I. Curso de Gestión de Riesgos de TI - Intro, Identificación y Análisis I
Descripción
Maestría en Ingeniería de Sistemas con mención en Gerencia de TI y Gestión de Software Universidad Nacional Pedro Ruiz Gallo
Curso de Gestión de Riesgos de Tecnologías de la Información – Primera Parte Dra. Maribel Capuñay Guzmán
Contenido del Curso Gestión de Riesgos de Tecnologías de la Información
Aspecto Teórico
Técnicas y Herramientas de Gestión de Riesgos
• • •
• • Aspecto Práctico
•
Analizar Evaluar Administrar / Gestionar riesgos
Disminuir Vulnerabilidades / Amenazas Medidas y Controles Indicadores claves para la organización en el ámbito del riesgo
Carpeta Proyectos TI
de de
Definición del Ámbito de Riesgos y Gestión de Riesgos del Alcance
I.
II.
Conceptos Generales
a.
¿Qué es un Riesgo? - Clasificación de los Riesgos
b.
La gestión de riesgos de un proyecto de TI
c.
El plan de gestión de riesgos
d.
Roles y Responsabilidades dentro de la gestión de riesgos
Actividades en la Gestión de Riesgos (I) a.
Desarrollar el plan de Gestión de Riesgos
b.
Identificar los riesgos
c.
Analizar los riesgos
III. Actividades en la Gestión de Riesgos (II) a.
Planificar la respuesta a riesgos
b.
Control y monitorización de los riesgos
c.
Cierre de la gestión de riesgos
Conceptos Generales
CONCEPTOS RELACIONADOS CON EL RIESGO
EL RIESGO EN UN PROYECTO DE TI
Clasificación de Riesgos
Clasificación de Riesgos por Fuentes Internas
Tecnología
Programación 1
Financiera
Contractual y Legal
Tecnología no probada
Disponibilidad de recursos
Fondos y presupuesto Propiedad intelectual
Disponibilidad de experiencia técnica
Planificación inadecuada
Exactitud de estimación
Políticas de gobierno
Actuación del subcontratista/vendor
Restricciones de programación
Cambio en coste de material
Derechos de autor
Personalización (riesgos de diseño)
Información insuficiente
Ambigüedades de contrato
Transición de diseño a producción
Dependencias de la empresa (grupo)
Multas
Disponibilidad de materiales
Dependencias del cliente
Derechos de patentes o incumplimientos
1
Amenazan la calidad del software que hay que producir. Identifican posibles problemas de diseño, implementación, interfaz y mantenimiento
Clasificación de Riesgos
Clasificación de Riesgos por Fuentes Internas
Impredecibles
Predecibles pero inciertos
Cambios reguladores
Cambios de mercados
Impacto ambiental, del entorno, social
Tasación
Desastres naturales
Inflación
Interés publico
Tipo de cambio
Relaciones industriales: huelgas
Subcontratista o socio político
Mercados dinámicos
Mercados dinámicos
Sus causas se hallan fuera de la organización: en el mercado y el entorno
Clasificación de Riesgos
Clasificación de Riesgos por el Impacto
Riesgos
Impacto
Conocido
Conocido
Conocido
No conocido
No conocido
No conocido
Cómo gestionarlo
Durante la planificación del proyecto. Ej.: nueva tecnología, aumento de complejidad, rendimiento, agresividad en fechas de entrega El equipo de trabajo apenas tiene influencia sobre ellos. Es necesario crear planes de contingencia y reserva para tratar c/riesgo. Ej.: pérdida de miembros clave en el equipo de trabajo, reorganización del negocio. No se pueden planificar. Sí se puede dejar una reserva de presupuesto y tiempo en caso de dificultades no esperadas
Clasificación de Riesgos Clasificación de Riesgos por Factores de Planificación, Recursos, Financieros, de Alcance y Calidad y Riesgos Generales
Planific./Cronograma •
• •
Tareas de larga duración sin hitos bien definidos Estimación no realista Tareas dependientes de organizaciones externas
Riesgos de recursos •
•
•
• •
Pérdida de • contribuidores críticos • Trabajo con proveedores no fiables Tareas no asignadas a nadie Formación Hardware y software
Riesgos financieros
Riesgos de alcance y calidad Desajuste en el • Tecnología no presupuesto probada Cambios en el (incertidumbre) coste del material • Cambios en los requisitos del cliente • Herramientas no disponibles • Alta tasa de defectos • Alto impacto de negocio
Riesgos generales •
• •
•
•
Mal entendimiento en requisitos/diseño Seguridad Pérdida de patrocinio Dificultades del lenguaje/comunic ación Pérdida de la información
Carencia de un Marco de Inteligencia del Riesgo Problemas frecuentes debido a la falta de la GR
Aguilar Serrano, M. (2012). Presentación Diplomado Auditoría Bajo Riesgos
La Gestión de Riesgos dentro de un Proyecto
El Plan de Gestión de Riesgos de un Proyecto de TIC
Roles y Responsabilidades de los Procesos de Gestión de Riesgos Rol vs. Responsabilidad
Planific.
Identific.
Análisis
Plan de Rpta.
Control y Monit.
Jefe de Proyecto (*)
X
X
X
X
X
Involucrado en el negocio
X
X
X
X
X
Aceptador
X
Expertos en la materia
X
X
Equipo del proyecto
X
Responsable de un riesgo
Cierre X
X
Roles y Responsabilidades en la Gestión de Riesgos. Obtenida de LNCS. Guía Avanzada de Gestión de Riesgos LNCS (*) Nota: En algunos proyectos el Jefe de Proyecto puede delegar este proceso a otro miembro del equipo, aunque la responsabilidad cae sobre él.
Actividades de la Gestión de Riesgos (I)
I. Desarrollar el Plan de Gestión de Riesgos
• La planificación explícita y cuidadosa favorece el éxito de los otros 5 procesos: plasma cómo abordar las tareas de GR dentro del proyecto • El nivel, tipo y visibilidad de la GR va en consonancia a lo que significa “riesgo” para la organización y el proyecto, en términos asignación de recursos y tiempo
• Se desarrolla en las fases tempranas de la planificación del proyecto • En resumen contempla: Una aproximación de las tareas de gestión de riesgos Cómo
se
efectuará
la
revisión
de
1. t16_Template_Plan de Gestion de Riesgos.pdf)
las
mismas
(Ej.
I. Desarrollar el Plan de Gestión de Riesgos
Entradas, salidas y herramientas del plan de gestión de riesgos, adaptado de INTECO (2008)
I. Desarrollar el Plan de Gestión de Riesgos
Factores Ambientales de la Empresa Son todos y cualquiera de los factores externos e internos que rodean o tienen alguna influencia sobre el éxito del proyecto:
Cultura y estructura de la organización o empresa Las actitudes y la tolerancia respecto al riesgo Bases de datos comerciales, industria y otros Sistemas de información de la gestión de proyectos Normas gubernamental
Activos de los Procesos de la Organización Procesos, Políticas, procedimientos, planes y guías formales e informales. Conceptos y términos, categorías de riesgos, plantillas estándar, matriz de probabilidad e impacto Base de conocimiento para almacenar y recuperar información. Base de datos para la medición de procesos, registros de riesgos, acciones de respuesta planificadas e impacto de riesgo definido
I. Desarrollar el Plan de Gestión de Riesgos
Plan de Gestión de Riesgos. Su contenido varía según el área de aplicación y el tamaño del proyecto: Metodología Roles y Responsabilidades Presupuesto Periodicidad Categorías de riesgo Niveles de probabilidad e impacto Matriz de probabilidad e impacto Criterios de tolerancia (umbrales) Formatos de los reportes Seguimiento
II. Identificar los Riesgos
La identificación de riesgos determina cuáles riesgos podrían afectar el proyecto y la documentación de las características de cada uno de ellos. Este proceso debe realizarse de forma sistemática durante el ciclo de vida del proyecto, dado que los riesgos cambian: surgen nuevos o desaparecen los riesgos anticipados. Riesgos Conocidos y Desconocidos. Para los riesgos conocidos (aquellos que han sido identificados y analizados) es posible planificar. Los riesgos desconocidos no pueden gestionarse de forma proactiva, y una respuesta prudente del equipo del proyecto puede ser asignar una contingencia general contra dichos riesgos.
II. Identificación de Riesgos
Roles involucrados en el proceso:
Jefe de proyecto Miembros del equipo de proyecto Equipo de gestión de riesgos (si lo hay) Cliente Interesados Expertos en gestión de riesgos, si bien debiera fomentarse por todo el personal del proyecto
II. Identificación de Riesgos
La identificación de riesgos empieza con la comprensión del proyecto en sí: ¿Cuál es el alcance del proyecto? ¿Cuáles son los resultados requeridos? ¿Cuáles son sus objetivos y prioridades? Las respuestas a estas preguntas tienen impacto en la identificación y consideración de estrategias y métodos de solución alternativos para los riesgos. La 1era fase de identificación se genera durante: La determinación del ALCANCE del PY En el WBS ->Asegura que los riesgos potenciales de cada área del proyecto son tratados En la estimación de costes, recursos y programación Evaluación de contratistas potenciales Inicialmente el producto es una lista de riesgos identificados sin prejuicios por su validez
II. Identificación de Riesgos
Técnicas de acopio generalizadas son:
de
información
Lluvia de Ideas Técnica Delphi Entrevistas Análisis de Identificación de la Causa Análisis FODA/SWOT: Fortalezas, Oportunidades, Debilidades y Amenazas
Lluvia de Ideas. - El equipo del proyecto genera ideas sobre los riesgos del proyecto, bajo la dirección de un moderador. Se perfeccionan las definiciones. Ventaja: Se obtiene una lista completa de riesgos, siendo una de las técnicas más usada en la identificación de riesgos
II. Identificación de Riesgos
La Técnica Delphi trata de buscar un consenso de expertos referente a los riesgos del proyecto que participan de forma anónima. El moderador usa un cuestionario para que los expertos aporten sus ideas. Las respuestas son resumidas y luego son enviadas nuevamente a los expertos para comentarios adicionales. El consenso sobre los principales riesgos del proyecto se logra en pocas rondas del proceso. La técnica Delphi ayuda a reducir sesgos en los datos y evita que cualquier persona ejerza influencias en el resultado.
II. Identificación de Riesgos
Análisis Causal Se investiga las causas principales de los riesgos del proyecto. Se refina la definición del riesgo y se mejora las categorías de riesgo (RBS). Permite agrupar los riesgos identificados por causa.
II. Identificación de Riesgos
Categorización de los Riesgos Proporciona una estructura que garantiza un proceso completo de identificación sistemático de los riesgos con un nivel de detalle uniforme. Las categorías del riesgo deben ser bien definidas y reflejar las fuentes (causas) comunes. Las categorías se expresan en una estructura de desglose del riesgo (RBS)
II. Identificación de Riesgos
Disparadores o Triggers. Son eventos que se asocian en la posible aparición de una amenaza u oportunidad. En la identificación de riesgos, se describe – si cabe-, los disparadores conocidos. Ejm.
R1: Incumplimiento del cronograma del proyecto D1: Incumplimiento de hitos en el cronograma del proyecto R2: Renuncia del personal asignado al proyecto D2: Inasistencia del personal al lugar de trabajo por enfermedad
II. Identificación de Riesgos
Registro de Riesgos Documento que forma parte del Plan de Gestión del Proyecto. Se desarrolla por primera vez en esta fase de Identificación de Riesgos, y se amplia o actualiza durante los restantes procesos de Gestión de Riesgos. En este punto, los elementos del registro de riesgos pueden ser:
Lista de riesgos identificados, sus descripciones, causas, supuestos, áreas afectadas del proyecto y cómo pueden afectar los objetivos del proyecto. Lista de posibles respuestas y señales de advertencias (disparadores) Categorías de riesgo actualizadas (mejoras a la RBS)
Ejemplo. 2. t17_Template_Registro de Riesgos
3. Caso Grupal
III. Analizar Riesgos Evalúa los riesgos identificados antes para determinar su PROBABILIDAD de ocurrencia, el IMPACTO del riesgo, el IMPACTO ACUMULATIVO de los mismos y la PRIORIDAD de c/u. Las actividades que comprende son: Análisis Cualitativo. Cálculo del IMPACTO y PROBABILIDAD del riesgo utilizando métodos cualitativos. Análisis Cuantitativo. Cálculo del IMPACTO y PROBABILIDAD del riesgo utilizando métodos matemáticos Priorización del Análisis. Su objetivo es centralizar el esfuerzo de la gestión de riesgos y ganar el mayor impacto positivo posible sobre el proyecto para dicho esfuerzo. Proceso iterativo y ajustado dentro del alcance definido en el plan de riesgos
Exposición Análisis de Riesgos Base: documento 4. Clasif. de Riesgos en Pry. de SI TI por Enfoque IPA (RBS)
Lihat lebih banyak...
Comentarios