectura y

Pgina 15/16

BIBLIOGRAFIA

Project management institute, 2008. A

guide to the project management body
of knowledge (PMBOK Guide) 4th
edition, project management institute
publications.
Boehm, B.W., 1991. Software risk
management principles and practices.
IEEE Software 8 (1), 3241

J. Kontio - The Riskit Method for

Software Risk Management, version
1.00

Stern,Arias - REVIEW OF RISK

MANAGEMENT METHODS

DIFFERENT TECHNIQUES FOR

RISK MANAGEMENT
IN SOFTWARE ENGINEERING: A
REVIEW

Managing risk: methods for software

systems development. Elaine M. Hall.
A New Dimension in Software Risk
Management - Masood Uzzafer

http://sunset.usc.edu/research/WINWIN/winwin
spiral.html
http://www.rdware.com/en/riskit method

Pgina 16/16