GESTION DE RIESGOS

BASADO EN EL MODELO DE CALIDAD CMMI

INGENIERIA DE SOFTWARE

INTEGRANTES:

HOLMAN CALDERÓN - 1150514

ANDRES ORDUZ -1150470
ANGEL ORTIZ - 1151461
DANIEL GOMEZ - 1150685
JAIR LLANES - 1150781
LUIS MORALES – 1150435

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

SAN JOSE DE CUCUTA
2017

|
TABLA DE CONTENIDO

La Gestión de Riesgos Modelo CMMI 1.3 ..................................................................................... 1

Propósito ................................................................................................................................... 1
Introducción .............................................................................................................................. 1
Practicas Específicas para la gestión de riesgos ........................................................................ 2
Preparar Gestión de riesgos .................................................................................................. 2
Fuentes y Categorías de Riesgos ....................................................................................... 2
Definir los parámetros de riesgos ..................................................................................... 3
Establecer una estrategia de gestión de riesgos ............................................................... 3
Identificar y analizar los riesgos ............................................................................................ 4
Identificar y documentar los riesgos ................................................................................. 4
Evaluar, clasificar y priorizar los riesgos............................................................................ 5
Mitigar los riesgos ................................................................................................................. 5
Desarrollar los planes de mitigación de riesgos ................................................................ 6
Implementar los planes de mitigación de riesgos............................................................. 7

|
|
 La Gestión de Riesgos Modelo CMMI 1.3
Propósito
El propósito de la Gestión de Riesgos (RSKM) es identificar problemas potenciales antes de que
ocurran, para que las actividades de tratamiento de riesgos puedan planificarse e invocarse
según sea necesario a lo largo de la vida del producto o del proyecto para mitigar los impactos
adversos sobre la consecución de objetivos.

Introducción
La gestión de riesgos es un proceso continuo, orientado hacia el futuro que es una parte
importante de la gestión de proyectos. La gestión de riesgos debería tratar las cuestiones que
podrían poner en peligro el logro de los objetivos críticos. Una aproximación de gestión de
riesgos continua anticipa y mitiga eficazmente los riesgos que puedan tener un impacto crítico
sobre un proyecto.
Una gestión de riesgos eficaz incluye la identificación temprana y dinámica de los riesgos a
través de la colaboración e involucración de las partes interesadas relevantes, tal y como se
describió en el plan de involucración de las partes interesadas tratado en el área de proceso
Planificación del Proyecto. Se necesita un fuerte liderazgo entre todas las partes interesadas
relevantes para establecer un entorno para la libre y abierta divulgación y discusión de los
riesgos.
La gestión de riesgos debería considerar fuentes tanto internas como externas, así como
técnicas y no técnicas, de coste, de calendario y de rendimiento y de otros riesgos. La
detección temprana y dinámica de riesgos es importante porque normalmente es más fácil,
menos costosa y menos perjudicial hacer los cambios y corregir los esfuerzos de trabajo
durante las fases iniciales del proyecto, en lugar de hacerlo en fases posteriores.

Por ejemplo, las decisiones relacionadas con la arquitectura del producto a menudo se toman
de forma temprana antes de comprender totalmente el impacto que puedan tener y, por lo
tanto, las implicaciones de los riesgos de esas opciones deberían considerarse cuidadosamente.
Los estándares de la industria pueden ayudar en el momento de determinar cómo prevenir o
mitigar riesgos específicos comúnmente encontrados en una industria particular. Ciertos
riesgos pueden ser gestionados o mitigados proactivamente mediante la revisión de buenas
prácticas y las lecciones aprendidas de la industria.
La gestión de riesgos se puede dividir en las siguientes partes:

• Definir una estrategia de gestión de riesgos.

• Identificar y analizar los riesgos.
• Tratar los riegos identificados, incluyendo la implementación de planes de mitigación
de riesgos, según sea necesario.

|
 El área de proceso Gestión de riesgos describe una evolución de estas prácticas específicas para
planificar, prevenir y mitigar los riesgos sistemáticamente a fin de minimizar proactivamente su
impacto sobre el proyecto. Aunque el énfasis principal del área de proceso Gestión de Riesgos
se realiza sobre el proyecto, estos conceptos también pueden aplicarse para gestionar los
riesgos de la organización.

Practicas Específicas para la gestión de riesgos

Preparar Gestión de riesgos
Prepárese para la gestión de riesgos estableciendo y manteniendo una estrategia para
identificar, analizar y mitigar los riesgos. Normalmente, esta estrategia se documenta en un plan
de gestión de riesgos. La estrategia de gestión de riesgos trata las acciones específicas y el
enfoque de gestión usado para aplicar y controlar el programa de gestión de riesgos. La
estrategia normalmente incluye la identificación de las fuentes de riesgos, el esquema
utilizado para clasificar los riesgos y los parámetros usados para evaluar, limitar y controlar los
riesgos para su tratamiento eficaz.
Fuentes y Categorías de Riesgos

Identificar las fuentes de riesgo proporciona una base para examinar de forma sistemática las
situaciones que cambian en el tiempo para descubrir circunstancias que afectan a la capacidad
del proyecto para cumplir sus objetivos. Las fuentes de riesgo son tanto internas como externas
al proyecto. A medida que el proyecto avanza, pueden identificarse fuentes de riesgo
adicionales. Establecer categorías para los riesgos proporciona un mecanismo para recopilarlos
y organizarlos, además de asegurar el análisis apropiado y la atención que le dedica la gerencia
a los riesgos que puedan tener consecuencias serias para el cumplimiento de los objetivos del
proyecto.

Ejemplos de productos de trabajo

1. Listas de fuentes de riesgos (externas e internas).

2. Lista de categorías de riesgos.

Algunas fuentes típicas de riesgo internas y externas son:

• Requisitos inciertos.
• Esfuerzos sin precedentes (p. ej., estimaciones no disponibles).
• Diseño inviable.
• Requisitos de atributos de calidad en competencia que afectan a la selección de la
solución y al diseño.
• Tecnología no disponible.
• Estimaciones o asignación de calendarios no realistas.
• Recursos de personal y habilidades inadecuadas.
• Cuestiones de coste o financiación.
• Capacidad del subcontratista incierta o inadecuada.
• Capacidad del proveedor incierta o inadecuada.

|
 • Comunicación inadecuada con los clientes actuales o potenciales o con sus
representantes.
• Interrupciones en la continuidad de las operaciones.
• Restricciones reglamentarias (p. ej., seguridad, protección, entorno).

Los siguientes factores pueden considerarse cuando se determinan las categorías de riesgos:

• Fases del modelo del ciclo de vida del proyecto (p. ej., requisitos, diseño, fabricación,
prueba y evaluación, entrega, retirada).
• Tipos de procesos utilizados.
• Tipos de productos utilizados.
• Riesgos de gestión de proyectos (p. ej., riesgos del contrato, riesgos del presupuesto,
riesgos de calendario, riesgos de recursos).
• Riesgos técnicos de rendimiento.

Definir los parámetros de riesgos

Definir los parámetros usados para analizar y clasificar los riesgos y para controlar el esfuerzo
de la gestión de riesgos.

Algunos parámetros para evaluar, clasificar y priorizar los riesgos son:

• Probabilidad del riesgo (es decir, probabilidad de ocurrencia del riesgo).

• Consecuencia del riesgo (es decir, impacto y gravedad de la ocurrencia del riesgo).
• Umbrales para desencadenar las actividades de gestión.

Los parámetros del riesgo se usan para proporcionar criterios comunes y consistentes a fin de
comparar los riesgos a gestionar. Sin estos parámetros, es difícil medir la gravedad de un cambio
no deseado causado por un riesgo y priorizar las acciones requeridas para planificar la
mitigación del riesgo.

Los proyectos deberían documentar los parámetros utilizados para analizar y categorizar los
riesgos a fin de que estén disponibles como referencia a lo largo de toda la vida del proyecto,
porque las circunstancias cambian con el tiempo. Utilizando estos parámetros, los riesgos
pueden fácilmente ser re-clasificados y analizados cuando se producen los cambios.
Algunos ejemplos de umbrales son:

• Los umbrales a escala de proyecto podrían establecerse para involucrar a la alta

dirección cuando los costes del producto excedan el 10 por ciento del coste objetivo o
cuando los indicadores de rendimiento de coste (CPIs) caigan por debajo del 0,95.
• Los umbrales de calendario podrían establecerse para involucrar a la alta dirección
cuando los indicadores de rendimiento de calendario (SP Is) caigan por debajo del
0,95.
• Los umbrales de rendimiento podrían establecerse para involucrar a la alta dirección
cuando los elementos clave especificados (p. ej., la utilización del procesador, los
tiempos medios de respuesta) superan el 125 por ciento del diseño previsto.
Establecer una estrategia de gestión de riesgos
Una estrategia de gestión de riesgos exhaustiva trata elementos como:

|
 • El alcance del esfuerzo de gestión de riesgos.
• Los métodos y las herramientas que se usarán para la identificación de riesgos, su
análisis, mitigación, monitorización y comunicación.
• Las fuentes específicas de riesgos del proyecto.
• La forma en que los riesgos se organizarán, clasificarán, compararán y consolidarán.
• Los parámetros usados para tomar acciones sobre los riesgos identificados, incluyendo
la probabilidad, la consecuencia y los umbrales.
• Las técnicas de mitigación de riesgos que serán utilizadas, como prototipos, pilotos,
simulación, diseños alternativos o desarrollo evolutivo.
• La definición de medidas de riesgos utilizadas para monitorizar el estado de los riesgos.
• Los intervalos de tiempo para la monitorización o reevaluación de los riesgos.

Identificar y analizar los riesgos

El grado de riesgo afecta a los recursos asignados para manejar el riesgo y al momento en el
que se requiere la atención apropiada de la gerencia.
El análisis de riesgos implica la identificación de los riesgos de las fuentes internas y externas
identificadas, y la evaluación de cada riesgo identificado para determinar su probabilidad y
consecuencias. La clasificación de los riesgos, basada en una evaluación frente a las categorías
de riesgo establecidas y los criterios desarrollados para la estrategia de gestión de riesgos,
proporciona información necesaria para su tratamiento. Los riesgos relacionados pueden
agruparse para permitir el tratamiento eficiente y el uso eficaz de los recursos de la gestión de
riesgos.
Identificar y documentar los riesgos
La identificación de cuestiones potenciales, peligros, amenazas y vulnerabilidades que podrían
afectar negativamente a los esfuerzos de trabajo o a los planes es la base para una gestión de
riesgos sólida y exitosa. Los riesgos deberían identificarse y describirse de forma comprensible
antes de que puedan analizarse y gestionarse apropiadamente. Los riesgos se documentan en
una declaración concisa que incluye el contexto, las condiciones y las consecuencias de la
ocurrencia del riesgo.
La identificación de riesgos no se enfoca en la asignación de culpas sino en la propia
identificación de los riesgos. Los resultados de las actividades de identificación de riesgos
nunca deberían ser utilizados por la gerencia para evaluar el rendimiento de los individuos.
Se utilizan muchos métodos para identificar los riesgos. Algunos métodos típicos de
identificación son:
• Examinar cada elemento de la estructura de descomposición del trabajo del proyecto.
• Llevar a cabo una evaluación de riesgos usando una taxonomía de riesgos.
• Entrevistar a expertos en la materia en cuestión.
• Revisar los esfuerzos de gestión de riesgos de productos similares.
• Examinar los documentos o bases de datos de lecciones aprendidas.
• Examinar las especificaciones de diseño y los requisitos del acuerdo.

Los riesgos de rendimiento pueden incluir riesgos asociados con:

• Requisitos.

|
 • Análisis y diseño.
• Aplicación de tecnología nueva.
• Comportamiento y funcionamiento del producto con respecto a la funcionalidad o
atributos de calidad.
• Verificación.
• Validación.
• Atributos de mantenimiento del rendimiento.

Algunos ejemplos de estos otros riesgos son los relacionados con:

• Huelgas.
• Disminución de las fuentes de suministro.
• Tiempo de ciclo tecnológico.
• Competencia.

Evaluar, clasificar y priorizar los riesgos

La evaluación de los riesgos es necesaria para asignar una importancia relativa a cada riesgo
identificado y se usa para determinar cuándo se requiere la atención apropiada de la gerencia.
A menudo, es útil agregar riesgos basados en sus interrelaciones y desarrollar opciones en un
nivel agregado. Cuando se crea un riesgo agregado mediante un conjunto de riesgos de nivel
más bajo, se debería tener cuidado para asegurar que los riesgos importantes de nivel más bajo
no son ignorados.

Colectivamente, las actividades de evaluación, clasificación y priorización de riesgos son

denominadas algunas veces “evaluación de riesgos” o “análisis de riesgos”.

Algunos ejemplos de categorías de consecuencia son:

• Baja.
• Media.
• Alta.
• Despreciable.
• Marginal.
• Significativa.
• Crítica.
• Catastrófica.

Mitigar los riesgos

Las etapas en el tratamiento de los riesgos incluyen desarrollar opciones de tratamiento de
riesgos, monitorizar los riesgos y realizar las actividades de tratamiento de riesgos cuando se
sobrepasan los umbrales definidos. Los planes de mitigación de riesgo se desarrollan e
implementan para los riesgos seleccionados a fin de reducir de forma proactiva el impacto
potencial de la ocurrencia del riesgo.
La planificación de la mitigación de riesgos también puede incluir planes de contingencia para
tratar con el impacto de los riesgos seleccionados que puedan ocurrir a pesar de los intentos
para mitigarlos. Los parámetros de riesgo usados para desencadenar las actividades de
tratamiento del riesgo están definidos por la estrategia de gestión de riesgos.

|
 Desarrollar los planes de mitigación de riesgos
El plan de mitigación de riesgos para un riesgo dado incluye técnicas y métodos usados para
evitar, reducir y controlar la probabilidad de ocurrencia del riesgo; la extensión del daño incurrido
en caso de que el riesgo ocurriera (a veces llamado “plan de contingencia”); o ambos. Los riesgos
se monitorizan y, cuando sobrepasan los umbrales establecidos, los planes de mitigación de
riesgo se despliegan para devolver el esfuerzo afectado a un nivel de riesgo aceptable. Si el riesgo
no puede mitigarse, puede invocarse un plan de contingencia. Tanto los planes de mitigación
como los de contingencia del riesgo se generan con frecuencia solamente para los riesgos
seleccionados para los que las consecuencias de los riesgos sean altas o inaceptables. Otros
riesgos pueden aceptarse y simplemente monitorizarse.

Algunas de las opciones para tratar los riesgos normalmente son:

• Evitar el riesgo: cambiar o reducir los requisitos mientras se sigan cumpliendo las
necesidades del usuario final.
• Controlar el riesgo: llevar a cabo actividades para minimizar los riesgos.
• Transferir el riesgo: reasignar requisitos para reducir riesgos.
• Monitorizar el riesgo: vigilar y reevaluar periódicamente el riesgo en función de los
cambios en los parámetros del riesgo asignados.
• Aceptar el riesgo: reconocer el riesgo, pero no tomar ninguna acción.

Por ejemplo, en el caso de un evento que interrumpe la continuidad de las operaciones,

algunos enfoques para la gestión de riesgos que podrían establecerse son:
• Reservas de recursos para responder a los eventos perjudiciales.
• Listas de equipamiento de respaldo disponible.
• Respaldo para el personal clave.
• Planes para probar los sistemas de respuesta a emergencias.
• Procedimientos de emergencias comunicados.
• Listas distribuidas de los contactos clave y de información de recursos para
emergencias.
Existen formas para poder generar planes de riesgos, pero se deben revisar las siguientes
prácticas:
1. Determinar los niveles y los umbrales que definen cuándo un riesgo pasa a ser
inaceptable y activa la ejecución de un plan de mitigación de riesgos o un plan de
contingencia.
2. Identificar a la persona o al grupo responsable de tratar cada riesgo.
3. Determinar los costes y los beneficios de la implementación del plan de mitigación de
riesgos para cada riesgo.
4. Desarrollar un plan general de mitigación de riesgos para el proyecto a fin de organizar
la implementación de los planes individuales de mitigación y de contingencia de los
riesgos.
5. Desarrollar planes de contingencia para los riesgos críticos seleccionados en caso de
que tengan lugar sus impactos.

|
 Implementar los planes de mitigación de riesgos
Para controlar y gestionar eficazmente los riesgos durante el trabajo, siga un programa proactivo
para monitorizar regularmente los riesgos, y el estado y los resultados de las acciones de
tratamiento de riesgos. La estrategia de gestión de riesgos define los intervalos en los que
debería volver a revisarse el estado del riesgo. Esta actividad puede dar como
resultado el descubrimiento de nuevos riesgos o de nuevas opciones de tratamiento del riesgo
que pueden requerir re planificación y reevaluación.

En cualquier caso, los umbrales de aceptabilidad asociados al riesgo deberían compararse con
el estado del riesgo para determinar la necesidad de implementar un plan de mitigación de
riesgos.
Ejemplos de productos de trabajo

1. Listas actualizadas del estado del riesgo.

2. Evaluaciones actualizadas de la probabilidad, consecuencia y umbrales de los riesgos.
3. Listas actualizadas de las opciones de tratamiento de riesgos.
4. Listas actualizadas de las acciones tomadas para tratar los riesgos.
5. Planes de mitigación de riesgos para las opciones de tratamiento del riesgo.

Para la implementación del plan de riesgos tener en cuenta las siguientes prácticas:

1. Monitorizar el estado del riesgo.

2. Proporcionar un método de seguimiento de los elementos de acción de tratamiento
de riesgos abiertos hasta su cierre.
3. Invocar las opciones seleccionadas de tratamiento del riesgo cuando los riesgos
monitorizados excedan los umbrales definidos.
4. Establecer un calendario o un período de realización para cada actividad de
tratamiento de riesgos que incluya una fecha de inicio y una fecha prevista de
finalización.
5. Proporcionar un compromiso continuo de los recursos para cada plan, para que la
ejecución de las actividades de tratamiento de riesgos tenga éxito.
6. Recoger medidas de rendimiento sobre las actividades de tratamiento de riesgos.

|
Referencias

Referencias Web.
 http://asprotech.blogspot.com.co/2010/11/resumen-de-gestion-de-riesgos-en-cmmi.html
 http://www.academia.edu/17424338/Gestion_de_Riesgos_CMMI
 https://prezi.com/ya7_-jioco91/capability-maturity-model-integrationcmmi/