Plantilla Registro de Riesgos del Proyecto v201210

Vista previa del material en texto

Registro de Riesgos
	Nro. De Ref.	Descripción del problema	Riesgo	Causas Raíz	Fecha de Identificación	Tipo de Riesgo		Categoría de Riesgo	Objetivo de proyecto afectado				Tipo de Impacto		Probabilidad	Valoración de Impacto				Probabilidad por Impacto				Valoración Global del Riesgo	Prioridad	Dueño (Owner)	Responsable	Plan de Respuesta predeterminado	Estrategia de Respuesta adaptada	Plan de Respuesta adaptado	Riesgo Residual (Secundario)	¿Riesgo Activado?	Fecha de Activación
						Amenaza	Oportunidad		Alcance	Tiempo	Costo	Calidad	Directo	Indirecto		Alcance	Tiempo	Costo	Calidad	Alcance	Tiempo	Costo	Calidad
	R_01	Cualquier tipo de daño físico que afecta al rendimiento del servidor	Daño del hardware del servidor	Mala ubicación del hardware, falta de protección del equipo	12/11/22	X		Tecnología				X	X		0.05	0.05	0.05	0.05	0.5	0.0025	0	0	0.025	0.00275	Baja	Gerencia de operación	Responsable de operaciones	Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible.	Evitar	Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades.	Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa.	-	-
	R_02	Cualquier error lógico que niegue el acceso a la información a pesar de cumplir los requisitos correctamente	Denegación al servicio	Falta de protocolos de seguridad	12/11/22	X		Tecnología				X	X		0.1	0.05	0.05	0	0.3	0.005	0.005	0	0.03	0.0075	Baja	Gerencia de desarrollo	Equipo de desarrollo	Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible.	Evitar	Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades.	Saturación de los recursos que este puede procesar, y que el servidor se vea en la necesidad de suspender la provisión del servicio	-	-
	R_03	Cuando se solicita una acción a la página y esta tarde demasiado en cumplir con su función	Proceso de tareas lento	Falta de mantenimiento del equipo, falta de optimización del sistema	12/11/22	X		Tecnología		X		X		X	0.25	0.05	0.05	0.05	0.2	0.0125	0.0125	0.0125	0.05	0.01625	Baja	Gerencia de desarrollo	Equipo de desarrollo	Mantener una constante actualización del software, tomando en cuenta que las versiones más actuales presentan mayor número de fallos a las anteriores. También se debe contar con licencias software para producción.	Aceptar	Optar por la opción de software en la nube, ya que esta opción es la más apropiada para temas de auditoría, además contrarresta el uso de software no licenciado y cuenta con la opción de versiones offline, en caso de que existan fallos en el servicio.	Fallos de poco impacto en el servidor, por parte de proveedor de Internet, debido a que se tratan de versiones en línea.	-	-
	R_04	Cuando se quema alguna parte del servidor que pueda dañar la calidad y el funcionamiento del servidor	Daños eléctricos en los dispositivos por variación de voltaje	Falta de No-Break y conexiones seguras	12/11/22	X		Tecnología			X	X	X		0.2	0	0.05	0.2	0	0	0.01	0.04	0	0.008	Baja	Gerencia de operación	Responsable de operaciones	Realizar un presupuesto asignado para poder cubrir esta falta de equipo y que el equipo cumpla con todos los requerimientos necesarios	Evitar	Supervisar el inventario para poder ver si se ha adquirido el nuevo equipo y poder observar si se necesita asignar más presupuesto para más equipo o para alguna reparación de los equipos.	Puede suceder que no se tenga presupuesto para la adquisición de nuevo equipo y se tenga que esperar un tiempo.	-	-
	R_05	Tienes en ajustes al servidor los cuales sí implementaron de manera errónea denegando el acceso a información que antes funcionaba correctamente	Cambio de configuración lógica del dispositivo, denegando el servicio que presta	Mal control de versiones	12/11/22	X		Tecnología				X	X		0.2	0	0.1	0.05	0.1	0	0.02	0.01	0.02	0.018	Baja	Gerencia de operación	Equipo de desarrollo	Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible.	Evitar	Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades.	Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa.	-	-
	R_06	Descarga o no hay energía eléctrica para el funcionamiento del servidor lo que desencadenaría que no funcione la página	No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo	Mala ubicación de servidores, falta de fuene de energía secundaria	12/11/22	X		Proveedores		X			X		0.25	0	0.2	0.05	0	0	0.05	0.0125	0	0.04	Baja	Gerencia de operación	Responsable de operaciones	Establecer el tiempo objetivo de recuperación, sin perder de vista que este tiempo se asocia al impacto de la interrupción del proceso en el negocio. Tratar de que los procesos principales sean los primeros en ser reestablecidos para poder empezar a reestablecer los subprocesos y así sucesivamente para reanudar actividades dentro de la empresa lo más rápido posible.	Transferir	Disponer o hacer un mapa de los procesos de la empresa o de la unidad de negocios, estableciendo claramente los procesos estratégicos, Visiónales y de soporte, de acuerdo con la forma como la empresa los clasifique y una descripción de ellos para entender su objetivo, el dueño, los entes de externos relacionados al nivel mínimo aceptable de entrega de servicios, los procesos relacionados dependientes, los subprocesos, las tareas y actividades.	Entorpecimiento de los procesos al inicio una vez reanudados los mismos, posiblemente perdidas económicas puesto que no se realiza ningún proceso, se pierde tiempo de trabajo dentro de la empresa.	-	-
	R_07	A causa del tiempo y del uso de los componentes del servidor se han ido dañando	Deterioro del hardware del servidor	Falta de mantenimiento del equipo, administración para actualización de equipo	12/11/22	X		Tecnología				X		X	0.4	0	0	0.5	0	0	0	0.2	0	0	Baja	Gerencia Administrativa	Responsableadministrativo	Realizar mantenimiento preventivo periódicamente, así como mantener inventariado el equipo de trabajo: servidores, pc's, rack, etc.	Mitigar	Atender la falla de forma inmediata; en caso de no poder repararse, invertir en equipos nuevos para mantener la funcionalidad de la empresa	Desencadenar otros fallos, a nivel lógico incluso, o malfuncionamiento completo al realizar la reparación	-	-
	R_08	El servidor es hackeado para conseguir información de la página web	Hackeo del servidor	Falta de controles de acceso y seguridad	12/11/22	X		Tecnología	X			X	X		0.1	0.2	0.1	0.05	0.15	0.02	0.01	0.005	0.015	0.0115	Baja	Gerencia de desarrollo	Responsable de TI	Preparación, contar con un mapa adecuado de la red y conocimiento de la infraestructura, definir las personas a contratacar. Identificar el ataque, determinar el alcance. Contención, trabajar sobre los dispositivos de red, para lograr que el tráfico malicioso no afecte el funcionamiento del servicio.	Evitar	Realizar los pasos especificados para este tipo de contingencia: Preparación, Identificación, Etapa de Contención, Remediación, Recuperación, Documentación	Saturación de los recursos que este puede procesar, y que el servidor se vea en la necesidad de suspender la provisión del servicio	-	-
	R_09	Cuando se eliminan campos de la base de datos que contienen información que no debía ser eliminada	Pérdida de información	Errores de desarrolladores, mal manejo del sistema	12/11/22	X		Tecnología				X		X	0.2	0.15	0.35	0.05	0.2	0.03	0.07	0.01	0.04	0.063	Baja	Gerencia de desarrollo	Responsable de TI	Generar respaldo de la base de datos periódicamente, y mantenerlo en un servicio de la nube que tiene la misma empresa, así como tener un control de accesos para evitar que otros empleados manejen la información	Evitar	Revisar que porcentaje de a base de datos fue borrada, y con base en ello, comenzar la restauración de la misma,	Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla	-	-
	R_10	Se destruye información de la base de datos 	Destrucción de la información	Falta de capacitación del personal, mal manejo del sistema	12/11/22	X		Tecnología				X	X		0.25	0.2	0.35	0.1	0.2	0.05	0.0875	0.025	0.05	0.08	Baja	Gerencia de desarrollo	Responsable de TI	Generar respaldo de la base de datos periódicamente, y mantenerlo en un servicio de la nube que tiene la misma empresa, así como tener un control de accesos para evitar que otros empleados manejen la información	Evitar	Revisar que porcentaje de a base de datos fue borrada, y con base en ello, comenzar la restauración de la misma,	Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla	-	-
	R_11	La información no es completamente verídica	Perdida de la integridad de la información	Falta de autenticación de la información	12/11/22	X		Tecnología				X		X	0.1	0.2	0	0	0.4	0.02	0	0	0.04	0.006	Baja	Gerencia de operación	Responsable de operaciones	Determinar que información no es verídica y realizar una limpieza de la base de datos.	Transferir	Revisar que porcentaje de a base de datos fue alterada, y con base en ello, comenzar la restauración de la misma,	Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla	-	-
	R_12	Cambios no autorizados en información de la base de datos acerca de los usuarios	Alteración de la información	Falla de accesos al sistema, permisos erroneos en los tipos de usuarios	12/11/22	X		Tecnología				X		X	0.1	0.05	0.1	0	0.15	0.005	0.01	0	0.015	0.01	Baja	Gerencia de operación	Responsable de operaciones	Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes	Evitar	Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información.	Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos.	-	-
	R_13	Información sale de la base de datos a manos de otras personas que no están implicadas o no deberían tener esa información	Fuga de información	Falta de protocolos y politicas de seguridad	12/11/22	X		Tecnología				X		X	0.05	0.1	0	0.1	0	0.005	0	0.005	0	0.0005	Baja	Gerencia de operación	Responsable de operaciones	Realizar una auditoría interna para identificar de donde salío la información.	Evitar	Disponer de las políticas y añadir en el contrato del personal el uso y acceso a la información.	Puede ser necesario capacitar al personal sobre el uso de la información.	-	-
	R_14	Información sensible llega a personas interesadas por medios inadecuados	Venta de información	Falta de capacitación del personal, Mala contratación de personal	12/11/22	X		Político				X		X	0.05	0.3	0	0.3	0.05	0.015	0	0.015	0.0025	0.00175	Baja	Gerencia de operación	Responsable de operaciones	Realizar una auditoría para identificar de donde salío la información.	Evitar	Disponer de las políticas y añadir en el contrato del personal el uso y acceso a la información.	Puede ser necesario capacitar al personal sobre el uso de la información.	-	-
	R_15	En caso de que se suspendan actividades el servidor puede ser apagado	Suspención de actividades	Falta de protocolos para la suspensión de actividades	12/11/22	X		Equipo de trabajo		X				X	0.5	0.1	0.6	0.2	0.15	0.05	0.3	0.1	0.075	0.2525	Baja	Gerencia de operación	Responsable de operaciones	Tener el servidor activo con fuente de energía secundaria en caso de emergencia.	Aceptar	Disponer de personal en caso de que se requiera una acción mientras se encuentran las actividades suspendidas.	Puede ser necesario contratar personal extra.	-	-
	R_16	Si la información que se maneja no sé usa correctamente pueden estar en el derecho de levantar una demanda	Demandas	Falta de capacitación del presonal	12/11/22	X		Político			X			X	0.5	0.3	0.05	0.3	0.3	0.15	0.025	0.15	0.15	0.05	Baja	Gerencia Administrativa	Responsable administrativo	Crear políticas de seguridad donde se especifique el tipo de información que maneja la empresa, así como su clasificación, el tipo de consultas y operaciones asignadas a cada usuario.	Evitar	Crear un contrato en el que se especifique el tipo de información disponible para que no exista alguna ambigüedad sobre la información que se otorga. Además es conveniente especificarlo en las reglas de negocio de la empresa, para justificar de manera adecuada el uso de dicha información. 	Puede existir algún tipo de inconveniente por parte de clientes al especificar el acceso a la transparencia.	-	-
	R_17	La información es divulgada sin el consentimiento de los usuarios	Divulgación ilegal de información	Falta de capacitación de personal, falta de terminos y condiciones de servicio	12/11/22	X		Político				X		X	0.15	0.1	0.05	0.15	0.25	0.015	0.0075	0.0225	0.0375	0.01125	Baja	Gerencia Administrativa	Responsable administrativo	Crear políticas de seguridad donde se especifique el tipo de información que maneja la empresa, así como su clasificación, el tipo de consultas y operaciones asignadas a cada usuario.	Evitar	Crear un contrato en el que se especifique el tipo de información disponible para que no exista alguna ambigüedad sobre la información que se otorga. Además es conveniente especificarloen las reglas de negocio de la empresa, para justificar de manera adecuada el uso de dicha información. 	Puede existir algún tipo de inconveniente por parte de clientes al especificar el acceso a la transparencia.	-	-
	R_18	Usuarios hace pasar por otro	Suplantación	Usuarios dejan sus cuentas accesibles, hackeo del sistema	12/11/22	X		Clientes				X	X		0.6	0.2	0.1	0.15	0.4	0.12	0.06	0.09	0.24	0.084	Baja	Gerencia de operación	Responsable de operaciones	Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes	Evitar	Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información.	Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos.	-	-
	R_19	Se consigue el acceso información que no debería	Acceso no autorizado	Hackeo del sistema, falta de seguridad del sistema	12/11/22	X		Tecnología				X	X		0.4	0.5	0.2	0.25	0.6	0.2	0.08	0.1	0.24	0.108	Baja	Gerencia de operación	Responsable de operaciones	Verificar la consulta de movimientos para identificar movimientos que no se recuerde que hayan efectuado para tener el conocimiento de los movimientos a cancelar, cambiar contraseñas así como resguardar los documentos con información sensible dentro de un lugar donde puedan ser monitoreados constantemente, eliminar cualquier correo de origen sospechoso, cerrar sesiones de otros dispositivos así como verificar la ip´s de los equipos para saber de dónde viene el hecho y reportarlo a las autoridades correspondientes	Evitar	Disponer de los documentos que contienen las claves dinámicas, información personal y manuales para realizar la cancelación de actividades innecesarias y proceder a hacer las claves dinámicas nuevas para poder eliminar a cualquier equipo que esté haciendo mal uso de la información.	Perdida de información, así como deficiencia en los procesos debido a la perdida de claves y que el servidor sea apagado mientras se aseguran los equipos.	-	-
	R_20	Copias exactas del proyecto	Difusión del software fraudulentamente	Falta de licencia para el sistema	12/11/22	X		Económico	X		X			X	0.1	0.5	0.05	0.6	0	0.05	0.005	0.06	0	0.009	Baja	Gerencia Administrativa	Responsable administrativo	Identificar la forma en que se generó la copia del proyecto y conocer la forma en cancelar el servicio a las copias fraudulentas.	Evitar	Disponer de la documentación del proyecto y proceder a realizar las medidas contra las copias fraudulentas.	Puede llevar tiempo y costo el encontrar las medidas para la cancelación de estos servicios.	-	-
	R_21	Desentendimiento de una o toda la función de la página	Poca comprensión del software	Interfaz poco intuitiva, diseño complejo del sistema	12/11/22	X		Tecnología				X		X	0.35	0.3	0.1	0	0.5	0.105	0.035	0	0.175	0.056	Baja	Gerencia de desarrollo	Gerente del proyecto	Realizar pruebas para identificar los problemas para la poca comprension del software y realizar nuevamente el análisis de requerimientos	Evitar	Realizar pruebas de satisfacción de usuario para realizar modificaciones periódicas en el diseño del sistema.	Será necesario realizar mantenimiento periódico y añadir encuestas de satisfacción.	-	-
	R_22	La plataforma no es eficiente o no cumple con las actividades designadas	Pérdida de confiabilidad en el software	Falta de mantenimiento al sistema, tiempos cortos de desarrollo	12/11/22	X		Clientes				X		X	0.15	0.5	0.1	0.3	0.4	0.075	0.015	0.045	0.06	0.0255	Baja	Gerencia de desarrollo	Equipo de desarrollo	Identificar los requerimientos que no se cumplieron y corregirlos en el sistema.	Mitigar	Disponer de la documentación para realizar actualizaciones con las acticidades faltantes y optimizaciones de eficiencia.	Será necesario un análisis a los requerimientos y una constante actualización y mantenimiento.	-	-
	R_23	Un virus ataca al servidor y puede esparcirse a otras computadoras o elimina información de la base de datos	Virus	Vulneración al sistema, falta de capacitación del personal	12/11/22	X		Tecnología				X	X		0.05	0.4	0.6	0.1	0.1	0.02	0.03	0.005	0.005	0.0265	Baja	Gerencia de desarrollo	Equipo de desarrollo	Determinar qué tipo de virus es para poder saber cómo eliminarlo, ya sea de manera rápida solo con algún antivirus escaneando la computadora de no ser así, se necesita un antivirus de buteo o arranque que debe copiarse al disco óptico del equipo el cual debe estar insertado en el equipo al iniciarlo y se debe configurar el BIOS para que se ejecute al encenderlo. Al iniciar el equipo debe de actualizarse el antivirus y escanear la computadora, así como el análisis detallado de la información para tener el conocimiento de si hubo perdida de información.	Mitigar	Monitorear el funcionamiento del antivirus para determinar su buen funcionamiento o realizar el cambio del mismo para que este pueda proteger de manera eficiente los equipos y realizar una nueva copia de seguridad de toda la información correspondiente.	Entorpecimiento de los procesos, perdida de los activos, perdida de información	-	-
	R_24	Se de alta un club con evidencias falsas	Creación de clubes falsos	Falta de autenticación de la información	12/11/22	X		Tecnología				X		X	0.35	0.1	0.05	0	0.5	0.035	0.0175	0	0.175	0.035	Baja	Gerencia de operación	Responsable de operaciones	Determinar que información no es verídica y realizar una limpieza de la base de datos.	Transferir	Revisar que porcentaje de a base de datos fue alterada, y con base en ello, comenzar la restauración de la misma,	Desconocer los últimos movimientos y/o actualizaciones en la base de datos hasta antes de destruirlo, así como una posible corrupción de datos al momento de restaurarla	-	-
Instructivo
	Listado de Riesgos: Instructivo
	Elaborado por: www.pmoinformatica.com
	Columna	Instrucciones
	Nro. De Ref.	Numeración del riesgo según formato acordado, permite hacer referencia al riesgo por su número.
	Descripción del problema	Describe las causas inmediatas (directas) que dan origen a la incertidumbre asociada con el riesgo.
	Riesgo	Se expresa en términos del objetivo de proyecto que podría verse afectado, que son: Alcance, Cronograma, Costo y Calidad. Por ejemplo: Retraso en el cronograma, Costos mayores a los esperados, Alcance no aceptado por el cliente, fallos de calidad inaceptables, entre otros.
	Causas Raíz	Se documenta con base en la investigación detallada del problema, identificando la causa que dio origen. Para identificar causas raíz se pueden utilizar métodos como la técnica de los 5 porqués que viene de la manufactura esbelta (Lean Manufacturing), ó la determinación de causas y efectos por medio de diagramas (Espina de pescado).
	Fecha de Identificación	La Fecha (en formato dd/mm/aaaa) en que fue identificado el riesgo por primera vez en el proceso de Gestión de Riesgos. Los riesgos deben identificarse en las etapas de inicio y planeación, que debe ser antes que estos ocurran durante la ejecución.
	Tipo de Riesgo	Se marca con una X si el riesgo tiene un efecto adverso sobre el objetivo de proyecto (amenaza) o si tiene un efecto positivo (oportunidad).
	Categoría de Riesgo	Categorías en las que se clasificaran los riesgos, según el catalogo de riesgos definido por la organización, por ejemplo, estos pueden ser: Económicos, Políticos, Clientes, Proveedores, Equipo de trabajo, tecnología, entornos (ambientes), entre otros.
	Objetivo de proyecto afectado	Se marca con una Xel objetivo de proyecto afectado entre las siguientes opciones: Alcance, Tiempo, Costo y Calidad. El efecto puede ser adverso si el riesgo es de tipo amenaza (según columna "Tipo") o puede ser positivo si se trata de un riesgo de tipo "Oportunidad".
	Tipo de Impacto	Se marca con una X si el evento de riesgo tiene impacto "Directo" o "Indirecto" sobre el objetivo de proyecto afectado. Impacto directo se refiere a cuando el efecto es inmediato y directamente vinculado con el evento, mientras que los efectos indirectos pueden manifestarse tardíamente o en otras áreas del proyecto.
	Probabilidad	Se determina de forma cualitativa (con base en juicio experto) estableciendo un valor que va del 0 al 1 o de forma porcentual (0% si no existe probabilidad de ocurrencia a 100% si la probabilidad es máxima).
	Valoración de Impacto	Se valora el impacto del riesgo para cada uno de los siguientes objetivos de proyecto: Alcance, Tiempo, Costo y Calidad. Para cada uno se asigna un valor e una escala del 0 al 1, 0 siendo mínimo impacto y 1 máximo impacto. Este valor se asigna de forma cualitativa, con base en el juicio experto de los participantes en la evaluación de los riesgos.
	Probabilidad por Impacto	Utilizando matrices de probabilidad e impacto se determina la valoración probabilidad e impacto para cada objetivo de proyecto, es decir Alcance, Tiempo, Costo y Calidad. La Matriz de probabilidad e impacto no está incluida en otra plantilla. Una alternativa frente a la matriz de probabilidad e impacto es realizar la multiplicación de la probabilidad por el impacto en cada objetivo. En esta plantilla, la formula está registrada de esta forma.
	Valoración Global del Riesgo	Se calcula a partir de las valoraciones de Probabilidad por Impacto de cada objetivo de Proyecto, aplicando una ponderación que se basa en que objetivo es más importante para cada proyecto. En esta plantilla, el cálculo de la valoración global posee una fórmula que puede parametrizarse en la hoja "Parámetros". Una vez valorados, puede ordenarse del mayor a menor para establecer las prioridades. Asimismo, puede establecerse un umbral para riesgos que no requerirán acción y registrarlos en la lista de observación.
	Prioridad	El nivel de prioridad puede asignarse a partir de la valoración global, utilizando umbrales para asignarles prioridad Alta, Media y Baja. Por ejemplo, riesgos con más de 0,4 de valoración podrían tener prioridad alta. En la plantilla el cálculo de la Prioridad esta asociado a una formula a partir de la valoración global, y los umbrales pueden ser configurados en la hoja "parámetros".
	Dueño (Owner)	Persona o grupo gerencial que es responsable de asegurar que la probabilidad de ocurrencia e impactos sean minimizados, si se trata de amenazas, o maximizarlos, si se trata de oportunidad.
	Responsable	Persona o grupo gerencia que por lo general puede ser el mismo dueño (owner), sin embargo, el dueño puede delegar esta tarea en otro responsable. Por ejemplo si un ejecutivo (Vicepresidente) es el dueño de un riesgo, este puede delegar la responsabilidad en uno de sus grupos gerenciales.
	Plan de Respuesta predeterminado	Esta plantilla puede ser usada por una Gerencia de Gestión de Riesgos para definir un catalogo de Riesgos predeterminados, para distribuirlo a todos los equipos de proyecto. La columna se utiliza para definir un Plan de Respuesta Predeterminado o Recomendado. El equipo de Proyecto entonces decidirá cuales riesgos incluidos en el catalogo existen en su proyecto, utilizando las columnas "Estrategia de Respuesta" y "Plan de Respuestas adaptado" (descritas a continuación), en caso que el Plan Recomendado requiera adaptación a la situación especifica.
	Estrategia de Respuesta adaptada	Indicar la estrategia del Plan de respuesta, según las siguientes opciones:
- Para las amenazas: Evitar, Mitigar, Transferir o Aceptar.
- Para las oportunidades: Explotar, Mejorar, Compartir o Aceptar.
	Plan de Respuesta adaptado	Descripción de las acciones a tomar según la estrategia de respuesta seleccionada. Los planes de respuesta pueden implicar cambios en los procedimientos de trabajo, planificación de proyecto e inclusive decisiones de subcontratación con otros proveedores (en el caso de Transferir o Compartir). Si la estrategia seleccionada fue aceptar, el plan de respuesta se convierte en un plan de contingencia. En todos los casos deben evaluarse los riesgos residuales que permanecen después de la implementación de la respuesta.
	Riesgo Residual (Secundario)	En los casos que se toman acciones de mitigación o transferencia de un riesgo u oportunidad, pueden surgir riesgos secundarios de esta forma de hacer el trabajo. Estos riesgos también deben ser evaluados o valorados y agregados al listado de riesgo en sus propios renglones. Utilice columna para hacer referencia (usando número de referencia) a estos riesgos en el mismo listado.
	¿Riesgo Activado?	Se marca con una X si el riesgo anticipado en la etapa de inicio y planeación ha ocurrido durante el proyecto. Esto aplica sólo para los riesgos no mitigados, durante la fase de planeación.
	Fecha de Activación	La Fecha (en formato dd/mm/aaaa) en que un riesgo previamente identificado desencadeno en un evento. Si se aplicó una adecuada gestión de riesgos del proyecto, la fecha de activación debería ser mucho después que la fecha de identificación.
Parámetros
	Listado de Riesgos: Parámetros de Valoración Global y Prioridad
	Elaborado por: www.pmoinformatica.com
	Columna	Parámetro	Valor
	Valoración Global del Riesgo	Ponderación Alcance	0.1
		Ponderación Tiempo	0.8
		Ponderación Costo	0
		Ponderación Calidad	0.1
	Prioridad	Umbral Prioridad Baja	0
		Umbral Prioridad Media	0.4
		Umbral Prioridad Alta	0.7