II. Curso de Gestión de Riesgos de TI - Análisis II y Plan de Rpta I
Descripción
Maestría en Ingeniería de Sistemas con mención en Gerencia de TI y Gestión de Software Universidad Nacional Pedro Ruiz Gallo
Curso de Gestión de Riesgos de Tecnologías de la Información – Segunda Parte Dra. Maribel Capuñay Guzmán
Exposición Análisis de Riesgos Base: documento 4. Clasif. de Riesgos en Pry. de SI TI por Enfoque IPA (RBS)
TAREA Determinar cómo se realizan las actividades de identificación, análisis e identificación de la estrategia a riesgos
Con base en el documento 4. Clasif. de Riesgos en Pry. de SI TI por Enfoque IPA (RBS) 1, ubicar y desarrollar los siguientes puntos del caso: Determinar los objetivos y justificación de la investigación Cómo llevaron a cabo la identificación de riesgos en el estudio Qué estrategia emplearon para desarrollar el análisis de riesgos (cómo y qué emplearon para la actividad) Cómo hallaron las estrategias de respuesta a los riesgos
1
López C.; Salmerón J.; Mena, A. (2014), en http://www.minetur.gob.es/Publicaciones/Publicacionesperiodicas/EconomiaIndustrial/RevistaEcon omiaIndustrial/392/LOPEZ,%20SALMERON%20y%20MENA.pdf
III. Análisis de Riesgos
Estimación del riesgo
Probabilidad
Magnitud de la pérdida (Impacto)
Análisis de Riesgos
Priorización del Riesgo
Riesgos más importantes
Exposición del Riesgo (Er)
III. Análisis de Riesgos
Análisis Cualitativo del Riesgo
Análisis Cualitativo de Riesgo 1. Establece forma cualitativa ESCALA probabilidad percibida del riesgo + impacto 2. Buena Practica: Utilizar VALORES FIJOS para representar la probabilidad y el impacto de cada riesgo en TODOS los proyectos base común y guía sobre dónde invertir el mayor esfuerzo Evita PARTICULARIDADES: si cada equipo elige sus propios valores, no hay una base común y no es posible comparar los riesgos de forma efectiva, ni medir la mejora de gestión de riesgos en la organización 3. Evaluar la probabilidad investiga la probabilidad de ocurrencia de cada riesgo 4. Evaluar el impacto investiga el posible efecto, negativo o positivo, sobre un objetivo del proyecto en tiempo, coste, alcance o calidad 5. ¿Cuál es el ambiente para evaluar riesgos? entrevistas o reuniones con el equipo de proyecto y expertos ajenos al proyecto
III. Análisis de Riesgos
Análisis Cualitativo del Riesgo
6. Para determinar el impacto cualitativo, se pueden establecer 4 niveles de impacto de riesgos IMPACTO
ESCALA/VALOR
Muy alto
Objetivos críticos (la mayor parte de ellos) del proyecto están seriamente impactados o no se cumplirán (coste, calendario, calidad o satisfacción del cliente)
Alto
Objetivos críticos (muchos de ellos) del proyecto están amenazados
Medio
Algunos objetivos del proyecto puede verse afectdo
Bajo
Fácilmente remediables. Los objetivos del proyecto no serán afectados.
La herramienta de registro de riesgos elegida debe permitir registrar uno de los siguientes valores para estimar el impacto de c/riesgo de forma cualitativa. Tomado de INTECO (2008)
III. Análisis de Riesgos
Análisis Cualitativo del Riesgo
7. Para estimar la probabilidad de ocurrencia del riesgo: jefe de proyecto y equipo analizan los riesgos identificados para determinar la probabilidad que ocurra cada evento PROBABILIDAD
DESCRIPCION
PROBABILIDAD RECOMENDADA
Muy alta 85% +
Es muy probable que ocurra el evento
0.90
Alta 65% -85%
El evento ocurrirá probablemente
0.70
Media 35% - 65%
El evento podría ocurrir
0.45
Bajo < 35%
Aunque es improbable que ocurra, el evento podría ocurrir
0.15
La herramienta de registro de riesgos elegida debe permitir registrar uno de los siguientes valores para estimar el impacto de c/riesgo de forma cualitativa. Adaptado de INTECO (2008)
III. Análisis de Riesgos
Análisis Cualitativo del Riesgo
8.
9.
Determinar la categoría y prioridad del riesgo Matriz de Probabilidad/Impacto: Aunque es importante considerar la mayor cantidad de riesgos que pueden afectar el proyecto, para la GESTIÓN EFECTIVA Y SEGUIMIENTO de los mismos, se deben priorizar por su CRITICIDAD La importancia de c/riesgo y su prioridad se determinan utilizando la MATRIZ P-I
10. BUENAS PRACTICAS: hacer análisis cualitativo para las suposiciones. Los riesgos no seleccionados para gestión, se deben vigilar en la fase de monitorización y control ya que pueden cambiar de estado (aumentando su probabilidad o cambie su impacto potencial)
III. Análisis de Riesgos
Análisis Cuantitativo del Riesgo
Análisis Cuantitativo de Riesgo 1. Evolución matemática de la probabilidad de cada riesgo y sus consecuencias en las salidas del proyecto. 2. El impacto de ocurrencia de riesgos en forma cuantitativa debe determinarse en términos monetarios cuando sea posible. El impacto puede afectar el coste, la programación, el alcance, calidad, o la combinación de estos factores . Además de cuantificar el impacto, el equipo debe definir qué elementos son los más afectados y documentar los resultados en el registro de riesgos. 3. Ejemplos: si un riesgo implicara un coste adicional de S/. 20,000, ésta cantidad vendría a ser el impacto asignado a dicho riesgo; o si un evento causara el aumento de dos semanas en la agenda, esto también sería considerado como impacto asociándolo al coste de cubrir personal para esas dos semanas adicionales.
III. Análisis de Riesgos
Análisis Cuantitativo del Riesgo
Análisis Cuantitativo de Riesgo 4. La probabilidad de ocurrencia del riesgo en este momento ya ha sido cuantificada. 5. Calcular el valor esperado de pérdida. Conocido también como Valor de la Exposición al Riesgo, es un dato estadístico que proporciona significado sobre las posibles pérdidas o ganancias que tienen lugar cuando el riesgo ocurre. Fórmula: Valor esperado = Impacto del riesgo x Probabilidad del riesgo El valor de la exposición al riesgo se utiliza posteriormente para PRIORIZAR los riesgos. 6. Retraso total del proyecto: Se suman todas las exposiciones al riesgo para determinar el riesgo total del proyecto. La planificación total del proyecto se puede cambiar para reflejar el retraso total esperado calculado en el plan de gestión de riesgos.
III. Análisis de Riesgos
Análisis Cuantitativo del Riesgo
Riesgo
Categoría
Probabilidad de pérdida
Magnitud de la pérdida (semanas)
Exposición al riesgo (semanas)
Planificación demasiado optimista
Proyecto
50%
5
2,5
Añadir un requisito para la actualización automática desde el mainframe
Producto
5%
20
1,0
Añadir nuevas características desde marketing (sin conocer las características específicas)
Negocio
35%
8
2,8
Diseño inadecuado (hay que volver a diseñar)
Producto
15%
15
2,25
Los recursos no están disponibles en su momento
Proyecto
10%
2
2
III. Análisis de Riesgos
Análisis Cuantitativo del Riesgo
6.
Priorización de riesgos: Se ordenan los riesgos de mayor a menor exposición al riesgo. Se establece una línea de corte, se descartan los riesgos por debajo de esa línea. En proyectos grandes se utiliza el análisis o principio de Pareto: El 20% de los riesgos principales consumirán un 80% de su tiempo o de su dinero.
Conclusiones hasta el Momento
El riesgo es…. … un problema potencial: puede o no ocurrir … afecta el futuro: ¿qué riesgos podrían hacer que nuestro proyecto fracasara? … implica cambios: ¿cómo afectarán los cambios en los requisitos del cliente en las tecnologías de desarrollo, al cumplimiento del cronograma y éxito en general? … nos enfrenta a elecciones: ¿qué métodos y herramientas emplear?, ¿cuántos y quiénes deben estar implicados?, ¿ cuánta importancia daremos a la calidad? El objetivo de la gestión de riesgos es minimizar las amenazas y maximizar las oportunidades Los conceptos relacionados con la metodología y practica de gestión de riesgos son los siguientes: activos, pautas, probabilidad de ocurrencia, impacto, amenazas, oportunidades, vulnerabilidad
Conclusiones de la Sesión I
Las actividades de la gestión de riesgos son por tanto: Desarrollar el plan de Gestión de Riesgos Identificar los riesgos (registro de riesgos) Análisis de riesgos (valorarlos) Plan de Respuesta Supervisión y Control del Riesgo (Monitoreo) Cierre de la gestión de riesgos
Actividades de la Gestión de Riesgos (II)
IV. Planificar la Respuesta al Riesgo
Priorizados los riesgos, estamos preparados para responder a ellos (mínimo: riesgos de alto impacto) La Planificación de la Respuesta a los Riesgos es el proceso de desarrollar opciones y determinar las acciones a seguir para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto El plan de respuesta a riesgos, aborda los riesgos en función de su prioridad, incorporando recursos y actividades en el presupuesto, cronograma y plan de gestión del proyecto según sea necesario Documenta la estrategia de respuesta elegida para los riesgos identificados Tareas relacionadas a la Planificación de la Respuesta al Riesgo: Desarrollo de la estrategia de respuesta a los riesgos Identificar propietario del riesgo Desarrollo e implementación del plan de estrategia a los riesgos Evaluar y valorar la estrategia y planes de respuesta Implementar planes de contingencia para los riesgos aceptados Determinar riesgos residuales
IV. Planificar la Respuesta al Riesgo
Encargado de riesgos: Alertar sobre los riesgos del proyecto y evitar que los administradores y desarrolladores los ignoren en la planificación Buscar todas las razones por las cuales el proyecto puede fallar Supervisar la efectividad de los planes de reducción de riesgos Realizar el clásico análisis costo-beneficio para la prevención o el plan de contingencia del riesgo
IV. Planificar la Respuesta al Riesgo Estrategias de Respuesta a Riesgos
El desarrollo de estrategias de gestión de riesgos, conlleva identificar varias estrategias de respuesta de riesgos para cada riesgo seleccionado, evaluar la efectividad de cada acción y seleccionar la mejor. Depende del conocimiento y la experiencia del gestor del proyecto. Trabajo para la siguiente clase: Descripción y Ejemplos Estrategias de Respuestas a Riesgos. Estrategias para amenazas o riesgos negativos; estrategias para aprovechar las oportunidades o riesgos positivos; estrategias de respuesta a las contingencias
Lihat lebih banyak...
Comentarios