2. Investigación #1: Análisis de Riesgo
UDI
Page 2
CONTENIDO
INTRODUCCIÓN 3
ANÁLISIS DE RIESGO DE PROYECTOS
1. Definición del Análisis de Riesgo 4
2. Fundamentos 5
3. Descripción de los riesgos posibles 5
4. Áreas típicas de riesgos 9
5. Utilización del Análisis de Riesgos 9
6. Análisis de Riesgos en los Sistemas de Información 10
7. Gestión de Riesgos en los Proyectos 12
CONCLUSIONES 24
3. Investigación #1: Análisis de Riesgo
UDI
Page 3
INTRODUCCIÓN
En este mundo cada vez más complejo de sistemas de información y mejoramiento de las
empresas para competir en un ambiente cada vez más exigente, vemos que cada día va en
aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de
información que comprometen los activos de las empresas.
El análisis de riesgo al ser un instrumento metodológico simple y flexible que se adecuada a las
distintas situaciones de los diferentes proyectos, puede ser aplicado cuando el especialista lo
requiera para identificar y jerarquizar problemas y riesgos internos y externos (de diseño,
ejecución, organizacionales, políticos, financieros, etc.), y por ende, elaborar un sistema de
supervisión focalizado en los aspectos relevantes para lograr ejecutabilidad e impacto de las
operaciones del Banco, los cuales no solo se refieren a la mejora en la capacidad organizacional,
de ejecución y control del organismo ejecutor.
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas
en inglés: Process Hazards Analysis) o como análisis de seguridad, es el estudio de las causas de
las posibles amenazas y, los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios
financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar
riesgos (generalmente de naturaleza cuantitativa).
En este trabajo se presentan las definiciones relacionadas con la herramienta de Análisis de
Riesgo, los diferentes ámbitos en donde se aplica esta metodología, los tiempos en los que es
pertinente desarrollarla y la necesidad de formar en las empresas una cultura de seguridad para
salvaguardar los activos de la organización. Así mismo, como complemento al tema se presentan
algunas herramientas gráficas para el control de proyectos y cómo deben ser utilizadas una u otra
de acuerdo a la situación real que presente la empresa.
4. Investigación #1: Análisis de Riesgo
UDI
Page 4
ANÁLISIS DE RIESGO DE PROYECTOS
1. Definición del Análisis de Riesgo:
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas
en inglés: Process Hazards Analysis) es el estudio de las causas de las posibles amenazas y,
los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios
financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar
riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de
riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con
criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en
torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para
tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
5. Investigación #1: Análisis de Riesgo
UDI
Page 5
Una buena administración del riesgo de proyectos a menudo pasa desapercibida. Cuando la
administración de riesgos es efectiva, los resultados se reflejan en el menor número de
problemas. En algunas ocasiones es difícil determinar si la administración de riesgos o la buena
suerte fue la responsable de un adecuado desarrollo de un proyecto de tecnología de información.
Pero los integrantes de un proyecto saben que sus proyectos trabajaron mejor debido a la buena
administración de riesgos.
2. Fundamentos
a. Los beneficios deben sopesarse cuidadosamente contra los riesgos, para lograr
equilibrio.
b. Los riesgos deben ser identificados, clasificados, analizados y cuantificados.
c. Es necesario identificar alternativas y determinar niveles aceptables de riesgo
d. El riesgo implica cierto nivel de incertidumbre
3. Descripción de los riesgos posibles
Riesgos de costo
a. Sobrepasar los costos de desarrollo previstos
b. Cambios en el alcance y los requerimientos de la parte del cliente
c. Mala estimación de los costos durante la fase de inicialización
Riesgos de calendario
a. Sobrepasar el calendario previsto / Mala estimación del tiempo necesario
b. Incremento de esfuerzos en la resolución de problemas técnicos, operacionales o
externos.
c. Mala asignación de recursos / asignación de recursos no planeada
d. Mayor prioridad en otro proyecto
e. Perdida de recursos humanos no prevista
Riesgos tecnológicos
a. Problemas con tecnologías no controladas / problemas para entender complejidad
de nuevas tecnologías requeridas por el proyecto.
b. Usar herramientas mal adaptadas
c. Usar herramientas no aprobadas o con fallas
d. Problemas de hardware/software (mal response en tiempos, errores internas)
e. Problemas de integración de las diferentes partes del proyecto desarrolladas en
paralelo.
6. Investigación #1: Análisis de Riesgo
UDI
Page 6
Riesgos operacionales
a. Mala resolución de problemas no planeados
b. Falta de liderazgo en el equipo
c. Falta de comunicación
d. Falta de motivación del equipo
e. Riesgos de monitoreo y de implementación
Riesgos externos
a. Cambios en el mercado que vuelven el proyecto obsoleto
b. Mala administración de los oponentes al proyecto
c. Cambios legales
d. Cambios de normas, estándares, con impactos sobre el proyecto
e. Desastres naturales (fuego, inundación, terremoto, otros…)
Numero
Descripción
Respuesta si ocurre o
Acción para evitar
Nivel de
impacto
(0-5)
Nivel de
probabilidad
(0-5)
Nivel de
significación
Nivel de
control
1.1 Sobrepasar los
costos de desarrollo
previstos
Hacer une buena
planeación
Guardar una reserva
de dinero por si ocurre
4 1 5 1
1.2 Cambios en el
alcance y los
requerimientos de
la parte del cliente
Hacer un bueno
contrato / análisis
Planear un nuevo ciclo
de análisis de los
cambios no previstos
antes de seguir
3 2 5 1
1.3 Mala estimación de
los costos durante
la fase de
inicialización
Hacer una buena
análisis
Si ocurre, cambiar el
asignación de los
recursos
4 1 5 2
2.1 Sobrepasar el Negociar mas tiempo, 3 2 5 3
7. Investigación #1: Análisis de Riesgo
UDI
Page 7
Numero
Descripción
Respuesta si ocurre o
Acción para evitar
Nivel de
impacto
(0-5)
Nivel de
probabilidad
(0-5)
Nivel de
significación
Nivel de
control
calendario previsto
/ Mala estimación
del tiempo
necesario
Aumentar recursos
humanos (en relación
con los costos…),
Entregar una versión
beta del programa
2.2 Incremento de
esfuerzos en la
resolución de
problemas técnicos,
operacionales o
externos
Hacer una buena
análisis
Cambiar la asignación
de los recursos según
prioridades
3 4 7 3
2.4 Mayor prioridad en
otro proyecto
Administrar cambios
de recursos
3 1 4 1
2.5 Perdida de recursos
humanos no
prevista
Emplear otra persona
Prever personas ya
capacitadas,
Repartir
conocimientos /
responsabilidad entre
varias personas
2 4 6 4
3.1
3.2
3.3
Problemas con
tecnologías no
controladas /
problemas para
entender
complejidad de
nuevas tecnologías
requeridas por el
proyecto
Analizar bien lo
requerimientos
técnicos de lo que
queremos hacer
Capacitar los personas
antes de iniciar el
proyecto
Monitoreo tecnológica
continuo
4 1 5 1
3.5 Problemas de
integración de las
diferentes partes del
Planear y buena
comunicación,
Documentos de
4 2 6 3
8. Investigación #1: Análisis de Riesgo
UDI
Page 8
Numero
Descripción
Respuesta si ocurre o
Acción para evitar
Nivel de
impacto
(0-5)
Nivel de
probabilidad
(0-5)
Nivel de
significación
Nivel de
control
proyecto
desarrolladas en
paralelo.
seguimiento del
proyecto accesibles
para todos
4.2
4.3
Falta de liderazgo
en el equipo
Buena comunicación,
reportes de
problemas…
Si ocurre, tal vez
cambiar de líder
5 2 7 5
4.4 Falta de motivación
del equipo
Buena comunicación,
reportes de
problemas…
Si ocurre, cambiar la
asignación de las
tareas según las
voluntades si es
posible
5 2 7 4
4.5 Riesgos de
monitoreo y de
implementación
Reportes, seguimiento,
liderazgo…
4 3 7 2
5.1 Cambios en el
mercado que
vuelven el proyecto
obsoleto
Hacer una buena
análisis de mercado,
Monitoreo del
mercado
Si ocurre, cambiar el
contrato, negociar con
el cliente otros
requerimientos
5 1 6 2
5.3
5.4
Cambios legales, de
normas o de
estándares
Usar normas
aprobadas y
establecidas
Si ocurre, adaptar el
contrato
4 2 6 2
9. Investigación #1: Análisis de Riesgo
UDI
Page 9
Numero
Descripción
Respuesta si ocurre o
Acción para evitar
Nivel de
impacto
(0-5)
Nivel de
probabilidad
(0-5)
Nivel de
significación
Nivel de
control
5.5 Desastres naturales
(fuego, inundación,
terremoto, otros…)
Usar protecciones,
respaldos, en
diferentes lugares,
contratar seguros
Si pasa, negociar con
el cliente más tiempo,
recursos
5 1 6 5
4. Áreas típicas de Riesgos
Problemas de desempeño o exceso de costos por parte de los proveedores.
Cambios de rediseños.
Problemas con las herramientas o los procesos de producción.
Aceptación del cliente
5. Utilización del Análisis de Riesgos
Tanto en la fase de planificación como en la de ejecución.
En caso de una variación potencial o real, se utiliza la administración de riesgos para:
a. Aislar el impacto producido por el cambio, y
b. Determinar formas de minimizar el impacto
Al planificar el proyecto, la evaluación del riesgo es parte del proceso de
planificación de contingencias.
A medida que avanza el proyecto, la evaluación de riesgos se utiliza para verificar:
a. Que el plan del proyecto se cumpla.
b. Que los supuestos iniciales se cumplan.
c. Que los cálculos del proyecto se cumplan
6. Análisis de Riesgos en los Sistemas de Información
Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las
amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil
de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber
10. Investigación #1: Análisis de Riesgo
UDI
Page
10
implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las
consecuencias no deseadas.
Sin embargo es importante enfatizar que antes de implementar la seguridad, es fundamental
conocer con detalle el entorno que respalda los procesos de negocio de las organizaciones en
cuanto a su composición y su criticidad para priorizar las acciones de seguridad de los procesos
clave de negocio más críticos y vinculados al logro de los objetivos de la organización.
El Análisis de riesgos es un paso importante para implementar la seguridad de la información.
Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están
sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las
amenazas se concreten. El siguiente esquema resume los resultados esperados en el Análisis de
Riesgos:
Fuente: Academia Latinoamericana de Seguridad Informática. Modulo 2. Pág.7
Cuando hacer Análisis de Riesgos
Antes o después de la definición de una POLITICA DE SEGURIDAD
Según la Norma Internacional BS/ISO/IEC 17799 puede ser hecha después de la
definición de la Política. Por qué?
• La PS delimita el alcance del análisis
• Selecciona los activos que se consideran vulnerables
• La política contempla una lista de amenazas potenciales que
tomaría en cuenta el Análisis de Riesgos
11. Investigación #1: Análisis de Riesgo
UDI
Page
11
Ámbitos del Análisis de Riesgo
• TECNOLÓGICO: Conocer las configuraciones y la disposición topológica de los
activos de la tecnología que componen toda la infraestructura de respaldo de la
información para comunicación, procesamiento, tránsito y almacenamiento.
• HUMANO: Comprender las formas en que las personas se relacionan con los
activos. Determina vulnerabilidades provenientes de acciones humanas
• PROCESOS: Analizar los flujos de información de la organización y la forma en que
transita la información de un lado a otro.
• FÍSICO: Identifica la estructura física del ambiente en los activos encuentran
vulnerabilidades que puedan tener algún perjuicio a la información y a todos los
demás activos.
12. Investigación #1: Análisis de Riesgo
UDI
Page
12
7. Gestión de Riesgos en los Proyectos
La gestión de riesgos del proyecto es el proceso de identificar, analizar y responder a los riesgos del
proyecto.
Estimando y planeando las actividades análisis, planeación y gestión del riesgo para el proyecto
Determinando cuáles riesgos pueden afectar el proyecto y documentándolos con sus
características
Realizando un análisis cualitativo del riesgo y de las condiciones para priorizar sus efectos sobre
los objetivos del proyecto
Midiendo la probabilidad y las consecuencias de los riesgos y estimando sus implicaciones en los
objetivos del proyecto
Desarrollando procedimientos y técnicas para aumentar las oportunidades y disminuir las
amenazas en los objetivos del proyecto
Monitoreando riesgos residuales, identificando nuevos riesgos, ejecutando planes de reducción de
riesgos, y evaluando la efectividad a través del ciclo de vida del proyecto
7.1 Planeación de Riesgos
La planeación de riesgos es el proceso de decidir cómo estimar y planear las actividades de
administración del riesgo en el proyecto.
A continuación se presenta un esquema gráfico de los insumos para la planeación de riesgos del
proyecto y las salidas generadas en el proceso.
Planeación de Riesgos
Análisis Cualitativo de
Riesgos
Análisis Cuantitativo de
Riesgos
Gestión de Riesgos
Del Proyecto
Monitoreo y control del
Riesgo
Identificación de Riesgos
Planeación de la
Respuesta al Riesgo
13. Investigación #1: Análisis de Riesgo
UDI
Page
13
INSUMOS
Alcance del proyecto: Forma la base para la planeación de riesgos por medio de la
identificación de los objetivos del proyecto y de los entregables del proyecto.
Plan del Proyecto: La identificación del riesgo requiere un entendimiento de la misión del
proyecto, alcance y objetivos del propietario, el patrocinador y los interesados.
Es importante también considerar otros insumos para la planeación de riesgos como los
procesos organizacionales existentes (categorías de riesgos, definiciones de conceptos y
términos, plantillas) y factores ambientales organizacionales (actitudes y tolerancia al riesgo).
7.2 Técnicas para la planeación de riesgos
El riesgo del proyecto es un evento o condición incierta que si ocurre tiene un efecto positivo
o negativo en los objetivos del proyecto. Se deben efectuar reuniones con los miembros del
equipo del proyecto para desarrollar el plan de riesgos.
Alta Por ejemplo: probabilidad de ocurrencia > 70 %
Media
Por ejemplo: Probabilidad de ocurrencia entre el
30 % y el 70 %
Baja Por ejemplo: Probabilidad de ocurrencia < 30 %
PROBABILIDAD DE OCURRENCIA
Planeación de
Riesgos
• Alcance del
proyecto
• Plan del proyecto
• Plan de Riesgos
Insumos Salidas
Planeación de
Riesgos
• Alcance del proyecto
• Plan del proyecto
14. Investigación #1: Análisis de Riesgo
UDI
Page
14
Categoría Codificación Factor de Riesgo
01-01 Alcance y Entregables del Proyecto
01-02 Ampliación del cronograma
01-03 Cambios en el Alcance
Administración 01-04 Roles & Responsabilidades no Definidas Completamente
Codigo:01 01-05 Administración de la Calidad
01-06 Administración del Cambio
01-07 Métodos de Estimación
01-08 Uso inadecuado de las disciplinas del proyecto
01-09 Calidad inadecuada en el plan del proyecto
02-01 Deficiencia en la asignación de recursos
Recursos 02-02 Habilidades del Equipo
Codigo: 02 02-03 Desviación de Recursos
02-04 No Disponibilidad de Determinado Bien o Servicio
02-05 Conflictos de recursos con otros proyectos
03-01 Integración de Productos
Complejidad 03-02 Prioridades del Proyecto en Conflicto
Codigo: 03 03-03 Prioridades del Proveedor en Conflicto
04-01 Nueva Tecnología
Desempeño, técnicos o calidad 04-02 Infraestructura requerida
Codigo: 04 04-03 Ambiente de Desarrollo
04-04 Ambiente de Producción
04-05 Objetivos de desempeño no reales
04-06 Confianza en tecnología no probada o compleja
05-01 Ocultación de la información
Cultura 05-02 Influencias Políticas
Codigo:05 05-03 Resistencia al Cambio
05-04 Compromiso Gerencial
06-01 Objetivos de costos, tiempo y alcance inconsistentes
Organizacionales 06-02 Deficiencia en la definición del alcance
Codigo: 06 06-03 Falta de priorización de los proyectos
06-04 Fondos inadecuados o interrumpidos
07-01 Cambio del ambiente legal o regulatorio
Externos 07-02 Cambio de prioridades del dueño
Codigo: 07 07-03 Riesgos del pais, clima, terremotos, inundaciones etc.
CATEGORIAS DE RIESGOS
Probabilidad
Severidad
Marginal Medio Bajo Bajo
Crítico Alto Medio Bajo
Catastrófico Alto Alto Medio
CUANTIFICACIÓN DE RIESGOS
Alta Media Baja
Catastrófico
Detiene la implementación del proyecto, o tiene alta
posibilidad de impactar severamente uno o más de los
siguientes factores: costos cronograma y/o producto del
proyecto.
Crítico
Retrasa la implementación del proyecto y afecta
directamente la fecha de entrega del proyecto, o tiene
alta posibilidad de impactar moderadamente uno o más
de los siguientes factores: costos cronograma y/o
producto del proyecto.
Marginal
Retrasa el cronograma interno del proyecto pero no
afecta su fecha de entrega, o tiene posibilidad de
impactar muy poco uno o más de los siguientes
factores: costos cronograma y/o producto del proyecto.
CLASIFICACIÓN DEL IMPACTO
15. Investigación #1: Análisis de Riesgo
UDI
Page
15
SALIDAS
Plan de Riesgos: Describe cómo hacer la identificación, el análisis cualitativo y cuantitativo, la
planeación de la respuesta, el monitoreo y control de riesgos, durante el ciclo de vida del
proyecto. Puede incluir metodología, roles y responsabilidades, horarios, formatos, entre otros
elementos.
7.3 Identificación de riesgos
Involucra determinar cuáles riesgos pueden afectar el proyecto y documentar sus características.
A continuación se presenta un esquema gráfico de los insumos para la identificación de riesgos
del proyecto y las salidas generadas en el proceso.
Aproximaciones y herramientas a utilizar:
Miembros del equipo de gestión del riesgo:
Presupuesto para la gestión del riesgo:
Periodicidad de la gestión del riesgo:
Código Factor
del Riesgo
Fuente del Riesgo
Modo de
falla
Condición
Consecuencia
del Negocio
Consecuencia
Operacional
Probabilidad de
ocurrencia
Impacto Mitigación
Exposición al
riesgo
Plan de
Contingencia
Responsable
Fecha
Seguimiento
Observaciones :
Elaborado por:
Criterios de los umbrales:
Nombre del Proyecto :
Plan de Riesgos
Declaración del Riesgo
Identificación de
Riesgos
• Plan de Riesgos
• Alcance del Proyecto
• Plan del proyecto
• Registro de Riesgos
Insumos Salidas
Planeación de
Riesgos
• Plan de Riesgos
16. Investigación #1: Análisis de Riesgo
UDI
Page
16
INSUMOS
El plan de riesgos, el alcance del proyecto y el plan del proyecto fueron explicados con anterioridad.
Es importante también considerar otros insumos para la planeación de riesgos como los procesos
organizacionales existentes (lecciones aprendidas) y factores ambientales organizacionales (información
publicada, bases de datos comerciales).Ç
7.4 Técnicas para la identificación de riesgos
La lluvia de ideas es una buena técnica para la identificación de riesgos, allí se puede obtener una lista de
riesgos que posteriormente pueden direccionarse a los procesos de análisis de riesgos cualitativo y
cuantitativo.
SALIDAS
Registro de Riesgos: Es un documento que describe los riesgos identificados del proyecto. Incluye la
descripción, causa, dueños, responsabilidades, planes de contingencia, entre otros aspectos.
Código Identificación
del Riesgo
Descripción del Riesgo Causa
Objetivo
Afectado
Nombre
Responsabilidades
del dueño
Cualitativo Cuantitativo Mitigación Evasión Transferencia Aceptación
Código Identificación
del Riesgo
Tiempo de
Respuesta
PresupuestoAcciones específicas Responsable Planes contingencia Planes Retroceso
Respuestas AcordadasRiesgo Identificado
Implementación Estrategia de Respuesta
Observaciones :
Elaborado por:
Acerca del Dueño Resultados Análisis
Registro de Riesgos Proyecto (nombre)
Identificación de
Riesgos
• Plan de Riesgos
• Alcance del proyecto
• Plan del proyecto
Identificación de
Riesgos
• Registro de Riesgos
17. Investigación #1: Análisis de Riesgo
UDI
Page
17
7.4.1 Análisis cualitativo del riesgo
Es el proceso de valorar el impacto y la probabilidad de los riesgos identificados, priorizando los riesgos
de acuerdo con sus efectos sobre los objetivos del proyecto.
A continuación se presenta un esquema gráfico de los insumos para el análisis cualitativo del riesgo y las
salidas generadas en el proceso.
INSUMOS
El alcance del proyecto, el plan de riesgos y el registro de riesgos fueron tratados con
anterioridad.
Es importante también considerar como insumos para el análisis cualitativo de riesgos los
procesos organizacionales existentes que incluyan lecciones aprendidas.
a) Técnicas para el análisis cualitativo de riesgos
La probabilidad del riesgo y las consecuencias del mismo pueden ser descritas en términos
cualitativos tales como muy alto, alto, moderado, bajo, y muy bajo.
Análisis
Cualitativo de
Riesgos
•Alcance del Proyecto
•Plan de Riesgos
•Registro de Riesgos
• Registro de Riesgos
actualizado
Insumos Salidas
Análisis Cualitativo
De Riesgos
• Alcance del proyecto
• Plan de Riesgos
• Registro de Riesgos
18. Investigación #1: Análisis de Riesgo
UDI
Page
18
SALIDAS
Registro de riesgos actualizado: La actualización del registro de riesgos incluye:
Lista de riesgos agrupados por prioridad
Lista de riesgos agrupados por categoría
Lista de riesgos que requieren un análisis adicional
Lista de riesgos que requieren respuesta inmediata
Tendencias en los resultados del análisis de riesgos
7.4.2 Análisis cuantitativo de riesgos
Está dirigido a analizar numéricamente la probabilidad de cada riesgo y sus consecuencias sobre
los objetivos del proyecto, así como el grado de riesgo en todo el proyecto.
A continuación se presenta un esquema gráfico del análisis cuantitativo y las salidas generadas en
el proceso.
INSUMOS
Análisis Cualitativo
De Riesgos
• Registro de Riesgos Actualizado
Análisis
Cuantitativo de
Riesgos
•Alcance del Proyecto
•Plan de Riesgos
•Registro de Riesgos
•Plan del Proyecto
•Registro de Riesgos
actualizado
Insumos Salidas
Análisis Cuantitativo
De Riesgos
• Alcance del proyecto
• Plan de Riesgos
• Registro de Riesgos
• Plan del Proyecto
19. Investigación #1: Análisis de Riesgo
UDI
Page
19
El alcance del proyecto, el plan de riesgos, el registro de riesgos y el plan del proyecto fueron
tratados con anterioridad en el presente documento.
Es importante también considerar como insumos para el análisis cualitativo de riesgos los
procesos organizacionales existentes que incluyan lecciones aprendidas en proyectos
similares.
a) Técnicas para el análisis cuantitativo de riesgos
Las entrevistas con los interesados y expertos en el proyecto pueden ser utilizadas para
cuantificar la probabilidad y las consecuencias de los riesgos sobre los objetivos del proyecto.
SALIDAS
Registro de riesgos actualizado: La actualización del registro de riesgos incluye:
Lista priorizada de riesgos cuantificados
Análisis probabilístico del proyecto
Probabilidad de cumplir los objetivos de costos y tiempo
Tendencias en los resultados del análisis cuantitativo de riesgos
7.5 Planeación de la respuesta al riesgo
La planeación de la respuesta al riesgo es el proceso de desarrollar opciones y determinar
acciones para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto,
identificando y asignando los responsables por cada respuesta al riesgo acordada.
Código Factor
del Riesgo
Descripción del Riesgo Impacto Ponderación
Probabilidad
de ocurrencia
Exposición al
riesgo
Identificación
Costos
Identificación
Tiempo
Objetivos
Reales
Calificación
Observaciones :
Elaborado por:
Análisis Cuantitativo
Nombre del Proyecto :
Fecha análisis de riesgos:
Análisis Cuantitativo
De Riesgos • Registro de Riesgos Actualizado
20. Investigación #1: Análisis de Riesgo
UDI
Page
20
A continuación se presenta un esquema gráfico de los insumos para la planeación de la respuesta
al riesgo y las salidas generadas en el proceso.
INSUMOS
Plan de Riesgos: Incluye salidas importantes para la planeación de la respuesta al riesgo como el análisis
probabilístico del proyecto, probabilidad de cumplir los objetivos de costos y tiempo y tendencias en los
resultados del análisis cuantitativo de riesgos.
Registro de Riesgos: Incluye salidas importantes para la planeación de la respuesta al riesgo como la lista
de riesgos para un análisis adicional, riesgos que requieren respuesta inmediata y tendencias en los
resultados del análisis de riesgos.
7.5.1 Técnicas para la planeación de la respuesta al riesgo
Se tienen varias estrategias para la planeación de la respuesta al riesgo como la evasión,
transferencia, mitigación o aceptación, lo importante es seleccionar la más eficaz para cada
riesgo.
Planeación de la
Respuesta al
Riesgo
• Plan de Riesgos
• Registro de Riesgos
Planeación de
la respuesta
al Riesgo
• Plan de Riesgos
• Registro de Riesgos
• Actualizaciones
•Acuerdos relacionados
con el Riesgo
Insumos Salidas
21. Investigación #1: Análisis de Riesgo
UDI
Page
21
SALIDAS
Actualizaciones: La planeación de la respuesta al riesgo puede requerir actualizaciones sobre:
El registro de riesgos
El Plan del proyecto
Acuerdos relacionados con el riesgo. Pueden prepararse para especificar las responsabilidades de cada
una de las partes involucradas en un riesgo específico.
7.6 Monitoreo y control del riesgo
El monitoreo y control del riesgo es el proceso de hacerle seguimiento a los riesgos identificados. El
monitoreo de los riesgos residuales y la identificación de nuevos riesgos asegura la ejecución de los
planes de riesgo y evalúa la efectividad en la reducción del riesgo.
A continuación se presenta un esquema gráfico de los insumos para el monitoreo y control del riesgo y las
salidas generadas en el proceso.
Monitoreo y
Control del
Riesgo
• Plan de Riesgos
•Registro de Riesgos
•Requerimientos de
cambios aprobados
•Reportes de
desempeño
• Requerimientos de
cambios
• Recomendaciones
• Actualizaciones
Insumos Salidas
Planeación de la
Respuesta al
riesgo
• Actualizaciones
• Acuerdos relacionados con el riesgo
con el Riesgo
22. Investigación #1: Análisis de Riesgo
UDI
Page
22
INSUMOS
Plan de Riesgos: Comprende propietarios del riesgo, responsables, tiempo y otros
componentes claves para la administración del riesgo.
Requerimientos de cambios aprobados: Pueden incluir modificaciones al alcance, a los
términos del contrato, al método de trabajo ó al cronograma que puedan generar riesgos o
cambios en los riesgos identificados.
Registro del riesgo: Explicado con anterioridad.
Reportes de desempeño: Proporcionan información sobre el desempeño del trabajo los
cuales pueden influenciar el proceso de gestión de riesgos.
a) Técnicas para el monitoreo y control del riesgo
Las revisiones al riesgo del proyecto se deben programar regularmente y deben ser tratadas en todas las
reuniones del equipo de trabajo del proyecto.
SALIDAS
Requerimientos de cambios: Los resultados de implementar planes de contingencia o
respuestas no planeadas pueden generar cambios en el plan del proyecto para responder a los
riesgos.
Actualizaciones: El monitoreo y control al riesgo puede requerir actualizaciones sobre:
El registro de riesgos
El Plan del proyecto
Recomendaciones: Como resultado del proceso de monitoreo y control de riesgos surgirán
recomendaciones sobre:
Monitoreo y control
Del Riesgo
• Plan de Riesgos
• Registro de Riesgos
• Requerimientos de cambios aprobados
• Reportes de desempeño
Monitoreo y control
Del Riesgo
• Requerimientos de cambios
• Recomendaciones
• Actualizaciones
24. Investigación #1: Análisis de Riesgo
UDI
Page
24
CONCLUSIONES
Cada vez más se hace necesario que las empresas establezcan Políticas de Seguridad de sus
activos que incluyan dentro de las mismas los lineamientos para la evaluación y/o análisis de
riesgos a los que diariamente se ven expuestas las organizaciones. De esta manera, la empresa
debe crear una Cultura de Seguridad para contrarrestar las amenazas en su seguridad.
El análisis de riesgo, también conocido como análisis de seguridad se desarrolla en diferentes
ámbitos: tecnológico, humano, de procesos y físico. La empresa debe establecer las prioridades
de estos ámbitos para su evaluación de riesgos, de tal manera de identificar las vulnerabilidades
existentes en cada uno de estos entornos.
El análisis de riesgos como elemento transversal del nuevo sistema de supervisión es una
herramienta que contribuye metodológicamente a favorecer el gerenciamiento y supervisión de
un proyecto, ya que jerarquiza los problemas y las potenciales soluciones y, enfoca la atención
del ejecutor y supervisor en lo sustantivo, en las acciones que aportan valor al proyecto.
La administración y supervisión de proyectos basada en la gestión de riesgos busca disminuir la
exposición al riesgo que presentan todos los proyectos, entendiéndose por exposición al riesgo de
un proyecto el desvío de este del cumplimiento de sus objetivos, disminuyendo las actividades
que favorecen a la efectividad en el desarrollo.
El análisis de riesgo de un proyecto debe entenderse en el contexto de la realidad cambiante en la
cual se diseñan y ejecutan los proyectos. Existen tantos riesgos como combinaciones posibles de
las variables que podrían afectar a la ejecución de un proyecto, por lo que difícilmente se pueden
determinar, medir y mitigar todos ellos.
Los riesgos cambiarán durante la ejecución del proyecto. Nuevos riesgos pueden ser
identificados cuando hay mayor información disponible, y algunos podrán ser eliminados como
resultado de influencias internas o externas al proyecto. Por tanto la gestión de riesgos es un
proceso continuo de la función de Gerencia de Proyectos.
La gestión de riesgos aporta a la ejecución de un proyecto:
• Sistematización, ya que permite formalizar su detección y análisis empleando una
metodología definida.
• Homogeneidad, debido a que posibilita tener una base común para comparar el riesgo
agregado de los proyectos y poder priorizar los recursos disponibles.