1

Gestión y supervisión de riesgos

Definición y clasificación

Estimación de riesgos

� Identificación

� Análisis

� Evaluación

Herramientas y métodos

Bibliografía: Pressman, R.S., Ingeniería del Software: un enfoque práctico, McGraw Hill.

2

Definición y clasificación

"Risk in itself is not bad; risk is essential to progress, and failure is often a key part of learning. But we must learn to balance the possible negative consequences of risk against the potential benefits of its associated opportunity."

Cita extraida de Van Scoy, Roger L. Software Development Risk: Opportunity, Not Problem. Software Engineering Institute, CMU/SEI-92-TR-30, ADA 258743, September 1992]

“Riesgo: contingencia o proximidad de un daño”Cita extraida del Diccionario de la Real Academia Española

“First, risk concerns future happenings. Today and yesterday are beyond active concern, as we are already reaping what was previously sowed by our past actions.The question is, can we, therefore, by changing our actions today, create an opportunity for a different and hopefully better situation for ourselves tomorrow. This means, second, that risk involves change, such as in changes of mind, opinion, actions, or places. . . . [Third,] risk involves choice, and the uncertainty that choice itself entails. Thus paradoxically, risk, like death and taxes, is one of the few certainties of life.”

Cita extraida de Charette, R. N., Software Engineering Risk Analysis and Management, McGraw-Hill/Intertext, 1989.

3

Definición y clasificación

Los objetivos de la gestión de riesgos sonidentificar, controlar y eliminar las fuentes deriesgo antes de que empiecen a afectar alcumplimiento de los objetivos del proyecto.

� El riesgo siempre implica:

� Incertidumbre: el acontecimiento que caracteriza

al riesgo puede o no puede ocurrir.

� Pérdida potencial: si el riesgo se convierte en

una realidad, ocurrirán consecuencias no deseadas

o pérdidas.

� Al analizar el riesgo es importante cuantificar ambos

elementos

4

Definición y clasificación: categorías de riesgos

� Riesgos del proyecto:

� Amenazan la planificación temporal, al coste y calidad del

proyecto.

� Identifican problemas potenciales de presupuesto,

calendario, personal, recursos, cliente...

� Riesgos técnicos:

� Amenazan la calidad y la planificación temporal del software

(producto) que hay que producir.

� Ocurren porque el problema es más difícil de resolver de lo

que pensábamos.

� Si un riesgo técnico se convierte en realidad, la

implementación puede ser difícil o incluso imposible

� Factores de riesgos técnicos:

� Ambigüedad en la especificación

� Incertidumbre técnica

� Obsolescencia técnica

� Tecnología punta

� Problemas en el diseño, la implementación, la interfaz, la

verificación, y el mantenimiento.

� Riesgos del negocio:

� Amenazan la viabilidad del software a construir y ponen el

peligro el proyecto o el producto. Los principales son:� Riesgo de mercado: construir un producto excelente pero que nadie quiere

� Riesgo estratégico: construir un producto que ya no encaja en la estrategia

de negocio global de la compañía

� Riesgo de ventas: construir un producto que no se sabe cómo venderlo

� Riesgo de gestión: perder el apoyo del dpto. de gestión debido a un cambio

de objetivo o de personal.

� Riesgo de presupuesto: perder el compromiso de un presupuesto o de contar

con personal

5

Definición y clasificación: categorías de riesgos

� Se puede hacer otra categorización de los riesgos en función de su

facilidad de detección (Charette 1989):

� Riesgos conocidos: son aquellos que se pueden descubrir

después de una evaluación cuidadosa del plan del proyecto, del

entorno técnico y empresarial en el cual el proyecto se está

desarrollando, y otras fuentes de información fiables (p.e. fecha de

entrega no realista, carencia de requisitos documentados o de

ámbito del software, entorno pobre de desarrollo).

� Riesgos predecibles: se extrapolan de la experiencia de

proyectos anteriores (p.e. reemplazo de personal, comunicación

pobre con el cliente)

� Riesgos impredecibles: pueden ocurrir (y de hecho ocurren),

pero es extremadamente difícil identificarlos por adelantado.

6

Definición y clasificación

� La gestión continuada de los riesgos permite aumentar su

eficiencia:

� Evaluar continuamente lo que pueda ir mal

� Determinar qué riesgos son importantes

� Implementar estrategias para resolverlos

� Asegurar la eficacia de las estrategias

� Elementos de la gestión de riesgos:

� Estimación de riesgos:

� Identificación de riesgos: lista de riesgospotenciales y tipología

� Análisis de riesgos: medición de laprobabilidad y el impacto de cada riesgo

� Evaluación de riesgos: lista de riesgosordenados por su impacto y su probabilidad deocurrencia

� Control de riesgos:

� Planificación de la gestión de riesgos: planpara tratar cada riesgo significativo

� Supervisión de riesgos: comprobación delprogreso del control de un riesgo e identificaciónde la aparición de nuevos riesgos

7

Estimación de riesgos: identificación

� Constituye un intento sistemático para especificar las

amenazas al plan del proyecto (estimaciones, planificación,

carga de recursos, etc).

� Para cada una de las categorías de riesgos mencionadas

anteriormente, existen dos tipologías: riesgos genéricos y

riesgos específicos.

� Riesgos genéricos: Son comunes a todos los

proyectos de software.

� Riesgos específicos: sólo pueden ser identificados poraquellos con una clara comprensión de la tecnología, elpersonal, y el entorno que es específico para esteproyecto. Para identificarlos se examina el plan delproyecto y el enunciado del ámbito del software, y seresponde a la siguiente cuestión: ¿qué característicasespeciales de este producto pueden amenazar nuestroplan de proyecto?

8

Estimación de riesgos: identificación

(listas de control)

� Un método para identificar los riesgos es crear una lista de

comprobación de elementos de riesgo, que puede

considerar los siguientes riesgos:

� Tamaño del producto: asociados al tamaño totaldel producto a construir o a modificar.

� Impacto en el negocio: asociados conrestricciones impuestas por los gestores o por elmercado.

� Características del cliente: asociados con lasofisticación del cliente y con la habilidad decomunicación de los desarrolladores (a tiempo)

� Definición del proceso: asociados al grado con elque se ha definido el proceso software y éste esseguido por la organización de desarrollo

� Entorno de desarrollo: asociados a ladisponibilidad y calidad de las herramientas

� Tecnología a construir: asociados a lacomplejidad del sistema a construir y a la “novedad”de la tecnología que incorpora

� Tamaño y experiencia de la plantilla: asociadoscon la experiencia global y específica en esteproyecto de los ingenieros del software que van arealizar el trabajo

9

Estimación de riesgos: identificación

(listas de control)

� Ejemplo 1: lista de comprobación de elementos de riesgo para conocer el riesgo potencial sobre la asignación de personal a un proyecto:

� ¿Tiene el personal un conjunto de habilidadesadecuado?

� ¿Se dispone del personal suficiente?

� ¿Está comprometido el personal a lo largo detodo el proyecto?

� ¿Hay miembros del proyecto que trabajaránsólo a tiempo parcial?

� ¿Se ha creado el personal las expectativascorrectas sobre el trabajo que van a realizar?

� ¿Ha recibido el personal la formaciónadecuada?

� ¿Será suficientemente baja la rotación delpersonal para permitir la continuidad?

10

Estimación de riesgos: identificación

(listas de control)

Ejemplo 2: lista de comprobación de elementos de riesgo para conocer el riesgo global de un proyecto (ordenada por importancia relativa):

1. ¿Están los gestores comprometidos formalmente para apoyar el proyecto?

2. ¿Están los usuarios comprometidos de manera entusiasta con el proyecto y con el sistema/producto que se va a construir?

3. ¿Los ingenieros del software y los clientes comprenden perfectamente los requisitos?

4. ¿Están los clientes totalmente implicados en la definición de los requisitos?

5. Las expectativas de los usuarios finales, ¿son realistas?

6. ¿El ámbito del proyecto es estable?

7. ¿Tiene el equipo de ingenieros del software un conjunto adecuado de habilidades?

8. ¿Son estables los requisitos del proyecto?

9. ¿El equipo del proyecto tiene experiencia con la tecnología que se va a implementar?

10. ¿El número de personal del equipo es adecuado para realizar el trabajo?

11. ¿Están de acuerdo todos los usuarios/clientes con capacidad de voto con la importancia del proyecto y con los requisitos?

11

Estimación de riesgos: análisis

� Es el proceso de examinar los riesgos en detalle paradeterminar su extensión, sus interrelaciones y su importancia

� Las actividades básicas son:

� Análisis detallado: mejor comprensión del riesgo. Se

cuantifican, en lo posible, los siguientes conceptos:

� Impacto: pérdida que ocasiona el riesgo.

Consecuencias de los problemas asociados con el

riesgo. Los factores que afectan al impacto son:

� La naturaleza: problemas potenciales que se

pueden producir en caso de ocurrir.

� Alcance: Combina la severidad (cómo de grave)

con su distribución global.

� Duración: Combina el momento en el que se

sentirá su impacto y la duración del mismo.

� Probabilidad de que ocurra el riesgo.

� Marco de tiempo: periodo de tiempo en el que es

posible mitigar el riesgo.

� Clasificación: se clasifican los riesgos para entender su

naturaleza y elaborar planes de mitigación.

12

Estimación de riesgos: análisis

ATRIBUTO VALOR DESCRIPCIÓN

Catastrófico Pérdida del sistema. Coste >50%

Crítico Recuperación de la capacidad operativa Coste > 10% (<50%)

Impacto

Marginal Coste < 10%

Muy probable > 70% Probable Entre 30% y 70% Probabilidad Improbable <30%

Corto plazo 30 días Medio plazo 1 a 4 meses Marco de tiempo Largo plazo Más de 4 meses

13

Estimación de riesgos: análisis (ejemplo)

Riesgo Categoría Probabilidad Impacto

La estimación del

tamaño puede ser

significativamente

baja

Tamaño del

producto

60% Crítico

Número de

usuarios mayor

que el planificado

Tamaño del

producto

30% Marginal

Menos

reutilización de

componentes que

la planificada

Tamaño del

producto

70% Crítico

Los usuarios

finales se resisten

al sistema

Impacto en el

negocio

40% Marginal

La fecha de

entrega seráimprorrogable

Impacto en el

negocio

50% Crítico

Se perderáfinanciación

Impacto en el

negocio

40% Catastrófico

El cliente cambiarálos requisitos

Tamaño del

producto

80% Crítico

La tecnología no

alcanzará las

expectativas

Tecnología a

construir

30% Catastrófico

Carencias en el uso

de las

herramientas

Entorno de

desarrollo

80% Marginal

Personal sin

experiencia

Tamaño y

experiencia de la

plantilla

30% Crítico

La sustitución de

personal seráelevada

Tamaño y

experiencia de la

plantilla

60% Crítico

14

� Es el proceso de ordenar los riesgos en función de su importancia paradeterminar cuáles se deben solucionar antes y a cuáles hay queasignarle más recursos.

� Los riesgos pueden ordenarse según la magnitud de la exposición alriesgo:

[ri, li, xi]

ri: riesgo

li: probabilidad del riesgo

xi: magnitud del impacto del riesgo

� Las condiciones y prioridades pueden cambiar a lo largo del proyecto porlo que el análisis y asignación de prioridades debe realizarse de maneracontinuada aprovechando la información disponible en cada momento.

Estimación de riesgos: evaluación

15

Estimación de riesgos: evaluación

� Para cada riesgo se calcula su exposición (Risk Exposition, RE):

RE= P x C

siendo P la probabilidad de que el riesgo ocurra, y C el costepara el proyecto si el riesgo ocurriera

� La tabla de riesgos se puede ordenar de mayor a menorexposición para tener un plan de actuación sobre los mismos

� Ejemplo de riesgo:

Identificación de riesgo: sólo el 70% de los componentes

software que se pensaban reutilizar van a ser integrados en la

aplicación. La funcionalidad restante tendrá que ser

desarrollada ad-hoc.

Probabilidad del riesgo: 80% (muy probable)

Impacto del riesgo: se planearon inicialmente 60 componentes

software. Si sólo se empleará el 70%, tenemos que 18

componentes tendrán que ser desarrollados desde cero. Si un

componente promedio consta de 100 LDC y el coste de

ingeniería del software de una LOC es de 10 euros, el coste

total (impacto) para desarrollar los componentes será

18x100x10= 18000 euros.

Exposición del riesgo= 80% x 18000 = 14400

16

Estimación de riesgos: ejercicio

� Considere la tabla de riesgos ejemplo expuestaanteriormente

� Asuma que, para este proyecto, el coste estimado (eneuros) de cada categoría de impacto es fijo, siendo:

� Catastrófico: 1.000.000 euros

� Crítico: 100.000 euros

� Marginal: 10.000 euros

� Calcule el RE para cada riesgo y ordene la tabla demayor a menor en función de dicho concepto

� Defina una línea de corte en la tabla, implicando quesólo a los riesgos que están por encima de la línea seles concederá una atención plena. Los que caen pordebajo se reevaluarán para obtener una segundapriorización (no es necesario realizar esto último).

17

Estimación de riesgos: preocupación de la gestión

� El impacto de un riesgo y su probabilidad tienen una influenciamuy distinta para las personas encargadas de la gestión delproyecto.

� Un riesgo con un impacto alto pero una probabilidad deocurrencia muy baja no debería absorber una cantidadsignificativa de tiempo de gestión

� Sin embargo, los riesgos de alto impacto con probabilidadesmoderadas o altas, así como los riesgos de bajo impacto peroalta probabilidad deberían ser tenidos en cuenta para sumitigación, monitorización y gestión

Alta

Muy alto

Muy bajo

Impacto

Probabilidad

de

ocurrencia

0.0

1.0

Preocupación de

la gestión

18

Estimación de riesgos

Plan de Gestión y Supervisión de Riesgos (PGSR)

� RIESGO 1• Datos del análisis del riesgo

[r1, l1, x1]• Pasos de gestión del riesgo 1

.

.

� RIESGO n

� Datos del análisis del riesgo[rn, ln, xn]

• Pasos de gestión del riesgo n

� La supervisión del riesgo supone:

� Detectar la ocurrencia de un riesgo que haya sido previsto

� Asegurar que los pasos de gestión del riesgo se vayan aplicando

PGSR

19

http://www.decisionmetrics.net

Herramientas y métodos

20

Herramientas y métodos

http://www.palisade-europe.com/

21

Herramientas y métodos

� http://www.csae.map.es/csi/

� MAGERIT-V2. Metodología de Análisis y Gestión deRiesgos de los Sistemas de Información

� Libro I: Método, pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación; tareas básicas para realizar un proyecto de análisis y gestión de riesgos (roles, actividades, hitos y documentación) y aplicación de la metodología al caso del desarrollo de sistemas de información

� Libro II: Catálogo de Elementos, tipos de activos, dimensionesde valoración de los activos, criterios de valoración de los activos,amenazas típicas sobre los sistemas de información y salvaguardas aconsiderar para proteger sistemas de información

� Libro III: Guía de Técnicas, empleadas para llevar a caboproyectos de análisis y gestión de riesgos: técnicas específicas para elanálisis de riesgos, análisis mediante tablas, análisis algorítmico,árboles de ataque, técnicas generales, análisis coste-beneficio,diagramas de flujo de datos, diagramas de procesos, técnicasgráficas, planificación de proyectos, sesiones de trabajo (entrevistas,reuniones y presentaciones) y valoración Delphi

� Objetivos:

� Concienciar a los responsables de los sistemas deinformación de la existencia de riesgos y de lanecesidad de atajarlos a tiempo

� Ofrecer un método sistemático para analizar talesriesgos

� Ayudar a descubrir y planificar las medidasoportunas para mantener los riesgos bajo control

� Apoyar la preparación a la Organización paraprocesos de evaluación, auditoría, certificación oacreditación, según corresponda en cada caso