Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Registro de Riesgos Nro. De Ref. Descripción del problema Riesgo Causas Raíz Fecha de Identificación Tipo de Riesgo Categoría de Riesgo Objetivo de proyecto afectado Tipo de Impacto Probabilidad Valoración de Impacto Probabilidad por Impacto Valoración Global del Riesgo Prioridad Dueño (Owner) Responsable Plan de Respuesta predeterminado Estrategia de Respuesta adaptada Plan de Respuesta adaptado Riesgo Residual (Secundario) ¿Riesgo Activado? Fecha de Activación Amenaza Oportunidad Alcance Tiempo Costo Calidad Directo Indirecto Alcance Tiempo Costo Calidad Alcance Tiempo Costo Calidad R_01 Cualquier tipo de daño físico que afecta al rendimiento del servidor Daño del hardware del servidor Mala ubicación del hardware, falta de protección del equipo 12/11/22 X Tecnología X X 0.05 0.05 0.05 0.05 0.5 0.0025 0 0 0.025 0.00275 Baja Gerencia de operación Responsable de operaciones Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible. Evitar Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades. Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa. - - R_02 Cualquier error lógico que niegue el acceso a la información a pesar de cumplir los requisitos correctamente Denegación al servicio Falta de protocolos de seguridad 12/11/22 X Tecnología X X 0.1 0.05 0.05 0 0.3 0.005 0.005 0 0.03 0.0075 Baja Gerencia de desarrollo Equipo de desarrollo Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible. Evitar Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades. Saturación de los recursos que este puede procesar, y que el servidor se vea en la necesidad de suspender la provisión del servicio - - R_03 Cuando se solicita una acción a la página y esta tarde demasiado en cumplir con su función Proceso de tareas lento Falta de mantenimiento del equipo, falta de optimización del sistema 12/11/22 X Tecnología X X X 0.25 0.05 0.05 0.05 0.2 0.0125 0.0125 0.0125 0.05 0.01625 Baja Gerencia de desarrollo Equipo de desarrollo Mantener una constante actualización del software, tomando en cuenta que las versiones más actuales presentan mayor número de fallos a las anteriores. También se debe contar con licencias software para producción. Aceptar Optar por la opción de software en la nube, ya que esta opción es la más apropiada para temas de auditoría, además contrarresta el uso de software no licenciado y cuenta con la opción de versiones offline, en caso de que existan fallos en el servicio. Fallos de poco impacto en el servidor, por parte de proveedor de Internet, debido a que se tratan de versiones en línea. - - R_04 Cuando se quema alguna parte del servidor que pueda dañar la calidad y el funcionamiento del servidor Daños eléctricos en los dispositivos por variación de voltaje Falta de No-Break y conexiones seguras 12/11/22 X Tecnología X X X 0.2 0 0.05 0.2 0 0 0.01 0.04 0 0.008 Baja Gerencia de operación Responsable de operaciones Realizar un presupuesto asignado para poder cubrir esta falta de equipo y que el equipo cumpla con todos los requerimientos necesarios Evitar Supervisar el inventario para poder ver si se ha adquirido el nuevo equipo y poder observar si se necesita asignar más presupuesto para más equipo o para alguna reparación de los equipos. Puede suceder que no se tenga presupuesto para la adquisición de nuevo equipo y se tenga que esperar un tiempo. - - R_05 Tienes en ajustes al servidor los cuales sí implementaron de manera errónea denegando el acceso a información que antes funcionaba correctamente Cambio de configuración lógica del dispositivo, denegando el servicio que presta Mal control de versiones 12/11/22 X Tecnología X X 0.2 0 0.1 0.05 0.1 0 0.02 0.01 0.02 0.018 Baja Gerencia de operación Equipo de desarrollo Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible. Evitar Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades. Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa. - - R_06 Descarga o no hay energía eléctrica para el funcionamiento del servidor lo que desencadenaría que no funcione la página No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo Mala ubicación de servidores, falta de fuene de energía secundaria 12/11/22 X Proveedores X X 0.25 0 0.2 0.05 0 0 0.05 0.0125 0 0.04 Baja Gerencia de operación Responsable de operaciones Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible. Transferir Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades. Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa. - - R_07 A causa del tiempo y del uso de los componentes del servidor se han ido dañando Deterioro del hardware del servidor Falta de mantenimiento del equipo, administración para actualización de equipo 12/11/22 X Tecnología X X 0.4 0 0 0.5 0 0 0 0.2 0 0 Baja Gerencia Administrativa Responsableadministrativo Realizar mantenimiento preventivo periódicamente, así como mantener inventariado el equipo de trabajo: servidores, pc's, rack, etc. Mitigar Atender la falla de forma inmediata; en caso de no poder repararse, invertir en equipos nuevos para mantener la funcionalidad de la empresa Desencadenar otros fallos, a nivel lógico incluso, o malfuncionamiento completo al realizar la reparación - - R_08 El servidor es hackeado para conseguir información de la página web Hackeo del servidor Falta de controles de acceso y seguridad 12/11/22 X Tecnología X X X 0.1 0.2 0.1 0.05 0.15 0.02 0.01 0.005 0.015 0.0115 Baja Gerencia de desarrollo Responsable de TI Preparación, contar con un mapa adecuado de la red y conocimiento de la infraestructura, definir las personas a contratacar. Identificar el ataque, determinar el alcance. Contención, trabajar sobre los dispositivos de red, para lograr que el tráfico malicioso no afecte el funcionamiento del servicio. Evitar Realizar los pasos especificados para este tipo de contingencia: Preparación, Identificación, Etapa de Contención, Remediación, Recuperación, Documentación Saturación de los recursos que este puede procesar, y que el servidor se vea en la necesidad de suspender la provisión del servicio - - R_09 Cuando se eliminan campos de la base de datos que contienen información que no debía ser eliminada Pérdida de información Errores de desarrolladores, mal manejo del sistema 12/11/22 X Tecnología X X 0.2 0.15 0.35 0.05 0.2 0.03 0.07 0.01 0.04 0.063 Baja Gerencia de desarrollo Responsable de TI Generar respaldo de la base de datos periódicamente, y mantenerlo en un servicio de la nube que tiene la misma empresa, así como tener un control de accesos para evitar que otros empleados manejen la información Evitar Revisar que porcentaje de a base de datos fue borrada, y con base en ello, comenzar la restauración de la misma, Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla - - R_10 Se destruye información de la base de datos Destrucción de la información Falta de capacitación del personal, mal manejo del sistema 12/11/22 X Tecnología X X 0.25 0.2 0.35 0.1 0.2 0.05 0.0875 0.025 0.05 0.08 Baja Gerencia de desarrollo Responsable de TI Generar respaldo de la base de datos periódicamente, y mantenerlo en un servicio de la nube que tiene la misma empresa, así como tener un control de accesos para evitar que otros empleados manejen la información Evitar Revisar que porcentaje de a base de datos fue borrada, y con base en ello, comenzar la restauración de la misma, Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla - - R_11 La información no es completamente verídica Perdida de la integridad de la información Falta de autenticación de la información 12/11/22 X Tecnología X X 0.1 0.2 0 0 0.4 0.02 0 0 0.04 0.006 Baja Gerencia de operación Responsable de operaciones Determinar que información no es verídica y realizar una limpieza de la base de datos. Transferir Revisar que porcentaje de a base de datos fue alterada, y con base en ello, comenzar la restauración de la misma, Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla - - R_12 Cambios no autorizados en información de la base de datos acerca de los usuarios Alteración de la información Falla de accesos al sistema, permisos erroneos en los tipos de usuarios 12/11/22 X Tecnología X X 0.1 0.05 0.1 0 0.15 0.005 0.01 0 0.015 0.01 Baja Gerencia de operación Responsable de operaciones Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes Evitar Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información. Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos. - - R_13 Información sale de la base de datos a manos de otras personas que no están implicadas o no deberían tener esa información Fuga de información Falta de protocolos y politicas de seguridad 12/11/22 X Tecnología X X 0.05 0.1 0 0.1 0 0.005 0 0.005 0 0.0005 Baja Gerencia de operación Responsable de operaciones Realizar una auditoría interna para identificar de donde salío la información. Evitar Disponer de las políticas y añadir en el contrato del personal el uso y acceso a la información. Puede ser necesario capacitar al personal sobre el uso de la información. - - R_14 Información sensible llega a personas interesadas por medios inadecuados Venta de información Falta de capacitación del personal, Mala contratación de personal 12/11/22 X Político X X 0.05 0.3 0 0.3 0.05 0.015 0 0.015 0.0025 0.00175 Baja Gerencia de operación Responsable de operaciones Realizar una auditoría para identificar de donde salío la información. Evitar Disponer de las políticas y añadir en el contrato del personal el uso y acceso a la información. Puede ser necesario capacitar al personal sobre el uso de la información. - - R_15 En caso de que se suspendan actividades el servidor puede ser apagado Suspención de actividades Falta de protocolos para la suspensión de actividades 12/11/22 X Equipo de trabajo X X 0.5 0.1 0.6 0.2 0.15 0.05 0.3 0.1 0.075 0.2525 Baja Gerencia de operación Responsable de operaciones Tener el servidor activo con fuente de energía secundaria en caso de emergencia. Aceptar Disponer de personal en caso de que se requiera una acción mientras se encuentran las actividades suspendidas. Puede ser necesario contratar personal extra. - - R_16 Si la información que se maneja no sé usa correctamente pueden estar en el derecho de levantar una demanda Demandas Falta de capacitación del presonal 12/11/22 X Político X X 0.5 0.3 0.05 0.3 0.3 0.15 0.025 0.15 0.15 0.05 Baja Gerencia Administrativa Responsable administrativo Crear políticas de seguridad donde se especifique el tipo de información que maneja la empresa, así como su clasificación, el tipo de consultas y operaciones asignadas a cada usuario. Evitar Crear un contrato en el que se especifique el tipo de información disponible para que no exista alguna ambigüedad sobre la información que se otorga. Además es conveniente especificarlo en las reglas de negocio de la empresa, para justificar de manera adecuada el uso de dicha información. Puede existir algún tipo de inconveniente por parte de clientes al especificar el acceso a la transparencia. - - R_17 La información es divulgada sin el consentimiento de los usuarios Divulgación ilegal de información Falta de capacitación de personal, falta de terminos y condiciones de servicio 12/11/22 X Político X X 0.15 0.1 0.05 0.15 0.25 0.015 0.0075 0.0225 0.0375 0.01125 Baja Gerencia Administrativa Responsable administrativo Crear políticas de seguridad donde se especifique el tipo de información que maneja la empresa, así como su clasificación, el tipo de consultas y operaciones asignadas a cada usuario. Evitar Crear un contrato en el que se especifique el tipo de información disponible para que no exista alguna ambigüedad sobre la información que se otorga. Además es conveniente especificarloen las reglas de negocio de la empresa, para justificar de manera adecuada el uso de dicha información. Puede existir algún tipo de inconveniente por parte de clientes al especificar el acceso a la transparencia. - - R_18 Usuarios hace pasar por otro Suplantación Usuarios dejan sus cuentas accesibles, hackeo del sistema 12/11/22 X Clientes X X 0.6 0.2 0.1 0.15 0.4 0.12 0.06 0.09 0.24 0.084 Baja Gerencia de operación Responsable de operaciones Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes Evitar Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información. Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos. - - R_19 Se consigue el acceso información que no debería Acceso no autorizado Hackeo del sistema, falta de seguridad del sistema 12/11/22 X Tecnología X X 0.4 0.5 0.2 0.25 0.6 0.2 0.08 0.1 0.24 0.108 Baja Gerencia de operación Responsable de operaciones Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes Evitar Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información. Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos. - - R_20 Copias exactas del proyecto Difusión del software fraudulentamente Falta de licencia para el sistema 12/11/22 X Económico X X X 0.1 0.5 0.05 0.6 0 0.05 0.005 0.06 0 0.009 Baja Gerencia Administrativa Responsable administrativo Identificar la forma en que se generó la copia del proyecto y conocer la forma en cancelar el servicio a las copias fraudulentas. Evitar Disponer de la documentación del proyecto y proceder a realizar las medidas contra las copias fraudulentas. Puede llevar tiempo y costo el encontrar las medidas para la cancelación de estos servicios. - - R_21 Desentendimiento de una o toda la función de la página Poca comprensión del software Interfaz poco intuitiva, diseño complejo del sistema 12/11/22 X Tecnología X X 0.35 0.3 0.1 0 0.5 0.105 0.035 0 0.175 0.056 Baja Gerencia de desarrollo Gerente del proyecto Realizar pruebas para identificar los problemas para la poca comprension del software y realizar nuevamente el análisis de requerimientos Evitar Realizar pruebas de satisfacción de usuario para realizar modificaciones periódicas en el diseño del sistema. Será necesario realizar mantenimiento periódico y añadir encuestas de satisfacción. - - R_22 La plataforma no es eficiente o no cumple con las actividades designadas Pérdida de confiabilidad en el software Falta de mantenimiento al sistema, tiempos cortos de desarrollo 12/11/22 X Clientes X X 0.15 0.5 0.1 0.3 0.4 0.075 0.015 0.045 0.06 0.0255 Baja Gerencia de desarrollo Equipo de desarrollo Identificar los requerimientos que no se cumplieron y corregirlos en el sistema. Mitigar Disponer de la documentación para realizar actualizaciones con las acticidades faltantes y optimizaciones de eficiencia. Será necesario un análisis a los requerimientos y una constante actualización y mantenimiento. - - R_23 Un virus ataca al servidor y puede esparcirse a otras computadoras o elimina información de la base de datos Virus Vulneración al sistema, falta de capacitación del personal 12/11/22 X Tecnología X X 0.05 0.4 0.6 0.1 0.1 0.02 0.03 0.005 0.005 0.0265 Baja Gerencia de desarrollo Equipo de desarrollo Determinar qué tipo de virus es para poder saber cómo eliminarlo, ya sea de manera rápida solo con algún antivirus escaneando la computadora de no ser así, se necesita un antivirus de buteo o arranque que debe copiarse al disco óptico del equipo el cual debe estar insertado en el equipo al iniciarlo y se debe configurar el BIOS para que se ejecute al encenderlo. Al iniciar el equipo debe de actualizarse el antivirus y escanear la computadora, así como el análisis detallado de la información para tener el conocimiento de si hubo perdida de información. Mitigar Monitorear el funcionamiento del antivirus para determinar su buen funcionamiento o realizar el cambio del mismo para que este pueda proteger de manera eficiente los equipos y realizar una nueva copia de seguridad de toda la información correspondiente. Entorpecimiento de los procesos, perdida de los activos, perdida de información - - R_24 Se de alta un club con evidencias falsas Creación de clubes falsos Falta de autenticación de la información 12/11/22 X Tecnología X X 0.35 0.1 0.05 0 0.5 0.035 0.0175 0 0.175 0.035 Baja Gerencia de operación Responsable de operaciones Determinar que información no es verídica y realizar una limpieza de la base de datos. Transferir Revisar que porcentaje de a base de datos fue alterada, y con base en ello, comenzar la restauración de la misma, Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla - - Instructivo Listado de Riesgos: Instructivo Elaborado por: www.pmoinformatica.com Columna Instrucciones Nro. De Ref. Numeración del riesgo según formato acordado, permite hacer referencia al riesgo por su número. Descripción del problema Describe las causas inmediatas (directas) que dan origen a la incertidumbre asociada con el riesgo. Riesgo Se expresa en términos del objetivo de proyecto que podría verse afectado, que son: Alcance, Cronograma, Costo y Calidad. Por ejemplo: Retraso en el cronograma, Costos mayores a los esperados, Alcance no aceptado por el cliente, fallos de calidad inaceptables, entre otros. Causas Raíz Se documenta con base en la investigación detallada del problema, identificando la causa que dio origen. Para identificar causas raíz se pueden utilizar métodos como la técnica de los 5 porqués que viene de la manufactura esbelta (Lean Manufacturing), ó la determinación de causas y efectos por medio de diagramas (Espina de pescado). Fecha de Identificación La Fecha (en formato dd/mm/aaaa) en que fue identificado el riesgo por primera vez en el proceso de Gestión de Riesgos. Los riesgos deben identificarse en las etapas de inicio y planeación, que debe ser antes que estos ocurran durante la ejecución. Tipo de Riesgo Se marca con una X si el riesgo tiene un efecto adverso sobre el objetivo de proyecto (amenaza) o si tiene un efecto positivo (oportunidad). Categoría de Riesgo Categorías en las que se clasificaran los riesgos, según el catalogo de riesgos definido por la organización, por ejemplo, estos pueden ser: Económicos, Políticos, Clientes, Proveedores, Equipo de trabajo, tecnología, entornos (ambientes), entre otros. Objetivo de proyecto afectado Se marca con una Xel objetivo de proyecto afectado entre las siguientes opciones: Alcance, Tiempo, Costo y Calidad. El efecto puede ser adverso si el riesgo es de tipo amenaza (según columna "Tipo") o puede ser positivo si se trata de un riesgo de tipo "Oportunidad". Tipo de Impacto Se marca con una X si el evento de riesgo tiene impacto "Directo" o "Indirecto" sobre el objetivo de proyecto afectado. Impacto directo se refiere a cuando el efecto es inmediato y directamente vinculado con el evento, mientras que los efectos indirectos pueden manifestarse tardíamente o en otras áreas del proyecto. Probabilidad Se determina de forma cualitativa (con base en juicio experto) estableciendo un valor que va del 0 al 1 o de forma porcentual (0% si no existe probabilidad de ocurrencia a 100% si la probabilidad es máxima). Valoración de Impacto Se valora el impacto del riesgo para cada uno de los siguientes objetivos de proyecto: Alcance, Tiempo, Costo y Calidad. Para cada uno se asigna un valor e una escala del 0 al 1, 0 siendo mínimo impacto y 1 máximo impacto. Este valor se asigna de forma cualitativa, con base en el juicio experto de los participantes en la evaluación de los riesgos. Probabilidad por Impacto Utilizando matrices de probabilidad e impacto se determina la valoración probabilidad e impacto para cada objetivo de proyecto, es decir Alcance, Tiempo, Costo y Calidad. La Matriz de probabilidad e impacto no está incluida en otra plantilla. Una alternativa frente a la matriz de probabilidad e impacto es realizar la multiplicación de la probabilidad por el impacto en cada objetivo. En esta plantilla, la formula está registrada de esta forma. Valoración Global del Riesgo Se calcula a partir de las valoraciones de Probabilidad por Impacto de cada objetivo de Proyecto, aplicando una ponderación que se basa en que objetivo es más importante para cada proyecto. En esta plantilla, el cálculo de la valoración global posee una fórmula que puede parametrizarse en la hoja "Parámetros". Una vez valorados, puede ordenarse del mayor a menor para establecer las prioridades. Asimismo, puede establecerse un umbral para riesgos que no requerirán acción y registrarlos en la lista de observación. Prioridad El nivel de prioridad puede asignarse a partir de la valoración global, utilizando umbrales para asignarles prioridad Alta, Media y Baja. Por ejemplo, riesgos con más de 0,4 de valoración podrían tener prioridad alta. En la plantilla el cálculo de la Prioridad esta asociado a una formula a partir de la valoración global, y los umbrales pueden ser configurados en la hoja "parámetros". Dueño (Owner) Persona o grupo gerencial que es responsable de asegurar que la probabilidad de ocurrencia e impactos sean minimizados, si se trata de amenazas, o maximizarlos, si se trata de oportunidad. Responsable Persona o grupo gerencia que por lo general puede ser el mismo dueño (owner), sin embargo, el dueño puede delegar esta tarea en otro responsable. Por ejemplo si un ejecutivo (Vicepresidente) es el dueño de un riesgo, este puede delegar la responsabilidad en uno de sus grupos gerenciales. Plan de Respuesta predeterminado Esta plantilla puede ser usada por una Gerencia de Gestión de Riesgos para definir un catalogo de Riesgos predeterminados, para distribuirlo a todos los equipos de proyecto. La columna se utiliza para definir un Plan de Respuesta Predeterminado o Recomendado. El equipo de Proyecto entonces decidirá cuales riesgos incluidos en el catalogo existen en su proyecto, utilizando las columnas "Estrategia de Respuesta" y "Plan de Respuestas adaptado" (descritas a continuación), en caso que el Plan Recomendado requiera adaptación a la situación especifica. Estrategia de Respuesta adaptada Indicar la estrategia del Plan de respuesta, según las siguientes opciones: - Para las amenazas: Evitar, Mitigar, Transferir o Aceptar. - Para las oportunidades: Explotar, Mejorar, Compartir o Aceptar. Plan de Respuesta adaptado Descripción de las acciones a tomar según la estrategia de respuesta seleccionada. Los planes de respuesta pueden implicar cambios en los procedimientos de trabajo, planificación de proyecto e inclusive decisiones de subcontratación con otros proveedores (en el caso de Transferir o Compartir). Si la estrategia seleccionada fue aceptar, el plan de respuesta se convierte en un plan de contingencia. En todos los casos deben evaluarse los riesgos residuales que permanecen después de la implementación de la respuesta. Riesgo Residual (Secundario) En los casos que se toman acciones de mitigación o transferencia de un riesgo u oportunidad, pueden surgir riesgos secundarios de esta forma de hacer el trabajo. Estos riesgos también deben ser evaluados o valorados y agregados al listado de riesgo en sus propios renglones. Utilice columna para hacer referencia (usando número de referencia) a estos riesgos en el mismo listado. ¿Riesgo Activado? Se marca con una X si el riesgo anticipado en la etapa de inicio y planeación ha ocurrido durante el proyecto. Esto aplica sólo para los riesgos no mitigados, durante la fase de planeación. Fecha de Activación La Fecha (en formato dd/mm/aaaa) en que un riesgo previamente identificado desencadeno en un evento. Si se aplicó una adecuada gestión de riesgos del proyecto, la fecha de activación debería ser mucho después que la fecha de identificación. Parámetros Listado de Riesgos: Parámetros de Valoración Global y Prioridad Elaborado por: www.pmoinformatica.com Columna Parámetro Valor Valoración Global del Riesgo Ponderación Alcance 0.1 Ponderación Tiempo 0.8 Ponderación Costo 0 Ponderación Calidad 0.1 Prioridad Umbral Prioridad Baja 0 Umbral Prioridad Media 0.4 Umbral Prioridad Alta 0.7
Compartir