Seamos parte de la solución!

Transcripción

1 Seamos parte de la solución! María Carolina Vacas, PMP Septiembre 2012

2 Objetivo del Taller Difundir las buenas prácticas en Gestión de Riesgos que propone el PMI. Invitar a las personas implicadas en proyectos a que se involucren, aun más, en el proceso de Gestión de Riesgos.

3 Cómo trabajaremos en este Taller? Teórico - Práctico El caso práctico se refiere al desarrollo de un sitio web para una Aseguradora. Nos organizaremos por grupos de perfiles para trabajar en los riesgos: Grupo 1: Analistas Programadores Grupo 2: Testers Grupo 3: Jefes de Proyecto Grupo 4: Ingenieros de Infraestructura y Operaciones Grupo 5: Clientes, Gerentes Grupo 6: Oficina de Proyectos (PMO)

4 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

5 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

6 Introducción Procesos de software Cambio continuo de requisitos. Estimaciones hechas con amplio grado de ambigüedad. Cambios tecnológicos en periodos cortos. Rapidez de desarrollo de código dependiente de la experiencia del desarrollador. Proyectos atrasados y por encima del presupuesto. Código con bugs peligrosos. Software terminado pero nunca utilizado.

7 Introducción Estado del arte de los proyectos de TI Fuente: The Chaos Report (2010) Standish Group

8 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

9 Qué es Riesgo? Un riesgo se entiende como un evento o condición incierta que en caso de ocurrir puede tener un impacto positivo o negativo sobre cualquiera de los objetivos del proyecto (tiempo, costo, alcance, recursos, satisfacción del cliente). (Fuente: PMI PMBoK).

10 Qué es Riesgo? Un riesgo es un problema que aún no ocurrió: Se ubica en el futuro. Es posible pero no seguro que ocurra. Tiene efecto al menos en uno de los objetivos del proyecto. Sus efectos potenciales cambian con el tiempo.

11 Qué es Riesgo? Veamos un ejemplo... Proyecto: Desarrollo de Aplicación 1. El desarrollo lo hará un proveedor y tiene dos hitos de entrega: 28/09 y 31/ Se debe comprar un servidor que debe estar operativo el 20/ Existen restricciones de presupuesto.

12 Qué es Riesgo? Proyecto: Desarrollo de Aplicación 06/09 En reunión de seguimiento, se detecta que el Proveedor está atrasado respecto a lo planificado y podría no cumplir con el hito del 28/09. Inicio Fin 27/08 31/08 06/09 28/09 31/10 20/11 15/12 31/08 En reunión de Comité, se informa que no hay presupuesto para la compra de HW. Existen riesgos?

13 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

14 Qué es la Administración de Riesgos? Involucra los procesos necesarios para maximizar la probabilidad e impacto de los posibles eventos positivos y minimizar la probabilidad e impacto de los posibles eventos adversos. Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar

15 Qué es la Administración de Riesgos? Si uno no ataca los riesgos activamente, los riesgos lo atacan activamente a uno. Tom Gilb

16 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

17 Planificar la Gestión de Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Establecer el enfoque de la gestión de riesgos del proyecto: Cómo identificaremos riesgos? Qué tipologías utilizaremos para clasificar los riesgos? Cómo realizaremos el seguimiento y control? Cuáles son los niveles de exposición (probabilidad vs. impacto)? Cómo y a quién se escalarán los riesgos? Qué plantillas y/o herramientas utilizaremos?

18 Identificar Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Riesgos Conocidos Directos: aquellos que están bajo mi control. Indirectos: aquellos que no están bajo mi control. Riesgos Desconocidos Siempre habrá riesgos que no logré identificar: Debo dejar reservas de contingencia para manejar esta incertidumbre.

19 Identificar Riesgos Quiénes identifican riesgos? Equipo de proyecto Equipo de desarrollo Equipo de QA & Testing Proveedores Jefe de Proyecto Cliente / Sponsor Otros Expertos en áreas relacionadas con el proyecto (Operaciones, Calidad) Gerentes y Subgerentes Oficina de Gestión de Proyectos (PMO)

20 Identificar Riesgos Cómo se identifican los riesgos? Tormenta de ideas (brainstorming) Análisis de supuestos Análisis de causa raíz Análisis FODA Checklist

21 Identificar Riesgos Cómo categorizo los riesgos? Técnico Externo Gestión RRHH Legal Presupuesto La tecnología con la que trabaja el proyecto ha sido probada? Es estable? Existe soporte? Cumple con las normativas de la organización? Se trabaja con proveedores? El cliente contrata proveedores y el Líder de Proyecto no tiene contacto con ellos? Las compras que debo realizar en el exterior llegan oportunamente? El Sponsor está claramente definido? El equipo de proyecto asiste a las reuniones de S&C? El proveedor asiste a las reuniones de S&C? La organización tiene una metodología de gestión? Existen restricciones en la solicitud de RRHH? Qué nivel de compromiso tienen los interesados en el proyecto? El equipo de desarrollo tiene los skills necesarios que requiere el proyecto? Normativas / leyes que produzcan un impacto en el proyecto. La organización cumple con los nuevos requisitos de importación? La seguridad de los datos de las personas está alineada a la normativa vigente? El presupuesto para realizar el proyecto es restringido? Debo gastar el presupuesto sólo en determinadas actividades?

22 Identificar Riesgos Cómo documento los riesgos? Para asegurar que están bien expresados usamos la representación de Gluch: Dado que... Causa Entonces (posiblemente)... Consecuencia

23 Identificar Riesgos Cumplimiento del hito Desarrollo Gluch Dado que en reunión de seguimiento se detecta un retraso en las actividades planificadas por parte del proveedor en el hito Desarrollo, posiblemente el proveedor no cumpla la fecha de entrega pactada para el día 28/09. Dado que en reunión de seguimiento se detecta un adelanto en las actividades planificadas por parte del proveedor en el hito Desarrollo, entonces posiblemente se adelante la fecha de entrega pactada para el día 28/09 y se pueda avanzar tempranamente con el siguiente hito.

24 Tips para la Identificación de Riesgos Involucrar expertos de distintas áreas para lograr mejores resultados (Operaciones, QA, áreas Cliente involucradas, entre otros). Dedicar tiempo específico del proyecto a la tarea de identificar riesgos. Documentar TODOS los riesgos identificados. Incluir riesgos dentro del contexto del proyecto y que ameriten acciones. Por ejemplo, el riesgo de bomba nuclear es poco práctico Combinar las herramientas de identificación de riesgos (checklist, FODA, tormenta de ideas).

25 Manos a la obra Enumerar al menos 3 riesgos del proyecto desde su rol: Utilizar técnica de brainstorming. 2. Clasificar los riesgos identificados: Técnico, Externo, Gestión, RRHH, Legal, Presupuesto 3. Documentar los riesgos: Dado (causa)...entonces (consecuencia) Comunicar los riesgos a la Organización.

26 Analizar Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Priorizar la lista de riesgos mediante atributos para planificar las acciones de respuesta Hay dos enfoques para el análisis: 1. Cualitativo: asigna valores relativos a los atributos con el fin de determinar una calificación que permita priorizar (enfoque subjetivo). Probabilidad vs. Impacto. 2. Cuantitativo: asigna valores numéricos y usa técnicas estadísticas para evaluar los resultados.

27 Probabilidad Procesos de la Administración de Riesgos Analizar Riesgos - Cualitativo Bajo Escasa probabilidad de ocurrencia, pero no nula. Generalmente se mitigan sin mayor intervención del JP. Medio Alto De no mediar alguna acción de mitigación, el riesgo tiene probabilidades de materializarse en el corto o mediano plazo. Materialización inminente de no mediar alguna gestión oportuna y efectiva.

28 Impacto Procesos de la Administración de Riesgos Analizar Riesgos - Cualitativo Alcance Calidad Tiempo Costo Bajo Áreas secundarias de alcance afectadas Las aplicaciones dependientes se ven afectadas. <5% <10% Medio Áreas principales de alcance afectadas. La reducción de la calidad requiere la aprobación del Sponsor. >=5% - <10% >10% -<20% Alto Reducción del alcance inaceptable para el Sponsor / El producto es inservible para el Cliente. Reducción de la calidad inaceptable para el Sponsor / El producto es inservible para el Cliente. >=10% >= 20%

29 Impacto Procesos de la Administración de Riesgos Analizar Riesgos - Cualitativo Matriz de Exposición Bajo Medio Alto Probabilidad Bajo Medio Alto Escalamiento de Riesgos Mantener informado al Coordinador (jefe directo) Comunicar a Cliente y Coordinador Comunicar de inmediato a Cliente y Coordinador

30 Tips para el Análisis de Riesgos Evitar las discusiones largas en la calificación y usar el sentido común. Intentar al máximo cuantificar en días o $$$ los impactos sobre costo y cronograma que suelen ser los más comunes.

31 Veamos un ejemplo... Nombre: Cumplimiento del hito Desarrollo Descripción: Dado que en reunión de seguimiento se detecta un retraso en las actividades planificadas por parte del proveedor en el hito Desarrollo, posiblemente el proveedor no cumpla la fecha de entrega pactada para el día 28/09. Clasificación: Externo Probabilidad: Medio Impacto: Alto (retrasa más del 10% los plazos del proyecto) Exposición: Alto Fecha de Materialización: 28/09. Escalamiento: urgente a Cliente y Coordinador (o jefe directo)

32 Manos a la obra Calificar los riesgos en base a Probabilidad e Impacto: Tenga en cuenta los ámbitos de impacto alcance, costo, calidad, tiempo). 2. Especificar a quién escalar cada riesgo según su exposición. 3. Comunicar los riesgos a la Organización.

33 Planificación de Respuesta a los Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Una vez identificados y analizados los riesgos es necesario definir acciones de respuesta. Este proceso consiste en: Desarrollar y analizar alternativas de respuesta. Tomar decisiones sobre acciones. Asignar responsables de gestionar el riesgo. Planificar la acción (plazos, presupuesto y seguimiento).

34 Planificación de Respuesta a los Riesgos Mitigación: reducir el impacto o la probabilidad de ocurrencia Contingencia: definir estrategias para mitigar el impacto del riesgo si llega a materializarse. Eliminación: evitar completamente el riesgo, generalmente eliminando la causa de la amenaza. Transferencia: traspasar la responsabilidad del riesgo a alguien fuera del proyecto. Aceptación: no tomar acciones y dejar que el riesgo ocurra

35 Planificación de Respuesta a los Riesgos - Ejemplo Cumplimiento del hito Desarrollo Mitigación: solicitar plan de mitigación al proveedor y acordar un seguimiento diario para validar el desvío. Contingencia: negociar con el cliente la fecha de paso a producción. Eliminación: cambiar de proveedor. Transferencia: penalizar al proveedor mediante una multa (según contrato). Aceptación: vigilar el avance del proveedor sin tomar acciones.

36 Veamos un ejemplo... Nombre: Cumplimiento del hito Desarrollo Descripción: Dado que en reunión de seguimiento se detecta un retraso en las actividades planificadas por parte del proveedor en el hito Desarrollo, posiblemente el proveedor no cumpla la fecha de entrega pactada para el día 28/09. Clasificación: Externo Probabilidad: Medio Impacto: Alto (retrasa más del 10% los plazos del proyecto) Exposición: Alto Fecha de Materialización: 28/09. Escalamiento: urgente a Cliente y Coordinador (o jefe directo) Responsable: Jefe de Proyecto Estrategia: Mitigación: solicitar plan de mitigación al proveedor y acordar un seguimiento diario para validar el desvío. Evento de disparo: si al día 18/09 el Proveedor no cuenta con el 80% del hito terminado, se activa la contingencia. Contingencia: negociar con el cliente la fecha de paso a producción.

37 Tips para la Planificación de Respuesta a los Riesgos A todo riesgo identificado debe definirse explícitamente su acción de respuesta. Recomendable que las acciones de mitigación estén acompañadas de un plan de contingencia. Para riesgos a los que se defina plan de contingencia debe definirse el evento de disparo (momento en el que se activará el plan de contingencia).

38 Tips para la Planificación de Respuesta a los Riesgos Tenga en cuenta todos los costos y tiempos asociados a la mitigación y contingencia (suele ser del 2% al 5% del presupuesto total). Cuanto antes se inician las acciones de mitigación, estas suelen ser más efectivas. Tener en cuenta el marco de tiempo (fecha de ocurrencia) de materialización del riesgo en la definición de las acciones de respuesta. Toda acción debe tener un responsable asignado.

39 Manos a la obra Para cada riesgo, establecer una estrategia de respuesta (mitigación, eliminación,...etc.). 2. Definir evento de disparo y contingencia asociada. 3. Asignar un responsable. 4. Planificar la acción: seguimiento, plazos. 5. Comunicar los riesgos a la Organización.

40 Seguimiento y Control de Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Definir una estrategia de seguimiento para conocer el estado de los riesgos identificados y descubrir nuevas fuentes de riesgo. Controlar los riesgos mediante la ejecución de las acciones planificadas corrigiendo las desviaciones de dichas acciones. Es un proceso permanente a lo largo del ciclo de vida del proyecto.

41 Seguimiento y Control de Riesgos - Actividades Identificar, analizar y planificar acciones de respuesta sobre nuevos riesgos. Actualizar el estado de los riesgos. Reevaluar los atributos de los riesgos previamente identificados. Verificar los resultados de las acciones de respuesta.

42 Seguimiento y Control de Riesgos - Actividades Monitorear los eventos de disparo para activar los planes de contingencia. Verificar el estado de los recursos (personas, presupuesto, etc). Implementar cambios al proyecto que pueden surgir del proceso de administración de riesgos. Crear plantillas de riesgos, respuestas a los riesgos, checklists que contribuyan a la información histórica de la organización.

43 Veamos un ejemplo... Nombre: Cumplimiento del hito Desarrollo Descripción: Dado que en reunión de seguimiento se detecta un retraso... Clasificación: Externo Probabilidad: Medio Impacto: Alto (retrasa más del 10% los plazos del proyecto) Exposición: Alto Fecha de Materialización: 28/09. Escalamiento: urgente a Cliente y Coordinador (o jefe directo) Responsable: Jefe de Proyecto Estrategia: Mitigación: solicitar plan de mitigación al proveedor y acordar un seguimiento diario para validar el desvío. Evento de disparo: si al día 18/09 el Proveedor no cuenta con el 80% del hito terminado, se activa la contingencia. Contingencia: negociar con el cliente la fecha de paso a producción.

44 Comunicación de los Riesgos Planificar la gestión de riesgos Identificar Analizar Planificar respuesta Seguir y controlar Comunicar Intercambiar información sobre riesgos con todos los niveles de la organización: Desde el inicio del proyecto presentar a todos los involucrados la manera en que se administrarán los riesgos. Presentar la herramienta de gestión de riesgos. Al menos una vez a la semana informar el estado de los riesgos a los involucrados (Cliente, equipo, etc.) No solo es necesario comunicar sino también hacerlo adecuadamente: Evitar ser alarmista No informar solo los riesgos sino enfocarse en las acciones de respuesta

45 Agenda Introducción Qué es Riesgo? Qué es la Administración de Riesgos? Procesos de la Administración de Riesgos Recomendaciones

46 Recomendaciones Administrar riesgos contribuye de forma efectiva al éxito del proyecto. El enfoque preventivo de la administración de riesgos (lidiar con situaciones potenciales) es más económico que un enfoque correctivo (lidiar con problemas). El uso de las buenas prácticas y marcos de trabajo facilita la administración de los riesgos. Uso de artefactos simples para promover la identificación de riesgos. La gestión de riesgos es un área compleja que requiere de mucha práctica para alcanzar la madurez.

47 Dudas y consultas? Muchas gracias! carolinavacas@outlook.com