7. RiesgoRiesgo
i id ll• Los riesgos conocidos son aquellos que
han sido identificados y analizados, es
posible establecer un plan específico
para atenderlos.
• Los riesgos desconocidos no pueden
ser administrados, no obstante, , ,
pueden atenderse mediante un plan
de contingencia basado ende contingencia basado en
experiencias.
8. RiesgoRiesgo
A i l i i l l i i• A nivel organizacional, los riesgos son vistos
como amenazas al éxito de los proyectos.
L i id d• Los riesgos que son considerados como
amenazas pueden ser aceptados si estos
están en balance con un beneficio que seestán en balance con un beneficio que se
obtiene al tomar dichos riesgos (ej.
reducción de tiempos y costos)reducción de tiempos y costos).
• Por su parte, los riesgos que se perciben
como oportunidades se persiguen para elcomo oportunidades se persiguen para el
beneficio de los objetivos del proyecto.
9. RiesgoRiesgo
l é i l i ió d b• Para el éxito, la organización debe
estar comprometida a aplicar la
administración de riesgos a lo largo de
todos sus proyectos y en todos sus
procesos.
• Una medida del compromiso p
organizacional es su dedicación a
reunir datos detallados sobre losreunir datos detallados sobre los
riesgos y su caracterización.
12. Gestión del riesgoGestión del riesgo
b i li• Debe visualizarse como:
– Política: Declaración realizada por la
i ió d i t i i i iorganización, de sus intenciones y principios
con relación a un determinado tema que
provee un marco para la acción y paraprovee un marco para la acción y para
establecer objetivos y metas respecto del
mismo.
– Doctrina: Compromiso y difusión de la
metodología.
– Disciplina: Proceso continuo e integrado
(transversal) al modelo de gestión.
14. PrincipiosPrincipios
• Principios:
– Adaptabilidadp
– Agilidad (proactividad)
Potenciar la comunicación– Potenciar la comunicación
– Aprender de todas las experiencias
– Responsabilidad compartida
– Proceso Integradog
– Proceso Continuo
15. ParadigmaParadigma
di j d• Un paradigma es un conjunto de
teorías generales, suposiciones, leyes
o técnicas del que se vale una escuela
de análisis o comunidad científica para
evaluar todas las cosas.
• Thomas Kuhn habla del "paradigma p g
dominante" como el “conjunto de
creencias compartidas o de sabiduríacreencias compartidas o de sabiduría
convencional acerca de las cosas”.
16. ParadigmaParadigma
d d i i ió i• Proceso de Administración Continua
del Riesgo (CRM, Continuous Risk
Management) del Instituto de
Ingeniería de Software (SEI, CMU):
– Identificar
– Analizar
– Planear
– SeguirSeguir
– Comunicar
18. Capability Maturity ModelCapability Maturity Model
M d f i i ti d l• Marco de referencia prescriptivo del proceso
de negocio y establece un conjunto de
prácticas o procesos clave que se agrupan en p p q g p
áreas clave de proceso.
• En cada área de proceso se define un
j t d b á ti d bconjunto de buenas prácticas que deben
definirse en un procedimiento documentado,
proveer a la organización de los medios y p g y
formación necesarios, ejecutadas de un modo
sistemático, universal y uniforme
(institucionalizadas) medidas y finalmente(institucionalizadas), medidas y, finalmente,
verificadas.
20. Gestión de RiesgosGestión de Riesgos
• Incluye maximizar la probabilidad y
consecuencias de eventos positivos y p y
minimizar la probabilidad y
consecuencias de eventos adversos aconsecuencias de eventos adversos a
los objetivos de:
P– Proyectos
– Procesos
– Programas
21. Gestión de riesgosGestión de riesgos
i l d l d• Es una parte integral del proceso de
administración.
• Es un proceso multifacético, aspectos
apropiados del cual son a menudo p p
llevados a cabo mejor por un equipo
multidisciplinario. p
• Es un proceso iterativo de mejora
continuacontinua.
23. Establecer el contextoEstablecer el contexto
l d ió d l i• El proceso de gestión del riesgo ocurre
dentro de la estructura del contexto
t té i i i l destratégico, organizacional y de
administración de una organización.
• Define los parámetros básicos dentro de
los cuales deben administrarse los riesgos
í l d i iy proveen una guía para las decisiones.
• Establece el alcance para el resto del
proceso de gestión de riesgos.
24. Identificación de los riesgosIdentificación de los riesgos
b id ifi l i• Este paso busca identificar los riesgos
a administrar.
• Según el PMBOK® 2004, “la
identificación de los riesgos involucra g
determinar cuáles riesgos pueden
afectar un proyecto [o proceso] y p y [ p ] y
documentar sus características”.
• Resultados: Riesgos Síntomas y• Resultados: Riesgos, Síntomas y
Consecuencias
25. Identificación de los riesgosIdentificación de los riesgos
• Debe ejecutarse un proceso
sistemático, bien estructurado, porque p q
los riesgos potenciales que no se
identifican en esta etapa son excluidosidentifican en esta etapa son excluidos
de un análisis posterior.
f ó b í l• La identificación debería incluir todos
los riesgos, estén o no bajo control de
la organización.
26. Clasificación de los riesgos basada
en taxonomía
S d ili l l ifi i• Se pueden utilizar las clasificaciones o
categorías de los riesgos, denominadas
también taxonomías de riesgos para variostambién taxonomías de riesgos, para varios
propósitos:
– Durante la identificación de riesgos pueden– Durante la identificación de riesgos, pueden
utilizarse para estimular el pensamiento sobre
los riesgos que pueden producirse en las
d á d ldistintas áreas del proyecto.
– Durante la puesta en común de ideas, aligeran la
complejidad de trabajar con grandes cantidadescomplejidad de trabajar con grandes cantidades
de riesgos porque los riesgos parecidos pueden
incluirse en un mismo grupo.
32. Hitos de la identificaciónHitos de la identificación
i i i• Riesgos: Un riesgo constituye un
evento (o condición) con cierta
incertidumbre y si éste ocurre tiene un
efecto positivo o negativo en los
objetivos del proyecto o proceso.
• Disparadores: Se les llama a menudo p
“síntomas del riesgo” o “señales de
alarma” y son indicadores de que unalarma y son indicadores de que un
riesgo está apunto de ocurrir.
33. Análisis de riesgosAnálisis de riesgos
L bj ti d áli i• Los objetivos de análisis son:
– Separar los riesgos menores aceptables
de los riesgos mayoresde los riesgos mayores.
– Proveer datos para asistir en la
evaluación y tratamiento de los riesgosevaluación y tratamiento de los riesgos.
• El análisis de riesgos involucra prestar
consideración a las fuentes de riesgosconsideración a las fuentes de riesgos,
sus consecuencias y las probabilidades
de que puedan ocurrir esas q p
consecuencias.
34. Análisis de riesgosAnálisis de riesgos
• Pueden identificarse los factores que
afectan a las consecuencias y y
probabilidades.
• Se analiza el riesgo combinando• Se analiza el riesgo combinando
estimaciones de consecuencias y
b b l l lprobabilidades en el contexto de las
medidas de control existentes.
35. Análisis de riesgosAnálisis de riesgos
• Puede ser llevado con distintos grados
de refinamiento dependiendo de la p
información de riesgos y datos
disponiblesdisponibles.
• Dependiendo de las circunstancias, el
ál lanálisis puede ser cualitativo,
semicuantitativo o cuantitativo o una
combinación de estos.
36. Tipos de análisisTipos de análisis
l áli i d i d ll d• El análisis de riesgos puede ser llevado
con distintos grados de refinamiento
dependiendo de la información de
riesgos y datos disponibles.
• Dependiendo de las circunstancias, el
análisis puede ser:p
– Cualitativo
– Semi‐cuantitativoSemi‐cuantitativo
– Cuantitativo
37. Análisis cualitativoAnálisis cualitativo
Utili f t d l b l• Utiliza formatos de palabras o escalas
descriptivas para describir la magnitud
de las consecuencias potenciales y lade las consecuencias potenciales y la
probabilidad de que esas
consecuencias ocurranconsecuencias ocurran.
• Las escalas se pueden modificar o
ajustar para adaptarlas a lasajustar para adaptarlas a las
circunstancias, y se pueden utilizar
distintas descripciones para riesgosdistintas descripciones para riesgos
diferentes.
39. Análisis cualitativoAnálisis cualitativo
NIVEL DESCRIPTOR EJEMPLO DE DESCRIPCIÓN DETALLADA
1 Insignificante Sin perjuicios, baja pérdida financiera.
Tratamiento de primeros auxilios liberado
2 Menor
Tratamiento de primeros auxilios, liberado
localmente se contuvo inmediatamente,
perdida financiera media.
Requiere tratamiento médico, liberado
3 Moderado
q ,
localmente pero contenido con asistencia
externa, pérdida financianera alta.
Perjuicios extensivos pérdida de capacidad de
4 Mayor
Perjuicios extensivos, pérdida de capacidad de
producción, liberación externa, sin efectos
nocivos, pérdida financiera mayor.
5 Catastrófico
Muerte, liberación tóxica externa con efectos
nocivos, enorme pérdida financiera.
40. Análisis cualitativoAnálisis cualitativo
P b bilid d d i• Probabilidad de riesgo:
– Es una medida que calcula la probabilidad de
que las consecuencias de los riesgos lleguen aque las consecuencias de los riesgos lleguen a
producirse de verdad.
– Para clasificar los riesgos es recomendable la g
asignación de un valor numérico a la
probabilidad (Análisis Cuantitativo).
L b bilid d d i d b– La probabilidad de un riesgo debe ser mayor que
cero o el riesgo no representa una amenaza.
Asimismo, la probabilidad debe ser menor que , p q
100% o el riesgo es una certeza, en otras
palabras, es un problema identificado.
41. Análisis cualitativoAnálisis cualitativo
NIVEL DESCRIPTOR DESCRIPCIÓN
A Casi certeza
Se espera que ocurra en la mayoría de
las circunstancias.
B Probable
Probablemente ocurrirá en la mayoría
de las circunstancias.
C Posible Podría ocurrir en algun momento.
D Improbable Pudo ocurrir en algun momento.
P d i i i
E Raro
Puede ocurrir en circunstancias
excepcionales.
42. Análisis cualitativoAnálisis cualitativo
E i ió l i• Exposición al riesgo:
– Calcula la amenaza general que supone el riesgo
combinando la información que expresa lacombinando la información que expresa la
probabilidad de una pérdida real con
información que indica la magnitud de la
pérdida potencial en un único valor numérico.
– El equipo puede usar la magnitud de la
exposición al riesgo para clasificar los riesgosexposición al riesgo para clasificar los riesgos.
– En el caso más simple de análisis de riesgo
cuantitativo, la exposición al riesgo se calcula , p g
multiplicando la probabilidad de riesgo por el
impacto.
43. Análisis cualitativoAnálisis cualitativo
PROBABILIDAD:
CONSECUENCIAS:
Insignificantes Menores Moderadas Mayores Catastróficasg
1 2 3
y
4 6
A (C i t ) Alt Alt E t E t E tA (Casi certeza) Alto Alto Extremo Extremo Extremo
B (Probable) Medio Alto Alto Extremo ExtremoB (Probable) Medio Alto Alto Extremo Extremo
C (Posible) Bajo Medio Alto Extremo Extremo( )
D (Improbable) Bajo Bajo Medio Alto Extremo
E (Raro) Bajo Bajo Medio Alto Alto
44. Análisis cualitativoAnálisis cualitativo
NIVEL: CATEGORÍA: DESCRIPCIÓN:
Bajo Aceptable tal cual No requiere mitigación.j p q g
Medio
Aceptable con
controles
Se debe verificar que existan
controles para este riesgo y estén
ti
controles
operativos.
Debe ser mitigado con controles
de ingeniería o administrativos
Alto Indeseable
de ingeniería o administrativos
dentro de un período mínimo de
12 meses.
Extremo Inaceptable
Debe ser mitigado con controles
de ingeniería o administrativos
dentro de un período mínimo de 6
meses.
45. Análisis cuantitativoAnálisis cuantitativo
ili l é i l• Utiliza valores numéricos para las
consecuencias y probabilidades (en
lugar de las escalas descriptivas
utilizadas en los análisis cualitativos y
semicuantitativos) utilizando datos de
distintas fuentes.
• La calidad del análisis depende de la
precisión e integridad de los valoresprecisión e integridad de los valores
numéricos utilizados.
46. Análisis semi cuantitativoAnálisis semi‐cuantitativo
• En el análisis semi‐cuantitativo, a las
escalas cualitativas, tales como las
descritas anteriormente, se les asignan
valoresvalores.
• Se generan funciones heurísticas
b b lbasadas en umbrales para determinar
el nivel de exposición del riesgo.
47. Evaluar los riesgosEvaluar los riesgos
i l i d d i• Comparar niveles estimados de riesgos
contra los criterios preestablecidos.
• Posibilita que los riesgos sean
ordenados como para identificar las p
prioridades de administración.
• Si los niveles de riesgo establecidosSi los niveles de riesgo establecidos
son bajos, los riesgos podrían caer en
una categoría aceptable y no seuna categoría aceptable y no se
requeriría un tratamiento para estos.
48. Tratar los riesgosTratar los riesgos
• Aceptar y monitorear los riesgos de
baja prioridad. j p
• Para otros riesgos, desarrollar e
implementar un plan deimplementar un plan de
administración específico.
49. Opciones de TratamientoOpciones de Tratamiento
• Evitar el riesgo decidiendo no proceder con
la actividad que probablemente generaría el
riesgo (cuando esto es practicable).
• Reducir o controlar la probabilidad de la
ocurrencia
• Reducir o controlar las consecuenciaseduc o co o a as co secue c as
• Transferir los riesgos
• Retener los riesgos• Retener los riesgos
• Aceptar los riesgos
56. Comunicar y consultarComunicar y consultar
• Comunicar y consultar con interesados
internos y externos según corresponda y g p
en cada etapa del proceso de
administración de riesgos yadministración de riesgos y
concerniendo al proceso como un
todotodo.
57. Monitoreo y revisiónMonitoreo y revisión
E i i l i l• Es necesario monitorear los riesgos, la
efectividad del plan de tratamiento de los
riesgos las estrategias y el sistema deriesgos, las estrategias y el sistema de
administración que se establece para
controlar la implementacióncontrolar la implementación.
• Los riesgos y la efectividad de las medidas
de control necesitan ser monitoreadas parade control necesitan ser monitoreadas para
asegurar que las circunstancias cambiantes
no alteren las prioridades de los riesgos. p g
• Pocos riesgos permanecen estáticos.
58. Monitoreo y revisiónMonitoreo y revisión
• Es esencial una revisión sobre la marcha• Es esencial una revisión sobre la marcha
para asegurar que el plan de administración
se mantiene relevante.
• Pueden cambiar los factores que podrían
afectar las probabilidades y consecuencias
de un resultado, como también los factoresde un resultado, como también los factores
que afectan la conveniencia o costos de las
distintas opciones de tratamiento.
• En consecuencia es necesario repetir• En consecuencia, es necesario repetir
regularmente el ciclo de administración de
riesgos. La revisión es una parte integral del
l d t t i t d l d i i t ió dplan de tratamiento de la administración de
riesgos.
59. Comunicación y consultaComunicación y consulta
L i ió l lt• La comunicación y la consulta son una
consideración importante en cada paso del proceso
de administración de riesgos.
• Es importante desarrollar un plan de comunicación
para los interesados internos y externos en la etapa
más temprana del proceso. p p
• Este plan debería encarar aspectos relativos al
riesgo en si mismo y al proceso para administrarlo.
• La comunicación y consulta involucra un diálogo en• La comunicación y consulta involucra un diálogo en
ambas direcciones entre los interesados, con el
esfuerzo focalizado en la consulta más que un flujo
d i f ió ól tid d l t d dde información en un sólo sentido del tomador de
decisión hacia los interesados.
60. Comunicación y consultaComunicación y consulta
i ió f i i• La comunicación efectiva interna y
externa es importante para asegurar
que aquellos responsables por
implementar la gestión de riesgos, y
aquellos con intereses creados
comprendan:
– la base sobre la cual se toman las
decisiones
– por qué se requieren ciertas acciones en
particular.
61. Comunicación y consultaComunicación y consulta
L i d l i• Las percepciones de los riesgos
pueden variar debido a diferencias en
los supuestos conceptos laslos supuestos, conceptos, las
necesidades, aspectos y
preocupaciones de los interesadospreocupaciones de los interesados,
según se relacionen con el riesgo o los
aspectos bajo discusión. p j
• Los interesados probablemente harán
juicios de aceptabilidad de los riesgosjuicios de aceptabilidad de los riesgos
basados en su percepción de los
mismos.
62. Comunicación y consultaComunicación y consulta
• Dado que los interesados pueden
tener un impacto significativo en las p g
decisiones tomadas, es importante
que sus percepciones de los riesgosque sus percepciones de los riesgos,
así como, sus percepciones de los
beneficios sean identificadas ybeneficios, sean identificadas y
documentadas y las razones
subyacentes para las mismas
comprendidas y tenidas en cuenta.
65. InstrumentosInstrumentos
Pl E é i Pl O i M• Planes Estratégicos, Planes Operativos, Mapas
de procesos y planes de proyectos (WBS).
F l i d id tifi ió d l ió• Formularios de identificación y declaración
del riesgo
• Taxonomía de riesgo• Taxonomía de riesgo
• Modelo de evaluación
Pl d ti i li ió d• Planes de contingencia y aplicación de
opciones de tratamiento
• Matriz de riesgo• Matriz de riesgo
• Diagrama de riesgo (mapa de riesgo)
66. DocumentosDocumentos
R i t d iRegistro de riesgos
• Por cada riesgo identificado el registro de
riesgo comprenderiesgo comprende:
– Declaración.
Ubicación en el contexto organizacional– Ubicación en el contexto organizacional.
– Síntomas/Disparadores
– ConsecuenciasConsecuencias
– Probabilidad e Impacto.
– Nivel de exposición.p
– Opciones de tratamiento y respuesta /
controles existentes.
67. DocumentosDocumentos
P d t t i t d i l dPrograma de tratamiento de riesgos y plan de
acción
• Un tratamiento de riesgos y plan de acciónUn tratamiento de riesgos y plan de acción
documenta los controles gerenciales a
adoptar y lista la siguiente información:
– Responsables de la implementación del plan.
– Recursos requeridos.
Asignación de presupuesto– Asignación de presupuesto.
– Calendario de implementación.
– Detalles del mecanismo y frecuencia de la y
revisión de cumplimiento del plan de
tratamiento.
68. Declaración del riesgo (1)Declaración del riesgo (1)
• Riesgo:• Riesgo:
• R01 ‐ Cambio constante de los requerimientos técnicos
• Tipo:
• Organizacional
• Fase:
– Análisis de Requerimientos
– Impacto Mayor, Probabilidad Posible, Exposición: Alta
– Diseño
– Impacto: Mayor, Probabilidad: Posible, Exposición: Alta
– Implementación
– Impacto Moderado, Probabilidad Improbable, Exposición: Baja
• Descripción:
• Debido a que el proceso de desarrollo de software se concibe bajo una metodología ágil se
presume la inestabilidad de los requerimientos. Además el usuario final tiene el poder de
cambar de idea continuamente, sin importar el estado actual de los requerimientos pactados , p q p
para el sistema.
• Respuesta al riesgo:
• Mitigar
• Estrategia recomendada:
P d t d i i t b j d lid ió t li t ió• Proceso de captura de requerimientos bajo un esquema de validación y retroalimentación
constante de la especificación actual de requerimientos del sistema. Se generarán prototipos
funcionales y no funcionales para dotar al usuario de una vista preliminar del producto de cada
etapa del proceso.
69. Declaración del riesgo (2)Declaración del riesgo (2)
• Riesgo:• Riesgo:
• R02 ‐ Planificación ambiciosa del calendario de trabajo
• Tipo:
• Organizacional
• Fase:
– Gestión de Proyectos
• Impacto Mayor, Probabilidad Improbable, Exposición: Media
• Descripción:
L t d l í d d ll d ft i t d l ilid d l t• La metodología de desarrollo de software es orientada a la agilidad y la entrega
constante de productos. El tiempo de entrega del producto final para cada
proyecto es corto lo que predispone a que el proyecto falle por falta de tiempo
para ejecutar las actividades críticas del proyecto, lo que supone excesiva presión
para el equipo de trabajo.
• Respuesta al riesgo:
– Mitigar
• Estrategia recomendada:
• Reforzar el proceso de planificación y seguimiento (control) de forma eficiente, p p y g ( ) ,
siguiendo un modelo de planificación orientada a la complejidad, asumiendo
adaptabilidad y gestión integrada del riesgo durante cada etapa de desarrollo e
implementado medidas de control detalladas.
70. Declaración del riesgo (3)Declaración del riesgo (3)
• Riesgo:• Riesgo:
• R03 ‐ Implicación y participación de los usuarios.
• Tipo:
• Organizacional.
• Fase:
– Elicitación de requerimientos: Impacto Mayor, Probabilidad Posible, Exposición: Alta
– Análisis de requerimientos: Impacto Moderado, Probabilidad Improbable, Exposición: Baja
– Diseño: Impacto Moderado, Probabilidad Improbable, Exposición: Baja
– Implementación: Impacto Moderado, Probabilidad Posible, Exposición: Media
• Descripción:p
• Durante un proceso de desarrollo de software la participación del usuario final es crucial para la
finalización exitosa del mismo. El usuario debe participar activamente en el proceso de
desarrollo y no solo al inicio o al final, debe aportar ideas y retroalimentar al equipo de trabajo
del proyecto, de lo contrario se producirá un alto grado de insatisfacción usuario al no obtener
el producto con las especificaciones solicitadas. El usuario final es el que realmente conoce el p p q
valor que aportará el producto que está siendo desarrollado y puede definir las prioridades de
los requerimientos.
• Respuesta al riesgo:
• Mitigar
• Estrategia recomendada:Estrategia recomendada:
• Promover la participación activa del usuario final en el proceso de planificación y todas las
iteraciones del proceso de software para proveer la retroalimentación oportuna al equipo de
desarrollo para garantizar el cumplimiento de los requerimientos solicitados y suministrar al
mismo de la visibilidad permanente del estado del proyecto que asegurará su compromiso para
terminarlo exitosamente.terminarlo exitosamente.
71. Declaración del riesgo (4)Declaración del riesgo (4)
• Riesgo:• Riesgo:
• R04 ‐ Gestión de riesgos insuficiente
• Tipo:
• Organizacional• Organizacional
• Fase:
– Gestión de Proyectos
– Impacto Moderado, Probabilidad Improbable, Exposición: Bajo
• Descripción:
• El proceso de gestión de riesgos es relativamente está definido en la
Unidad de Informática y todavía está en proceso de implementación
en el ámbito organizacionalen el ámbito organizacional.
• Respuesta al riesgo:
• Mitigar
• Estrategia recomendada:Estrategia recomendada:
• Fortalecer la comunicación (mediante reuniones) para lograr la
identificación y tratamiento de los riesgos no identificados o
emergentes durante el proceso de desarrollo.
73. MatrizMatriz
RIESGO: RESPUESTA: PLAN DE ACCIÓN: RESPONSABLE(S):
Mitigar
Esta posición implica acciones y
Proceso de captura de requerimientos
bajo un esquema de validación y
retroalimentación constante de la
Cambio constante de los
requerimientos técnicos
Esta posición implica acciones y
actividades que se realizan con
anticipación para evitar que se
produzca un riesgo o para reducir
el impacto o las consecuencias a
especificación actual de
requerimientos del sistema. Se
generarán prototipos funcionales y no
funcionales para dotar al usuario de
una vista preliminar del producto de
Equipo de Análisis de
Requerimientos
un nivel aceptable.
una vista preliminar del producto de
cada etapa del proceso.
Planificación ambiciosa del
Mitigar
Esta posición implica acciones y
actividades que se realizan con
Reforzar el proceso de planificación y
seguimiento (control) de forma
eficiente, siguiendo un modelo de
planificación orientada a la
calendario de trabajo anticipación para evitar que se
produzca un riesgo o para reducir
el impacto o las consecuencias a
un nivel aceptable.
complejidad, asumiendo adaptabilidad
y gestión integrada del riesgo durante
cada etapa de desarrollo e
implementado medidas de control
detalladas.
Administrador de Proyectos
74. MatrizMatriz
Miti
Promover la participación
activa del usuario final en el
proceso de planificación y
todas las iteraciones del
proceso de software para
Implicación y
participación de los
usuarios
Mitigar
Esta posición implica acciones y
actividades que se realizan con
anticipación para evitar que se
produzca un riesgo o para reducir el
proveer la retroalimentación
oportuna al equipo de
desarrollo para garantizar el
cumplimiento de los
requerimientos solicitados y
Patrocinador
Administrador de Proyectos
A it t d S ftusuarios
impacto o las consecuencias a un
nivel aceptable.
requerimientos solicitados y
suministrar al mismo de la
visibilidad permanente del
estado del proyecto que
asegurará su compromiso
Arquitecto de Software
para terminarlo
exitosamente.
Mitigar Fortalecer la comunicación
Gestión de riesgos
insuficiente
Esta posición implica acciones y
actividades que se realizan con
anticipación para evitar que se
produzca un riesgo o para reducir el
impacto o las consecuencias a un
(mediante reuniones) para
lograr la identificación y
tratamiento de los riesgos
no identificados o
emergentes durante el
Administrador de Proyectos
impacto o las consecuencias a un
nivel aceptable.
g
proceso de desarrollo.
77. Gestión del RiesgoGestión del Riesgo
• En el Instituto Costarricense sobre
drogas involucra:g
– Normativa
Política– Política
– Marco orientador (metodología)
– Software
79. PolíticaPolítica
“P l li i t f ti• “Procurar el cumplimiento efectivo y
eficiente de la misión y objetivos
institucionales mediante una estrategia g
continua e integrada de gestión de riesgos
en todos los procesos institucionales y la
constitución de un marco de trabajoconstitución de un marco de trabajo
sistematizado y estandarizado, permanente,
proactivo y sustentable que involucre el
establecimiento del contexto organizacional,
la identificación, el análisis, la evaluación, el
tratamiento, la comunicación y el monitoreotratamiento, la comunicación y el monitoreo
en curso de los riesgos”.
81. ResponsabilidadesResponsabilidades
f d id d di i l ió d• Los Jefes de Unidad, dirigen la gestión de
riesgos en cada uno de los procesos y son
l bl l i l t iólos responsables por la implementación
de controles y mecanismos de evaluación
de su efectividadde su efectividad.
• Todos los funcionarios son responsables
d l d ió d l i d lde la reducción de los riesgos y de velar
por la eficacia de los controles integrados
l ti id d ten los procesos, actividades y tareas a su
cargo.
82. ComisiónComisión
R t t d l C j Di ti• Representante del Consejo Directivo.
• Representante de la Dirección.
( )• Planificador(a) institucional.
• Jefe de la unidad administrativa /
fi ifinanciera.
• Jefe de la unidad de tecnología de la
i f ióinformación.
• Jefe representante de las unidades
sustantivassustantivas.
• Asesor(a) legal.
84. Marco orientadorMarco orientador
P i i i bá i• Principios básicos
• Conceptos
• Descripción del proceso
– Establecimiento del contexto
d ifi ió d f d i– Identificación de fuentes de riesgo
– Identificación de riesgos
Análisis– Análisis
– Tratamiento
– Monitoreo y Revisión– Monitoreo y Revisión
– Comunicación
89. ModeloModelo
fi i f l l d d• Definir formalmente los procesos de cada
una de las Unidades.
• Implementa en 2007 un modelo de
proceso de gestión del riesgo integrado a
todos los procesos institucionales.
• Utilizar una herramienta informática para
la gestión y control del riesgo.
• Participación activa de todos los p
funcionarios en la identificación y
tratamiento de los riesgos.g
109. BibliografíaBibliografía
R ld P Hi Y Y H i• Ronald P. Higuera y Yacov Y. Haimes,
“Software Risk Management”, SEI Technical
Report CMU/SEI‐96‐TR‐012 ESC‐96‐012Report CMU/SEI 96 TR 012 ESC 96 012
(Pittsburgh, PA: Software Engineering
Institute—Universidad Carnegie Mellon,
19961996.
• Marvin J. Carr y otros, “Taxonomy‐Based
Risk Identification” SEI Technical ReportRisk Identification , SEI Technical Report
CMU/SEI‐93‐TR‐6 ESC‐TR‐93‐183
(Pittsburgh, PA: Software Engineering
Institute—Universidad Carnegie Mellon,
1993.
110. BibliografíaBibliografía
G S b “Ri k• Gary Stoneburner y otros. “Risk
Management Guide for Information
Technology Systems” Recommendations ofTechnology Systems . Recommendations of
the National Institute of Standards and
Technology SP 800–30 National Institute ofTechnology SP 800 30. National Institute of
Standards and Technology. 2002
• Project Management Institute IncProject Management Institute Inc.
(www.pmi.org). “A guide to project
management body of knowledge (PMBOK® g y g (
Guide)”. Edición 2004. Pennsylvania, EUA.
2004.
111. BibliografíaBibliografía
Ri h d L M h Ch i t h J Alb t R• Richard L. Murphy; Christopher J. Alberts; Ray
C. Williams; Ronald P. Higuera; Audrey J.
Dorofee; & Julie A. Walker. Continuous Risk;
Management Guidebook, SEI, Carnegie
Mellon University, 2008.
T h i l N t A P d T f• Technical Note ‐ A Proposed Taxonomy for
Software Development Risks for High‐
Performance Computing (HPC) Scientific‐p g ( )
Engineering Applications, Kendall, Richard P.;
Post, Douglass E.; Carver, Jeffrey C.;
Henderson Dale B ; and Fisher David AHenderson, Dale B.; and Fisher, David A.,
CMU/SEI‐2006‐TN‐039, April 2007
112. BibliografíaBibliografía
T h i l N t Ri k M t• Technical Note ‐ Risk Management
Considerations for Interoperable Acquisition,
Meyers, B. Craig, CMU/SEI‐2006‐TN‐032, y , g, / ,
March 2007.
• Technical Note ‐ Common Elements of Risk,
Alb t Ch i t h J CMU/SEI 2006 TNAlberts, Christopher J., CMU/SEI‐2006‐TN‐
014, April 2006
• Technical Note ‐ Mission Assurance AnalysisTechnical Note ‐ Mission Assurance Analysis
Protocol (MAAP): Assessing Risk in Complex
Environments, Alberts, Christopher and
D f A d CMU/SEI 2005 TN 032Dorofee, Audrey, CMU/SEI‐2005‐TN‐032,
October 2005
113. BibliografíaBibliografía
T h i l N t A T f O ti l Ri k• Technical Note ‐ A Taxonomy of Operational Risks,
Gallagher, Brian P.; Case. Pamela J.; Creel, Rita C.;
Kushner, Susan; and Williams, Ray C., CMU/SEI‐
2005‐TN‐036, September 2005
• A Roadmap of Risk Diagnostic Methods:
Developing an Integrated View of RiskDeveloping an Integrated View of Risk
Identification and Analysis, Williams, Ray C.;
Ambrose, Kate; and Bentrem, Laura, CMU/SEI‐
2004 TN 002 September 20042004‐TN‐002, September 2004
• Risk Based Diagnostics, Williams, Ray C.;
Ambrose, Kate; Bentrem, Laura; and Merendino,
Tom, CMU/SEI‐2004‐TN‐013, September 2004
114. BibliografíaBibliografía
T h i l R t Ri k Th Di d• Technical Report ‐ Risk Themes Discovered
Through Architecture Evaluations, Bass, Len;
Nord, Robert; Wood, William; and Zubrow, , ; , ; ,
David, CMU/SEI‐2006‐TR‐012, October 2006
• Technical Report ‐ Techniques for Developing
A i iti St t b P fili S ftan Acquisition Strategy by Profiling Software
Risks, Ward, Mary Catherine; Elm, Joseph P.;
and Kushner, Susan, CMU/SEI‐2006‐TR‐002, , , / ,
August 2006
• Software Risk Evaluation Method Description ‐
V i 2 0 Willi R C P d li G PVersion 2.0, Williams, R.C.; Pandelios, G.P.;
and Behrens, S.G., CMU/SEI‐99‐TR‐029
115. BibliografíaBibliografía
db k f i i i i k• Handbook‐ Software Acquisition Risk
Management Key Process Area (KPA):
A Guidebook, Version 1.02. Gallagher,
Brian, CMU/SEI‐99‐HB‐002, October
1999
• An Experiment in Software p
Development Risk Information
Analysis Monarch, Ira, CMU/SEI‐95‐TR‐Analysis Monarch, Ira, CMU/SEI 95 TR
014