gestión y supervisión de riesgos
TRANSCRIPT
1
Gestión y supervisión de riesgos
Definición y clasificación
Estimación de riesgos
� Identificación
� Análisis
� Evaluación
Herramientas y métodos
Bibliografía: Pressman, R.S., Ingeniería del Software: un enfoque práctico, McGraw Hill.
2
Definición y clasificación
"Risk in itself is not bad; risk is essential to progress, and failure is often a key part of learning. But we must learn to balance the possible negative consequences of risk against the potential benefits of its associated opportunity."
Cita extraida de Van Scoy, Roger L. Software Development Risk: Opportunity, Not Problem. Software Engineering Institute, CMU/SEI-92-TR-30, ADA 258743, September 1992]
“Riesgo: contingencia o proximidad de un daño”Cita extraida del Diccionario de la Real Academia Española
“First, risk concerns future happenings. Today and yesterday are beyond active concern, as we are already reaping what was previously sowed by our past actions.The question is, can we, therefore, by changing our actions today, create an opportunity for a different and hopefully better situation for ourselves tomorrow. This means, second, that risk involves change, such as in changes of mind, opinion, actions, or places. . . . [Third,] risk involves choice, and the uncertainty that choice itself entails. Thus paradoxically, risk, like death and taxes, is one of the few certainties of life.”
Cita extraida de Charette, R. N., Software Engineering Risk Analysis and Management, McGraw-Hill/Intertext, 1989.
3
Definición y clasificación
Los objetivos de la gestión de riesgos sonidentificar, controlar y eliminar las fuentes deriesgo antes de que empiecen a afectar alcumplimiento de los objetivos del proyecto.
� El riesgo siempre implica:
� Incertidumbre: el acontecimiento que caracteriza
al riesgo puede o no puede ocurrir.
� Pérdida potencial: si el riesgo se convierte en
una realidad, ocurrirán consecuencias no deseadas
o pérdidas.
� Al analizar el riesgo es importante cuantificar ambos
elementos
4
Definición y clasificación: categorías de riesgos
� Riesgos del proyecto:
� Amenazan la planificación temporal, al coste y calidad del
proyecto.
� Identifican problemas potenciales de presupuesto,
calendario, personal, recursos, cliente...
� Riesgos técnicos:
� Amenazan la calidad y la planificación temporal del software
(producto) que hay que producir.
� Ocurren porque el problema es más difícil de resolver de lo
que pensábamos.
� Si un riesgo técnico se convierte en realidad, la
implementación puede ser difícil o incluso imposible
� Factores de riesgos técnicos:
� Ambigüedad en la especificación
� Incertidumbre técnica
� Obsolescencia técnica
� Tecnología punta
� Problemas en el diseño, la implementación, la interfaz, la
verificación, y el mantenimiento.
� Riesgos del negocio:
� Amenazan la viabilidad del software a construir y ponen el
peligro el proyecto o el producto. Los principales son:� Riesgo de mercado: construir un producto excelente pero que nadie quiere
� Riesgo estratégico: construir un producto que ya no encaja en la estrategia
de negocio global de la compañía
� Riesgo de ventas: construir un producto que no se sabe cómo venderlo
� Riesgo de gestión: perder el apoyo del dpto. de gestión debido a un cambio
de objetivo o de personal.
� Riesgo de presupuesto: perder el compromiso de un presupuesto o de contar
con personal
5
Definición y clasificación: categorías de riesgos
� Se puede hacer otra categorización de los riesgos en función de su
facilidad de detección (Charette 1989):
� Riesgos conocidos: son aquellos que se pueden descubrir
después de una evaluación cuidadosa del plan del proyecto, del
entorno técnico y empresarial en el cual el proyecto se está
desarrollando, y otras fuentes de información fiables (p.e. fecha de
entrega no realista, carencia de requisitos documentados o de
ámbito del software, entorno pobre de desarrollo).
� Riesgos predecibles: se extrapolan de la experiencia de
proyectos anteriores (p.e. reemplazo de personal, comunicación
pobre con el cliente)
� Riesgos impredecibles: pueden ocurrir (y de hecho ocurren),
pero es extremadamente difícil identificarlos por adelantado.
6
Definición y clasificación
� La gestión continuada de los riesgos permite aumentar su
eficiencia:
� Evaluar continuamente lo que pueda ir mal
� Determinar qué riesgos son importantes
� Implementar estrategias para resolverlos
� Asegurar la eficacia de las estrategias
� Elementos de la gestión de riesgos:
� Estimación de riesgos:
� Identificación de riesgos: lista de riesgospotenciales y tipología
� Análisis de riesgos: medición de laprobabilidad y el impacto de cada riesgo
� Evaluación de riesgos: lista de riesgosordenados por su impacto y su probabilidad deocurrencia
� Control de riesgos:
� Planificación de la gestión de riesgos: planpara tratar cada riesgo significativo
� Supervisión de riesgos: comprobación delprogreso del control de un riesgo e identificaciónde la aparición de nuevos riesgos
7
Estimación de riesgos: identificación
� Constituye un intento sistemático para especificar las
amenazas al plan del proyecto (estimaciones, planificación,
carga de recursos, etc).
� Para cada una de las categorías de riesgos mencionadas
anteriormente, existen dos tipologías: riesgos genéricos y
riesgos específicos.
� Riesgos genéricos: Son comunes a todos los
proyectos de software.
� Riesgos específicos: sólo pueden ser identificados poraquellos con una clara comprensión de la tecnología, elpersonal, y el entorno que es específico para esteproyecto. Para identificarlos se examina el plan delproyecto y el enunciado del ámbito del software, y seresponde a la siguiente cuestión: ¿qué característicasespeciales de este producto pueden amenazar nuestroplan de proyecto?
8
Estimación de riesgos: identificación
(listas de control)
� Un método para identificar los riesgos es crear una lista de
comprobación de elementos de riesgo, que puede
considerar los siguientes riesgos:
� Tamaño del producto: asociados al tamaño totaldel producto a construir o a modificar.
� Impacto en el negocio: asociados conrestricciones impuestas por los gestores o por elmercado.
� Características del cliente: asociados con lasofisticación del cliente y con la habilidad decomunicación de los desarrolladores (a tiempo)
� Definición del proceso: asociados al grado con elque se ha definido el proceso software y éste esseguido por la organización de desarrollo
� Entorno de desarrollo: asociados a ladisponibilidad y calidad de las herramientas
� Tecnología a construir: asociados a lacomplejidad del sistema a construir y a la “novedad”de la tecnología que incorpora
� Tamaño y experiencia de la plantilla: asociadoscon la experiencia global y específica en esteproyecto de los ingenieros del software que van arealizar el trabajo
9
Estimación de riesgos: identificación
(listas de control)
� Ejemplo 1: lista de comprobación de elementos de riesgo para conocer el riesgo potencial sobre la asignación de personal a un proyecto:
� ¿Tiene el personal un conjunto de habilidadesadecuado?
� ¿Se dispone del personal suficiente?
� ¿Está comprometido el personal a lo largo detodo el proyecto?
� ¿Hay miembros del proyecto que trabajaránsólo a tiempo parcial?
� ¿Se ha creado el personal las expectativascorrectas sobre el trabajo que van a realizar?
� ¿Ha recibido el personal la formaciónadecuada?
� ¿Será suficientemente baja la rotación delpersonal para permitir la continuidad?
10
Estimación de riesgos: identificación
(listas de control)
Ejemplo 2: lista de comprobación de elementos de riesgo para conocer el riesgo global de un proyecto (ordenada por importancia relativa):
1. ¿Están los gestores comprometidos formalmente para apoyar el proyecto?
2. ¿Están los usuarios comprometidos de manera entusiasta con el proyecto y con el sistema/producto que se va a construir?
3. ¿Los ingenieros del software y los clientes comprenden perfectamente los requisitos?
4. ¿Están los clientes totalmente implicados en la definición de los requisitos?
5. Las expectativas de los usuarios finales, ¿son realistas?
6. ¿El ámbito del proyecto es estable?
7. ¿Tiene el equipo de ingenieros del software un conjunto adecuado de habilidades?
8. ¿Son estables los requisitos del proyecto?
9. ¿El equipo del proyecto tiene experiencia con la tecnología que se va a implementar?
10. ¿El número de personal del equipo es adecuado para realizar el trabajo?
11. ¿Están de acuerdo todos los usuarios/clientes con capacidad de voto con la importancia del proyecto y con los requisitos?
11
Estimación de riesgos: análisis
� Es el proceso de examinar los riesgos en detalle paradeterminar su extensión, sus interrelaciones y su importancia
� Las actividades básicas son:
� Análisis detallado: mejor comprensión del riesgo. Se
cuantifican, en lo posible, los siguientes conceptos:
� Impacto: pérdida que ocasiona el riesgo.
Consecuencias de los problemas asociados con el
riesgo. Los factores que afectan al impacto son:
� La naturaleza: problemas potenciales que se
pueden producir en caso de ocurrir.
� Alcance: Combina la severidad (cómo de grave)
con su distribución global.
� Duración: Combina el momento en el que se
sentirá su impacto y la duración del mismo.
� Probabilidad de que ocurra el riesgo.
� Marco de tiempo: periodo de tiempo en el que es
posible mitigar el riesgo.
� Clasificación: se clasifican los riesgos para entender su
naturaleza y elaborar planes de mitigación.
12
Estimación de riesgos: análisis
ATRIBUTO VALOR DESCRIPCIÓN
Catastrófico Pérdida del sistema. Coste >50%
Crítico Recuperación de la capacidad operativa Coste > 10% (<50%)
Impacto
Marginal Coste < 10%
Muy probable > 70% Probable Entre 30% y 70% Probabilidad Improbable <30%
Corto plazo 30 días Medio plazo 1 a 4 meses Marco de tiempo Largo plazo Más de 4 meses
13
Estimación de riesgos: análisis (ejemplo)
Riesgo Categoría Probabilidad Impacto
La estimación del
tamaño puede ser
significativamente
baja
Tamaño del
producto
60% Crítico
Número de
usuarios mayor
que el planificado
Tamaño del
producto
30% Marginal
Menos
reutilización de
componentes que
la planificada
Tamaño del
producto
70% Crítico
Los usuarios
finales se resisten
al sistema
Impacto en el
negocio
40% Marginal
La fecha de
entrega seráimprorrogable
Impacto en el
negocio
50% Crítico
Se perderáfinanciación
Impacto en el
negocio
40% Catastrófico
El cliente cambiarálos requisitos
Tamaño del
producto
80% Crítico
La tecnología no
alcanzará las
expectativas
Tecnología a
construir
30% Catastrófico
Carencias en el uso
de las
herramientas
Entorno de
desarrollo
80% Marginal
Personal sin
experiencia
Tamaño y
experiencia de la
plantilla
30% Crítico
La sustitución de
personal seráelevada
Tamaño y
experiencia de la
plantilla
60% Crítico
14
� Es el proceso de ordenar los riesgos en función de su importancia paradeterminar cuáles se deben solucionar antes y a cuáles hay queasignarle más recursos.
� Los riesgos pueden ordenarse según la magnitud de la exposición alriesgo:
[ri, li, xi]
ri: riesgo
li: probabilidad del riesgo
xi: magnitud del impacto del riesgo
� Las condiciones y prioridades pueden cambiar a lo largo del proyecto porlo que el análisis y asignación de prioridades debe realizarse de maneracontinuada aprovechando la información disponible en cada momento.
Estimación de riesgos: evaluación
15
Estimación de riesgos: evaluación
� Para cada riesgo se calcula su exposición (Risk Exposition, RE):
RE= P x C
siendo P la probabilidad de que el riesgo ocurra, y C el costepara el proyecto si el riesgo ocurriera
� La tabla de riesgos se puede ordenar de mayor a menorexposición para tener un plan de actuación sobre los mismos
� Ejemplo de riesgo:
Identificación de riesgo: sólo el 70% de los componentes
software que se pensaban reutilizar van a ser integrados en la
aplicación. La funcionalidad restante tendrá que ser
desarrollada ad-hoc.
Probabilidad del riesgo: 80% (muy probable)
Impacto del riesgo: se planearon inicialmente 60 componentes
software. Si sólo se empleará el 70%, tenemos que 18
componentes tendrán que ser desarrollados desde cero. Si un
componente promedio consta de 100 LDC y el coste de
ingeniería del software de una LOC es de 10 euros, el coste
total (impacto) para desarrollar los componentes será
18x100x10= 18000 euros.
Exposición del riesgo= 80% x 18000 = 14400
16
Estimación de riesgos: ejercicio
� Considere la tabla de riesgos ejemplo expuestaanteriormente
� Asuma que, para este proyecto, el coste estimado (eneuros) de cada categoría de impacto es fijo, siendo:
� Catastrófico: 1.000.000 euros
� Crítico: 100.000 euros
� Marginal: 10.000 euros
� Calcule el RE para cada riesgo y ordene la tabla demayor a menor en función de dicho concepto
� Defina una línea de corte en la tabla, implicando quesólo a los riesgos que están por encima de la línea seles concederá una atención plena. Los que caen pordebajo se reevaluarán para obtener una segundapriorización (no es necesario realizar esto último).
17
Estimación de riesgos: preocupación de la gestión
� El impacto de un riesgo y su probabilidad tienen una influenciamuy distinta para las personas encargadas de la gestión delproyecto.
� Un riesgo con un impacto alto pero una probabilidad deocurrencia muy baja no debería absorber una cantidadsignificativa de tiempo de gestión
� Sin embargo, los riesgos de alto impacto con probabilidadesmoderadas o altas, así como los riesgos de bajo impacto peroalta probabilidad deberían ser tenidos en cuenta para sumitigación, monitorización y gestión
Alta
Muy alto
Muy bajo
Impacto
Probabilidad
de
ocurrencia
0.0
1.0
Preocupación de
la gestión
18
Estimación de riesgos
Plan de Gestión y Supervisión de Riesgos (PGSR)
� RIESGO 1• Datos del análisis del riesgo
[r1, l1, x1]• Pasos de gestión del riesgo 1
.
.
� RIESGO n
� Datos del análisis del riesgo[rn, ln, xn]
• Pasos de gestión del riesgo n
� La supervisión del riesgo supone:
� Detectar la ocurrencia de un riesgo que haya sido previsto
� Asegurar que los pasos de gestión del riesgo se vayan aplicando
PGSR
19
http://www.decisionmetrics.net
Herramientas y métodos
20
Herramientas y métodos
http://www.palisade-europe.com/
21
Herramientas y métodos
� http://www.csae.map.es/csi/
� MAGERIT-V2. Metodología de Análisis y Gestión deRiesgos de los Sistemas de Información
� Libro I: Método, pasos para realizar un análisis del estado de riesgo y para gestionar su mitigación; tareas básicas para realizar un proyecto de análisis y gestión de riesgos (roles, actividades, hitos y documentación) y aplicación de la metodología al caso del desarrollo de sistemas de información
� Libro II: Catálogo de Elementos, tipos de activos, dimensionesde valoración de los activos, criterios de valoración de los activos,amenazas típicas sobre los sistemas de información y salvaguardas aconsiderar para proteger sistemas de información
� Libro III: Guía de Técnicas, empleadas para llevar a caboproyectos de análisis y gestión de riesgos: técnicas específicas para elanálisis de riesgos, análisis mediante tablas, análisis algorítmico,árboles de ataque, técnicas generales, análisis coste-beneficio,diagramas de flujo de datos, diagramas de procesos, técnicasgráficas, planificación de proyectos, sesiones de trabajo (entrevistas,reuniones y presentaciones) y valoración Delphi
� Objetivos:
� Concienciar a los responsables de los sistemas deinformación de la existencia de riesgos y de lanecesidad de atajarlos a tiempo
� Ofrecer un método sistemático para analizar talesriesgos
� Ayudar a descubrir y planificar las medidasoportunas para mantener los riesgos bajo control
� Apoyar la preparación a la Organización paraprocesos de evaluación, auditoría, certificación oacreditación, según corresponda en cada caso