ADR-2-RSA-Cap01-GestiondeRiesgos_Diapositivas - Gonzálo de la Vega S

Vista previa del material en texto

Unidad 2: Riesgos Seguridad y Auditoría
AdministraciónAdministración de Recursosde Recursos
Capítulo 1: Gestión de Riesgos
Universidad Tecnológica Nacional Universidad Tecnológica Nacional 
Facultad Regional RosarioFacultad Regional Rosario
ÍNDICE
► Marco Conceptual de la Administración de Riesgos
� Definiciones de Riesgo
� Formas, Beneficios y Responsabilidades de Gestionar el Riesgo
� Factores y Componentes del Riesgo
► El Proceso de Gestión de Riesgos (PMI)
� Los Riesgos en la Gestión de Proyectos 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►22
� Los Riesgos en la Gestión de Proyectos 
� Planificación de la Gestión de Riesgos 
� Identificación de Riesgos
� Análisis Cualitativo 
� Análisis Cuantitativo
� Planificación de las Respuestas a los Riesgos
� Seguimiento y Control de Riesgos
MARCO CONCEPTUAL DE LA 
ADMINISTRACIÓN DE RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►33
Marco Conceptual
El análisis de los riesgos se considera una 
herramienta básica para la toma de decisiones, 
debido a que los constantes cambios que se 
producen en el ambiente donde la organización 
se desenvuelve obligan a tomar decisiones se desenvuelve obligan a tomar decisiones 
relativamente rápidas acerca de los recursos a 
ser invertidos y el rango de riesgo deseado. 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►44
Marco Conceptual
Proyectos:
� PMBOK 2004. PMI: Project Management Institute. Area Gestión de Riesgos
� SEI Software Engineering Institute CMMI – V.1.02.
Seguridad de la Información:
� MAGERIT V.2: Metodología Automatizada de Análisis y Gestión de Riesgos de los 
Sistemas de Información de las Administraciones Públicas. Ministerio de Administración 
Pública de España. 
�Serie ISO/IEC 27000:
Auditorías
� COBIT V.4.1. Control OBjectives for Information and related Technology. 
Provisión de servicios en Areas de TI:
�ITIL V.3. : Information Technology Infrastructure Library
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►55
DEFINICIONES DE RIESGO
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►66
Un riesgo NO es un PROBLEMA….
El PROBLEMA es un RIESGO 
que ha acontecido
Robert Charette
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►77
Definiciones
Según el diccionario de la Real Academia Española
(Del it. risico o rischio, y este del ár. clás. rizq, lo que 
depara la providencia).depara la providencia).
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden 
ser objeto de un contrato de seguro
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►88
Un riesgo también es…
Una variación de los resultados esperados, 
donde esa variación es de carácter aleatorio y 
en muchas ocasiones fuera del control del 
tomador de decisiones generándose el tomador de decisiones generándose el 
problema de la incertidumbre
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►99
PMBOK - PMI
Relaciona al riesgo con 
OPORTUNIDADES: resultados positivos
AMENAZAS: resultados negativos
Los objetivos de la Gestión de los Riesgos del Los objetivos de la Gestión de los Riesgos del 
Proyecto son aumentar la probabilidad y el 
impacto de los eventos positivos, y disminuir la 
probabilidad y el impacto de los eventos adversos 
para el proyecto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1010
SEI
Posibilidad de pérdida y precursor de un problema 
definido en función de: 
• Probabilidad de que ocurra un evento adverso.
• Impacto, manifestado en una combinación de • Impacto, manifestado en una combinación de 
pérdida económica, retraso temporal y pérdida 
de rendimiento
Provee un método sistemático de Identificación de 
riesgos basados en Taxonomías. 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1111
SEI - CMMi
Para alcanzar el Nivel 2: Administrado:
Categoría de Administración de Proyectos:
Área: Planificación de Proyectos
Meta Específica 2: Especificar el Plan del Proyecto
Práctica Especifica 2.2.: Identificar riesgos del Proyecto
Área: Control y Seguimiento de Proyectos
Meta Específica 1: Realizar el seguimiento del proyecto 
contra el Plan
Práctica Especifica 1.3.: Monitorizar los riesgos del 
Proyecto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1212
SEI - CMMi
Para alcanzar el Nivel 3: Definido:
Categoría de Administración de Proyectos:
Área: Gestión de Riesgos:
Identificar problemas potenciales antes de que 
ocurran, de forma tal que las actividades de ocurran, de forma tal que las actividades de 
administración de riesgos puedan ser planificadas 
e invocadas según la necesidad a lo largo del ciclo 
de vida del proyecto para mitigar los impactos 
adversos sobre los objetivos a alcanzar
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1313
SEI - CMMi
Área: Gestión de Riesgos:
Meta específica 1 Prepararse para la administración de riesgos
Práctica específica 1.1 Determinar las fuentes y categorías de riesgos
Práctica específica 1.2 Definir los parámetros de riesgos
Práctica específica 1.3 Establecer estrategias de administración de riesgos
Meta específica 2 Identificar y analizar riesgosMeta específica 2 Identificar y analizar riesgos
Práctica específica 2.1 Identificar riesgos
Práctica específica 2.2 Evaluar, clasificar y priorizar riesgos
Meta específica 3 Mitigar Riesgos
Práctica específica 3.1 Desarrollar planes de mitigación de riesgos
Práctica específica 3.2. Implementar planes de mitigación de riesgos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1414
MAGERIT
– Riesgo: estimación del grado de exposición a que una 
amenaza se materialice sobre uno o más activos causando 
daños o perjuicios a la Organización. 
– Análisis de riesgos: proceso sistemático para estimar la 
magnitud de los riesgos a que está expuesta una 
Organización. 
– Gestión de riesgos: selección e implantación de 
salvaguardas para conocer, prevenir, impedir, reducir o 
controlar los riesgos identificados.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1515
Serie ISO/IEC 27000
Norma certificable de Seguridad de la 
Información 
Guía de Buenas prácticas donde presenta una Guía de Buenas prácticas donde presenta una 
extensa lista de controles de seguridad 
recomendados y que en la práctica se 
seleccionan en base a una valorización de 
riesgos.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1616
COBIT
COBIT organiza los objetivos de control en Dominios.
Control sobre el proceso de TI: 9. Evaluación de Riesgos
Requisitos del Negocio: asegurar el logro de los objetivos de TI y responder a las 
amenazas hacia la provisión de servicios de TI.
Posibilitado por: la participación de la propia organización en la identificación de 
riesgos de TI y en el análisis de impacto, tomando medidas económicas para 
mitigar los riesgosmitigar los riesgos
Objetivos de control sobre los siguientes procesos:
• 9.1 Evaluación de Riesgos del Negocio
• 9.2 Enfoque de Evaluación de Riesgos
• 9.3 Identificación de Riesgos
• 9.4 Medición de Riesgos
• 9.5 Plan de Acción contra Riesgos
• 9.6 Aceptación de Riesgos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1717
ITIL V.3.
ITIL V.3. en el área de Provisión de Servicio contempla el proceso de 
Gestión de la Continuidad del Servicio enunciando actividades y 
funciones relacionadas directamente con la Gestión de Riesgos:
• Evaluación de Riesgos: para determinar una política de prevención 
y recuperación ante desastres se deben enumerar y evaluar, 
dependiendo de su probabilidad e impacto, los diferentes riesgos y dependiendo de su probabilidad e impacto, los diferentes riesgos yfactores de riesgo (amenazas, vulnerabilidades, etc.)
• Definición de Estrategias: medidas preventivas o medidas reactivas
• Organización y Planificación:
– Plan de prevención de riesgos. 
– Plan de gestión de emergencias. 
– Plan de recuperación. 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1818
Formas, Beneficios y Responsabilidades
de Gestionar los Riesgos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►1919
Formas de afrontar el riesgo
• REACTIVA: Se reacciona al presentarse los 
problemas o imprevistos. Técnica de los 
bomberos.
• PROACTIVA: Se busca una anticipación o 
predicción de los problemas o imprevistos y 
tener planes de contingencia.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2020
Gestión PROACTIVA de Riesgos
Hacer… En lugar de…
Anticipar problemas Arreglarlos cuando ocurren
Dirigirse a las causas Dirigirse a los síntomas
Prevenir y minimizar los riesgos vía 
mitigarlos
Reaccionar a las consecuencias
mitigarlos
Prepararse para las consecuencias 
a fin de minimizar el impacto
Reaccionar a la crisis
Utilizar un proceso ordenado y 
conocido
Utilizar un proceso ad-hoc
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2121
Beneficios en los Proyectos
• Lograr la satisfacción del Cliente
• Prevenir sorpresas
• Evitar el trabajo de “apagar incendios”
• Acotar el impacto de las amenazas• Acotar el impacto de las amenazas
• Aventajar a los competidores
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2222
Beneficios para la Organización
• Facilitar el logro de los objetivos 
• Hacerla más segura y consciente de sus riesgos
• Mejorar continuamente el Sistema de Control 
InternoInterno
• Optimizar la asignación de recursos
• Aprovechar las oportunidades de negocio
• Fortalecer la cultura de autocontrol
• Mayor estabilidad ante cambios del entorno
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2323
Beneficios para las Auditorias
• Estandarizar el método de trabajo
• Integrar el concepto de control en las políticas 
organizacionales
• Mejorar la planificación general de Auditoria• Mejorar la planificación general de Auditoria
• Realizar evaluaciones enfocadas en riesgos
• Auditorias más efectivas y con mayor valor 
agregado.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2424
Responsabilidades 
del Gerente de Proyecto
– Identificar y entender los riesgos
– Planear cómo gestionarlos
– Incorporar la Gestión de Riesgos dentro del proceso 
de planeamiento de dirección del proyectode planeamiento de dirección del proyecto
– Entender que la Gestión de Riesgos no trata futuras 
decisiones sino con el futuro de presentes 
decisiones
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2525
Factores y Componentes 
del Riesgodel Riesgo
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2626
Factores del Riesgo
El NIVEL DE RIESGO SE ESTABLECE CON UNA 
CONJUGACION DE:
IncertidumbreIncertidumbre
Pérdidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2727
Componentes del Riesgo
Identificación de un evento que tiene 
• una probabilidad de ocurrencia
y y 
• un impacto, es decir la dimensión de la
pérdida, cuantificada en términos monetarios
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2828
Estado de Riesgo de un evento
Estado de Riesgo, Severidad o Exposición
=
PROBABILIDAD de ocurrencia del riesgo
x 
IMPACTO que causa si sucede
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►2929
EL PROCESO DE GESTIÓN DE RIESGOS (PMI)
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3030
El proceso de Gestión de Riesgos 
(PMI)
1. PLANIFICACIÓN
2. IDENTIFICACIÓN
3. CUALIFICACIÓN
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3131
3. CUALIFICACIÓN
4. CUANTIFICACION
5. PLANEAMIENTO DE LA RESPUESTA
6.MONITOREO Y CONTROL
PLANIFICACIÓN DE LA 
GESTIÓN DE RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3232
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3333
Objetivo y Resultado a obtener 
► Objetivo: 
� Cómo serán abordadas y planeadas las 
actividades de riesgos para un proyecto.
► Resultado a obtener:
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3434
� El Plan de Gestión de Riesgos
El Plan de Gestión de riesgos
La empresa debe tener estandarizado el proceso 
para acumular experiencia.
► ¿Qué debería incluir?
� Enfoque, herramientas y fuentes de datos.
� Los roles y las responsabilidades.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3535
� El presupuesto.
� El calendario de manejo de riesgos.
� Métodos de evaluación e interpretación.
� Los criterios de umbrales de riesgos sobre los 
cuales se actúa. 
� Los formatos de Reportes
El Plan de Gestión de Riesgos
► ¿Qué datos tener en cuenta?:
� Los resultados de procesos de identificación 
y evaluación de los riesgos.
� Quién debe ser responsable por manejar las 
distintas áreas de riesgos.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3636
distintas áreas de riesgos.
� Cómo será mantenida la información 
(identificación y evaluación) de los riesgos. 
� Cómo se implementará el plan de 
contingencias.
� Cuánto y cómo se asignarán las reservas al 
presupuesto.
Contenido del Plan de Gestión de 
Riesgos
1. Introducción, Propósito, Alcance.
2. Organización de manejo de riesgos y 
responsabilidades.
3. Relación de riesgos, descripción , probabilidad e 
impactos.
4. Enfoques para tratamiento de los riesgos4. Enfoques para tratamiento de los riesgos
5. Presupuesto y tiempo para respuestas.
6. Planes de Contingencia de riesgos.
7. Enfoque de seguimiento y reporte de riesgos.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3737
IDENTIFICACIÓN DE RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3838
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►3939
La Identificación de Riesgos
El tratar de identificar riesgos es un criterio 
proactivo que busca identificar posibles 
factores de riesgo y tomar medidas de 
aseguramiento o planes de contingencia para aseguramiento o planes de contingencia para 
contrarrestarlos a ellos y a sus efectos.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4040
Objetivo y Resultados a obtener
• Objetivo:
– Determinar qué riesgos pueden afectar al proyecto y 
documentar sus características.
• Resultados a obtener:
– Definición de riesgos
– Disparadores : señales de advertencia – Disparadores : señales de advertencia 
– Retroalimentación de entrada a otros procesos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4141
Cuándo realizar la Identificación de Riesgos
No es un proceso que se debe hacer por una sola vez; 
debe realizarse en forma regular durante toda la vida 
del Proyecto.del Proyecto.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4242
Herramientas y Técnicas
Existe una gran variedad de herramientas que pueden ser utilizados para identificar los 
riesgos involucrados en un proyecto
• Revisiones de Documentación
• Técnicas de Recopilación de Información
– Brainstorming 
– Técnica Delphi 
– Discusiones de grupo, entrevistas y cuestionarios
– Análisis FODA 
• Análisis mediante Check Lists 
– De inspecciones físicas y auditorias anteriores.
• Análisis de asunciones o escenarios
• Técnicas de Diagramación
– Diagramas Causa-Efecto
– Diagramas de Sistemas
– Diagramas de influencias• Experiencia personal de los involucrados en el proyecto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4343
Algunas fuentes de Identificación de Riesgos
• La WBS
• El Acta del proyecto
• La descripción de los productos y servicios
• El cronograma
• Los recursos asignados• Los recursos asignados
• El proceso de estimación de tiempos y costos y el 
presupuesto
• El plan de compras y los procesos asociados
• Las restricciones
• Las suposiciones
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4444
Brainstorming (Torbellino de ideas)
Sirve para extraer información de un amplio grupo de recursos 
construyendo una lista que luego se prioriza
El punto de partida puede ser el WBS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4545
Brainstorming (Torbellino de ideas)
Establecer una PreguntaEtapa IEtapa I
Etapa IIEtapa II
Las ideas fluyen:
► Escuchar
► Anotar las ideas a medida que se van formulando
► Nunca criticar las ideas, todas tienen valor
► Usar las ideas de otros como punto de partida para 
construir las propias
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4646
Etapa IIEtapa II construir las propias
► Suspender la formulación de soluciones hasta 
haber completado el proceso
► No se prioriza en esta etapa
Etapa IIIEtapa III Las ideas se priorizan:
► Se eliminan las repetidas
► Son el resultado del grupo (no hay resultados particulares
► Debata, no domine
► Muy importante el rol del moderador o facilitador
Entrevista con Expertos
Identificar ExpertosIdentificar Expertos
SolicitarSolicitar
opinión eopinión e
Cuantificar laCuantificar la
informacióninformación
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4747
Prepararse para la Prepararse para la 
entrevistaentrevista
opinión eopinión e
informacióninformación
informacióninformación
Técnica de Delphi
Se obtienen opiniones y razones de los Se obtienen opiniones y razones de los 
expertosexpertos
Se reduce la información a declaraciones Se reduce la información a declaraciones 
estándarestándar
Se comparten opiniones y razones con los Se comparten opiniones y razones con los 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4848
Se requiere mayor evaluación y Se requiere mayor evaluación y 
substanciaciónsubstanciación
Se comparten opiniones y razones con los Se comparten opiniones y razones con los 
expertosexpertos
Se obtienen opiniones finales y se Se obtienen opiniones finales y se 
compendian resultadoscompendian resultados
Utilización de taxonomías en la identificación 
de riesgos
El equipo del proyecto puede utilizar las 
clasificaciones o categorías de los riesgos, 
denominadas también taxonomías de riesgos. 
Entre las más conocidas se encuentran las de:Entre las más conocidas se encuentran las de:
» Barry Boehm, 
» Caper Jones
» SEI Software Risk Taxonomy
» Steve Mc.Connell
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►4949
Clasificación de los Riesgos
Una primera clasificación podría ser:
• Riegos Genéricos• Riegos Genéricos
• Riesgos específicos del producto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5050
Clasificación de los Riesgos
– RIESGOS GENÉRICOS : Son todos los riesgos que 
afectan a cualquier proyecto. Cualquier proyecto 
puede presentar este tipo de problemas
– RIESGOS ESPECÍFICOS DEL PRODUCTO: Son riesgos 
asociados a un producto en particular en forma asociados a un producto en particular en forma 
única y específica. Solo son identificables por 
aquellos que tienen una visión clara de la 
tecnología, personal y entorno específico del 
proyecto en cuestión.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5151
Riesgos genéricos
Existen áreas de riesgos potenciales identificados al inicio del 
proyecto, por ejemplo:
• Requerimientos pobremente definidos por el usuario
• Estimaciones pobres o basadas en métricas no confiables
• Suposiciones falsas• Suposiciones falsas
• Entrega tardía de un ítem sobre el que se tiene dependencias
• Elementos de hardware requeridos para desarrollo
• Herramientas inmaduras
• Falta de habilidades y herramientas correctas
• Falta de entrenamiento
• Falta de soporte
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5252
Riesgos genéricos
Hay que tener en cuenta al planear el proyecto influencias 
externas como:
• Dependencia de entregables:
– Entradas desde otros proyectos
– Proveedores externos– Proveedores externos
– Proveedores internos
– Salidas hacia otros proyectos
• Dependencia de recursos:
– Escasez de futuros recursos
– Demanda de futuros recursos
– Impactos desde y a otros proyectos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5353
Estructura de Desglose de Riesgos (PMI)
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5454
Los 9 procesos del PMI
Integración
Alcance
Tiempos
Variables del ciclo de vida y 
ambientales
Expectativas. Factibilidad
Objetivos de Tiempo. 
Restricciones
Objetivos de Costos. 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5555
Costos
Calidad
RRHH
Comunicaciones
Gestión de Riesgos 
del Proyecto
Adquisiciones
Requerimientos. Estándares
Transferencia precisa de 
información
Disponibilidad. 
Productividad
Objetivos de Costos. 
Restricciones
Servicios. Materiales, 
performance
ANÁLISIS CUALITATIVO
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5656
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5757
Objetivo y Resultado a Obtener
• Objetivo: 
– Realizar un análisis cualitativo y condiciones de los riesgos 
para priorizar sus efectos sobre los objetivos del proyecto.
• Resultado a Obtener:
Actualizar el registro de riesgos realizado en la etapa de Actualizar el registro de riesgos realizado en la etapa de 
identificación de riesgos con:
– Lista priorizada de riesgos en función del impacto y 
probabilidad estimados
– Riesgos agrupados en categorías
– Causas de riesgos o áreas de proyecto que requieran mayor 
atención
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5858
Efectos
Casi cualquier riesgo puede tener los siguientes efectos:
• Costos-Los costos del proyecto pueden crecer.
• Cronograma-Obtener los entregables del proyecto 
tardíamente.tardíamente.
• Funcionalidad-El nivel de desempeño o la capacidad 
prevista por los entregables del proyecto sea reducida.
• Calidad-El nivel de excelencia de los entregables sea 
reducido.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►5959
Análisis cualitativo del Impacto
Se propone una escala de cinco niveles (balance 
entre una escala de poca discriminación y 
demasiado grande)
1-Muy bajo.
2-Bajo.
3-Medio.
4-Alto.
5-Muy alto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6060
Evaluación del Impacto de Riesgo en 
los Objetivos del Proyecto (PMI)
Objetivo del 
Proyecto
Muy Bajo Bajo Medio Alto Muy Alto
Costos Incremento 
insignificante
Incremento < 
5%
Incremento 
entre 5 y 
10%
Incremento 
entre 10 y 
20%
Incremento > 
20%
Cronograma Incremento 
insignificante
Retraso 
global < 5%
Retraso 
global entre 5 
y 10%
Retraso 
global entre 
10 y 20%
Retraso global 
> 20%
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6161
y 10% 10 y 20%
Alcance Reducción 
escasamente 
apreciable
Areas 
menores de 
alcance 
afectadas
Areas 
mayores de 
alcance 
afectadas
Reducción de 
alcance 
inaceptable a 
la empresa
Fin del 
proyecto. El 
producto es 
inutilizable
Calidad Degradación 
escasamente 
apreciable
Solo 
aplicaciones 
muy 
exigentes se 
afectan
Reduccion de 
calidad que 
requiereaprobación
Reducción de 
calidad 
inaceptable a 
la empresa
Fin del 
proyecto. El 
producto es 
efectivamente 
inutilizable
Probabilidad
La extensión a la cual el riesgo es posible que 
ocurra.
• También se define en escala 
– 1 = muy improbable (< 3%),– 1 = muy improbable (< 3%),
– 2 = poco probable (< 10%), 
– 3 = probable (< 30%), 
– 4 = altamente probable (<60%), 
– 5 = casi cierto (>60%)
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6262
Cómo medir la probabilidad de 
ocurrencia de un riesgo
La posibilidad de un evento frecuentemente depende no sólo 
de la estadística sino también de la intervención humana: 
• Probabilidad de ocurrencia: la probabilidad que ocurra si no 
tomamos ninguna acción y 
• Dificultad de intervención: el nivel de dificultad que 
experimentaríamos en prevenir que ocurra el riesgo.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6363
Escalas de Probabilidad de Ocurrencia y 
Dificultad de Intervención
Nive
l
Probabilidad de
Ocurrencia
Dificultad de Intervención
1 Me sorprende si ocurre Seguir los procesos normales de administración
fácilmente permiten un resultado aceptable
2 Más probable que no
ocurra a que si ocurra
Un cuidadoso seguimiento de los procesos de
administración probablemente darán un
resultado aceptable
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6464
resultado aceptable
3 Tan probable que ocurra
como que no ocurra
Se requieren esfuerzos y tiempos adicionales
para obtener un resultado aceptable
4 Más probable que ocurra
a que no ocurra
Los recursos y autoridad son solo suficientes
para permitir un efecto menor en el resultado
5 Me sorprendería si no
ocurriese
La habilidad para afectar el resultado es cero.
Matriz de Probabilidad e impacto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6565
Lista Priorizada de Riesgos
Id.WBSId.WBS CategoríaCategoría RiesgoRiesgo ProbabiliProbabili
daddad
ImpactoImpacto SeveridadSeveridad
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6666
Ley de WILFREDO PARETO
Para un proyecto grande se pueden identificar hasta unos 40
riesgos. El Plan de gestión de riesgo, entonces, puede convertirse 
en un proyecto en sí mismo. 
Por este motivo, adaptamos la regla de Pareto 80-20 al riesgo del 
software. software. 
La experiencia dice que el 80 por ciento del riesgo total de un
proyecto se debe solamente al 20 por ciento de los riesgos 
identificados. 
La lista Priorizada de riesgos ayudará al jefe de proyecto a 
determinar qué riesgos pertenecen a ese 20 por ciento. 
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6767
ANÁLISIS CUANTITATIVO
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6868
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►6969
Objetivo y Resultados a Obtener
• Objetivo: 
– Medir la probabilidad y consecuencias de riesgos y 
estimar sus implicaciones para los objetivos del 
proyecto.proyecto.
• Resultados a Obtener:
– Análisis probabilístico del proyecto.
– Probabilidad de alcanzar los objetivos de tiempo y 
costos.
– Lista priorizada de riesgos cuantificada.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7070
Herramientas y Técnicas
• Técnicas de Recopilación y Representación de Datos:
– Entrevistas
– Distribuciones de Probabilidad
• Técnicas de Análisis Cuantitativo y Modelado:
– Análisis de sensibilidad– Análisis de sensibilidad
– Análisis del Valor Comercial Esperado (Árboles de decisión)
– Modelado y Simulación
• Juicio de expertos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7171
Herramientas y Técnicas para…
• Determinar la probabilidad de alcanzar un objetivo 
del proyecto.
• Cuantificar la exposición al riesgo para el proyecto y 
determinar el valor de reservas de contingencias de determinar el valor de reservas de contingencias de 
costo y cronograma que puedan ser necesarias.
• Identificar los riesgos que requieren mayor atención 
cuantificando su relativa contribución al riesgo del 
proyecto.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7272
Riesgo de Programación de Tiempos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7373
Simulación de MonteCarlo
• La simulación es un método matemático que aplicado al 
cronograma explora todas las combinaciones de eventos 
ciertos e inciertos de duración de las actividades. 
• Las duraciones se escogen al azar de funciones de distribución 
probabilística de entrada. 
• El proyecto es entonces recalculado • El proyecto es entonces recalculado 
• Se recalculan las fechas de terminación muchas veces
• Se elabora una distribución de fechas de completitud
• La curva de probabilidad acumulada otorga los resultados.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7474
Resultados de la Simulación
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7575
Resultados de la Simulación
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7676
Árboles de Decisión
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7777
PLANIFICACIÓN DE LAS RESPUESTAS A LOS 
RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7878
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►7979
Objetivo y Resultados a Obtener
• Objetivo: 
– Desarrollar opciones y determinar acciones que 
reduzcan las amenazas y aumenten las 
oportunidades para lograr los objetivos del oportunidades para lograr los objetivos del 
proyecto.
• Resultados a Obtener:
– Plan de Respuestas a Riesgos.
– Determinación de reservas de contingencia.
– Riesgos Residuales y secundarios.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8080
Plan de Respuestas
• Incluye la identificación y asignación de personas o grupos 
responsables por las respuestas a cada riesgo.
• El plan de respuestas debe ser :
– Apropiado a la severidad en cada riesgo.– Apropiado a la severidad en cada riesgo.
– Efectivo en costos.
– Oportuno para ser exitoso.
– Realista en el contexto del proyecto.
– Acordado por las partes involucradas.
– Asignado a la persona responsable por ejecutar la respuesta.
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8181
Estrategia de Respuestas a 
Riesgos Negativos
• Evitar: No lo acepto de esa forma
• Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la 
gestión del mismo, soy consciente de que no puedo eliminar 
todo el riesgo (Subcontratar, Asegurar)
• Mitigar: Estoy consciente del riesgo y haré lo posible para 
minimizar su ocurrencia (probabilidad) y consecuencias 
(impacto)(impacto)
• Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar 
las consecuencias de su posible ocurrencia
• Contingencia: Tendré respuestas preparadas por si ocurre el 
evento (necesidad de señales tempranas de advertencia)
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8282
Plan de Respuestas a 
Riesgos Negativos
Riesgo Nro.
Desarrollo de Estrategias de respuesta a amenazas
Evitar
Aceptar 
Contingencia 
o Reserva
Mitigación
TransferirMinimizar 
Probabilidad
Minimizar 
Impacto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8383
Probabilidad Impacto
Estrategia
Ventajas
Desventajas
Estrategia de Respuestas a 
Riesgos Positivos
• Explotar: Haré lo posible para asegurarme que la oportunidad 
sea una realidad
• Compart¡r: Estoy dispuesto a transferir a un tercero que está 
mejor capacitado para capturar la oportunidad 
• Mejorar: Hará lo posible por maximizar su ocurrencia(probabilidad) y consecuencias (impacto)
• Aceptar: Estoy dispuesto a aceptar las consecuencias de su 
posible ocurrencia
• Contingencia: Tendré respuestas preparadas por si ocurre el 
evento (necesidad de señales tempranas de advertencia)
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8484
Plan de Respuestas a 
Riesgos Positivos
Riesgo Nro.
Desarrollo de Estrategias de respuesta a Oportunidades
Explotar Aceptar 
Mejorar
CompartirMaximizar 
Probabilidad
Maximizar 
Impacto
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8585
Probabilidad Impacto
Estrategia
Ventajas
Desventajas
COSTO DE LA GESTION DE RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8686
Seleccionar la mejor opción
Implementar medidas de reducción
Usar Juicio
Antieconómico
Nivel Total de 
Riesgos
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8787
Costo de 
Gestión
Antieconómico
Reservas Gerenciales y de 
Contingencia
Precio total del contrato
Presupuesto total del Proyecto Honorarios o Ganancias
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8888
Presupuesto de realización del proyecto Presupuesto de Reservas
Costo del Proyecto
Costo de respuesta a riesgos
Reservas Gerenciales
Reservas de Contingencias
Costo seguroCosto seguro Costo probableCosto probable
SEGUIMIENTO Y CONTROL 
DE RIESGOS
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►8989
Entradas/Herramientas/Salidas
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►9090
Objetivo y Resultado a Obtener
Objetivo: 
• Definir un enfoque de seguimiento para monitorear los riesgos durante el 
desempeño del proyecto.
Resultados a Obtener:Resultados a Obtener:
• Documentación de los resultados de las actividades del plan de gestión de 
riesgos
– Riesgos con probabilidad moderada a alta
• Continuar con el plan de EVITAR Y MITIGAR.
– Riesgos que se hayan materializado
• Iniciar el PLAN DE CONTINGENCIAS
– Riesgos que se hayan evitado.
• Retirar de plan (pero documentar).
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►9191
Procedimiento
• Ejecutar el Plan de Gestión de Riesgos como parte del 
plan de dirección de proyectos 
– Riesgos con probabilidad moderada a alta: Continuar con el 
plan de EVITAR Y MITIGAR.
– Riesgos que se hayan materializado: Iniciar el PLAN DE 
CONTINGENCIAS
– Riesgos que se hayan evitado: Retirar de plan (pero – Riesgos que se hayan evitado: Retirar de plan (pero 
documentar).
• Ejecutar las estrategias de respuesta a medida que los 
riesgos ocurran
• Evaluar los resultados 
• Documentar
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►9292
Evaluación de Resultados
• Evaluar el estado del proyecto en general
• Re-evaluar riesgos
– Probabilidad/Impacto/Eventos reales
• Re-evaluar estrategias de respuesta• Re-evaluar estrategias de respuesta
– Éxitos y fracasos/Eventos/Riesgos re-evaluados
– Realizar arreglos al plan a medida que sea necesario
– Comunicar cambios y estado
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►9393
Documentación de Resultados
• La documentación de resultados de la Gestión de Riesgos es un proceso 
continuo
• Esta documentación
– Provee una vinculación con el inicio del proyecto
– Provee un resumen de lecciones aprendidas
– Funciona como un mecanismo de comunicación– Funciona como un mecanismo de comunicación
• La documentación debe ser:
– Actualizada
– Precisa y completa
– Tan simple como sea posible
• Usar sentido común cuando se documenta
• Propagar la documentación
►►Julio de 2010Julio de 2010 ►►Lic Fabiana María RivaLic Fabiana María Riva ►►9494