GUÍA PRÁCTICA DE GESTIÓN DE RIESGOS Diciembre 2008
AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU pr la Universidad Carnegie Melln Las distintas nrmas ISO mencinadas han sid desarrlladas pr la Internatinal Organizatin fr Standardizatin. PMBOK es una marca registrada pr el Prject Management Institute, Inc. Tdas las demás marcas registradas que se mencinan, usan citan en la presente guía sn prpiedad de ls respectivs titulares. INTECO cita estas marcas prque se cnsideran referentes en ls temas que se tratan, buscand únicamente fines puramente divulgativs. En ningún mment INTECO busca cn su mención el us interesad de estas marcas ni manifestar cualquier participación y/ autría de las mismas. Nada de l cntenid en este dcument debe ser entendid cm cncesión, pr implicación de tra frma, y cualquier licencia derech para las Marcas Registradas deben tener una autrización escrita de ls tercers prpietaris de la marca. Pr tr lad, INTECO renuncia expresamente a asumir cualquier respnsabilidad relacinada cn la publicación de las Marcas Registradas en este dcument en cuant al us de ninguna en particular y se eximen de la respnsabilidad de la utilización de dichas Marcas pr tercers. El carácter de tdas las guías editadas pr INTECO es únicamente frmativ, buscand en td mment facilitar a ls lectres la cmprensión, adaptación y divulgación de las disciplinas, metdlgías, estándares y nrmas presentes en el ámbit de la calidad del sftware. 2
ÍNDICE 1. INTRODUCCIÓN 6 1.1. Cncepts 6 1.2. Qué es un riesg? 7 1.3. En qué cnsiste la gestión de riesgs de un pryect? 9 2. ROLES Y RESPONSABILIDADES DENTRO DE LA GESTIÓN DE RIESGOS 10 3. ACTIVIDADES DE GESTIÓN DE RIESGOS 12 3.1. Desarrllar un plan de gestión de riesgs 13 3.2. Identificar riesgs 13 3.3. Analizar riesgs 14 3.4. Planificar respuestas a ls riesgs 15 3.5. Cntrlar y mnitrizar riesgs 16 3.6. Cierre de la gestión de riesgs 17 4. ENFOQUE DE ALGUNOS MODELOS 19 5. REFERENCIAS 21 3
ÍNDICE DE TABLAS Tabla 1 Rles y respnsabilidades... 11 Tabla 2 Tabla 3 Entradas, salidas y herramientas del plan de gestión de riesgs... 13 Entradas, salidas y herramientas de identificación de riesgs... 14 Tabla 4 Entradas, salidas y herramientas de análisis de riesgs... 15 Tabla 5 Tabla 6 Tabla 7 Entradas, salidas y herramientas de planificación de respuesta de riesgs... 16 Entradas, salidas y herramientas de cntrl y mnitrización de riesgs... 17 Entradas, salidas y herramientas del cierre de gestión de riesgs... 18 4
ÍNDICE DE FIGURAS Figura 1 Relación cste-riesg Fuente PMBOK... 8 Figura 2 Actividades gestión de riesgs... 12 5
1. INTRODUCCIÓN La guía rápida de gestión de riesgs pretende prprcinar una visión intrductria de este prces. Se expndrán alguns cncepts clave para entender el prces, se resaltará la imprtancia que tiene la gestión de riesgs en el desarrll de prducts sftware. También se mencinarán ls principales rles que intervienen en el prces de gestión de riesgs y cuáles sn sus respnsabilidades. En el segund apartad de la guía se describen las distintas actividades que cnfrman el prces de gestión de riesgs, indicand en cada una de ellas entradas, salidas, herramientas, tareas, etc. Para prfundizar en el prces de gestión de riesgs se ha desarrllad una Guía avanzada de gestión de riesgs, también dispnible en el prtal de INTECO. 1.1. CONCEPTOS Antes de cmenzar a describir en qué cnsiste el prces de gestión de riesgs es imprtante saber diferenciar cierts cncepts que a menud se cnfunden inclus se utilizan indistintamente para hacer referencia al riesg. A l larg de esta guía van a parecer cncepts tales cm amenaza, impact, vulnerabilidad, para definir y describir aspects relacinads cn ls riesgs. Pr ell, en este apartad van a aclararse cierts cncepts de tal frma que al leer el rest de la guía n haya cnfusines. Activ Cualquier recurs de SW, HW, dats, administrativ, físic, de persnal, de cmunicacines Vulnerabilidad Una vulnerabilidad es una debilidad que puede ser activada de frma accidental intencinadamente. Es un factr de riesg intern de un element expuest a una amenaza de ser susceptible a sufrir un dañ y de encntrar dificultades en recuperarse psterirmente. Amenaza Una amenaza es la psibilidad de que se prduzca una determinada vulnerabilidad de frma satisfactria. Una fuente de amenazas n plantea un riesg cuand n hay vulnerabilidades que puedan ser activadas. Impact El impact es la materialización de un riesg; una medida del grad de dañ cambi sbre un activ, entendiend cm riesg la prbabilidad de que un event desfavrable curra y que tendría un impact negativ si se llegase a materializar. Se hará una descripción más detallada acerca de la definición de riesg en el siguiente apartad. 6
Supsicines Las supsicines sn afirmacines aceptadas cm reales per sin ningún tip de prueba que las sustente. También es verdad que cn el tiemp se puede determinar si las supsicines sn verdaderas falsas. 1.2. QUÉ ES UN RIESGO? En el apartad anterir ya se definió de frma breve qué es un riesg, per de frma genérica. Esta guía se centrará en ls riesgs dentr de un pryect. Un riesg de un pryect es un event cndición inciert que, si se prduce, tendrá un efect psitiv negativ sbre al mens un bjetiv del pryect, cm tiemp, cste, alcance calidad, es decir, cuand el bjetiv de tiemp de un pryect es cumplir cn el crngrama acrdad; cuand el bjetiv de cste del pryect es cumplir cn el cste acrdad, etc. Las rganizacines perciben ls riesgs pr: - su relación cn las amenazas al éxit del pryect, - pr las prtunidades de mejrar las psibilidades de éxit del pryect. Ls riesgs que sn amenazas para el pryect pueden ser aceptads si el riesg está en equilibri cn el benefici que puede btenerse al tmarl. Ls riesgs que cnstituyen prtunidades, cm la aceleración del trabaj que puede lgrarse asignand persnal adicinal, pueden ser mnitrizads para beneficiar ls bjetivs del pryect. Para tener éxit, la rganización debe estar cmprmetida a tratar la gestión de riesgs de frma practiva y cnsistente durante td el pryect. 7
Cncept Desarrll Ejecución Terminación Cantidad de riesgs Perid de mayr impact de riesg Valr mnetari del pryect Planificación del pryect Ejecución del pryect Oprtunidades y riesgs Cste de reaccinar Figura 1 Relación cste-riesg Fuente PMBOK Un riesg puede tener una más causas y, si se prduce, un más impacts. Pr ejempl, una causa puede ser necesitar un permis ambiental para hacer el trabaj, que se asigne persnal limitad para diseñar el pryect. El event de riesg en ambs cass sería que la agencia que trga el permis pdría tardar más de l previst en emitir el permis, que el persnal de diseñ dispnible y asignad n sea suficiente para la actividad. Si curre algun de ests events incierts, puede haber un impact sbre el cste, el crngrama el rendimient del pryect. El riesg del pryect tiene su rigen en la incertidumbre que está presente en tds ls pryects. Existen distints tips de riesgs: - Ls riesgs cncids sn aquells que han sid identificads y analizads, y es psible planificar las accines a tmar al respect tal y cm se verá en apartads sucesivs. - Ls riesgs descncids n pueden gestinarse de frma practiva, y una respuesta prudente del equip del pryect puede ser asignar una cntingencia general cntra dichs riesgs, así cm cntra ls riesgs cncids para ls cuales quizás n sea rentable psible desarrllar respuestas practivas. El riesg está cmpuest de tres cmpnentes esenciales: - un event definible - prbabilidad de currencia - cnsecuencia de la currencia (impact) 8
1.3. EN QUÉ CONSISTE LA GESTIÓN DE RIESGOS DE UN PROYECTO? La gestión de riesgs es un prces iterativ y recurrente a l larg de tda la vida del pryect. El prpósit de la gestión de riesgs es minimizar la prbabilidad y cnsecuencias de ls riesgs negativs ( amenazas) y maximizar la prbabilidad y cnsecuencias de ls riesgs psitivs (u prtunidades) identificads para el pryect de tal frma que ls bjetivs de ls pryects se cumplan. Est se cnsigue siguiend una serie de pautas: - Identificar tds ls riesgs cncids del pryect - Realizar una evaluación de la prbabilidad de currencia y del impact ptencial - Cuantificar cual sería el cste de ls riesgs en cas de que currieran - Crear planes de acción para gestinar ls riesgs de alta priridad - Recncer y gestinar ls riesgs l antes psible Ls beneficis que se btienen al llevar a cab una buena gestión de ls riesgs sn: - Se reducen ls cstes del pryect - Se mejra la satisfacción del cliente - Se incrementa la capacidad y prbabilidades de éxit - Facilita el desarrll del pryect - Disminuye drásticamente las srpresas en ls pryects - Ayuda a la empresa a cnseguir ls bjetivs de negci y pryect evitand prblemas que pdrían causar pérdidas inesperadas y n planificadas. En tda gestión de riesgs es necesari desarrllar un plan de gestión de riesgs, que debería describir: - Una estrategia de gestión de riesgs - Alcance del esfuerz en gestión de riesgs - Cóm se piensa llevar a cab la identificación de riesgs - Cóm se va a llevar a cab el análisis de riesgs (cualitativ, cuantitativ, prirización) - Cóm se va a llevar a cab el plan de respuesta (n debe cntener ls prpis planes de respuesta ni tratar riesgs cncrets) - Cóm se va a llevar a cab la mnitrización y cntrl - Presupuest de gestión de riesgs - Calendari de actividades de gestión de riesgs - Rles y respnsabilidades 9
2. ROLES Y RESPONSABILIDADES DENTRO DE LA GESTIÓN DE RIESGOS A cntinuación se indican ls rles más relevantes en las actividades llevadas a cab durante las distintas fases del prces de gestión de riesgs del pryect. Desarrll del plan de gestión de riesgs - Jefe de pryect Desarrlla y mantiene el plan de gestión de riesgs. - Invlucrad en el negci Prprcina infrmación acerca del nivel de riesg que se cnsidera aceptable. - Aceptadr Prprcina entradas sbre ls criteris de aceptación de ls entregables que puedan influenciar sbre el riesg del pryect. Identificación de riesgs - Jefe de pryect Identifica ls riesgs del pryect. - Invlucrad en el negci Prprcina infrmación de histórics que sirvan de ayuda para la identificación de ls riesgs del pryect. - Experts en la materia - Prprcina infrmación de histórics que sirvan de ayuda para la identificación de ls riesgs del pryect. - Equip del pryect Trabaja cn el jefe del pryect para identificar riesgs. Análisis de riesgs - Jefe de pryect Analiza ls riesgs del pryect. - Invlucrad en el negci Valida las supsicines realizadas durante la planificación del pryect y prprcina entradas sbre las prbabilidades e impact del riesg. - Experts en la materia - Valida las supsicines realizadas durante la planificación del pryect y prprcina entradas sbre las prbabilidades e impact del riesg. Planificación de respuesta de riesgs - Jefe de pryect Dirige el prces de planificación de repuestas, identifica a ls participantes y define ls planes de respuesta de riesgs cn la ayuda del equip del pryect. - Invlucrad en el negci Participan en el desarrll de ls planes de respuesta de cada riesg individual y asumen la respnsabilidad de sus planes. Cntrl y mnitrización de riesgs - Jefe de pryect Respnsable final de la mnitrización y cntrl de riesgs. Es el respnsable del mantenimient del plan de riesgs. 10
- Invlucrad en el negci Identifican nuevs riesgs y riesgs que han cambiad; evalúan la efectividad de la gestión de riesgs, ls planes de respuesta y cualquier acción de respuesta. - Respnsable de un riesg Respnsable del plan de respuesta de un riesg. Cierre de la gestión de riesgs - Jefe de pryect Registra las leccines aprendidas durante la gestión de riesgs y prprcina ls resultads durante el cierre del pryect. Jefe de pryect Invlucrad en el negci Aceptadr Experts en la materia Equip del pryect Respnsable de un riesg Planificación gestión de riesgs Identificación de riesgs Análisis de riegs X X X X X X X X X X Planificación de respuesta de riesgs X X Cntrl y mnitrización de riesgs Cierre de la gestión de riesgs X X X X Tabla 1 Rles y respnsabilidades NOTA: En alguns pryects, el jefe respnsable del mism puede delegar este prces a tr miembr del equip. Sin embarg tda la respnsabilidad recae en el jefe de pryect. Si un jefe de pryect n ha sid identificad, el respnsable prtun se hará carg de este prces. 11
3. ACTIVIDADES DE GESTIÓN DE RIESGOS La gestión de ls riesgs del pryect incluye ls prcess relacinads cn la planificación de la gestión de riesgs, la identificación y el análisis de riesgs, las respuestas a ls riesgs, y el seguimient y cntrl de riesgs de un pryect; la mayría de ests prcess se actualizan durante el pryect: - Desarrllar un plan de gestión de riesgs - Identificar riesgs - Analizar riesgs - Planificar la respuesta de riesgs - Cntrlar y mnitrizar riesgs - Cierre de la gestión de riesgs En el siguiente gráfic se puede bservar cóm están relacinadas estas actividades: Desarrll del Plan de Gestión de Riesgs Identificar Riesgs Mnitrizar y Cntrlar Riesgs Analizar Riesgs Presupuest de riesgs Cierre de Gestión de Riesgs Plan de Respuesta de Riesgs Figura 2 Actividades gestión de riesgs Ests prcess interactúan entre sí y también cn ls prcess de las demás áreas. Cada prces puede implicar el esfuerz de una más persnas grups de persnas, 12
dependiend de las necesidades del pryect. Cada prces tiene lugar pr l mens una vez en cada pryect y se realiza en una más fases del pryect, si el pryect se encuentra dividid en fases. 3.1. DESARROLLAR UN PLAN DE GESTIÓN DE RIESGOS Una planificación cuidadsa y explícita mejra la psibilidad de éxit de ls trs cinc prcess de gestión de riesgs. La planificación de la gestión de riesgs es el prces de decidir cóm abrdar y llevar a cab las actividades de gestión de riesgs de un pryect. Es imprtante planificar y realizar una aprximación de las tareas relacinadas cn la gestión de riesgs de un pryect y realizar revisines sbre dichas actividades a l larg del pryect. ENTRADAS SALIDAS HERRAMIENTAS - Factres ambientales de la empresa. - Activs de ls prcess de la rganización. - Plíticas y estándares de la rganización. - Enunciad del alcance del pryect. - Plan de gestión del pryect. - Estructura de tareas desglsada (WBS) - Plan de gestión de riesgs - Reunines y análisis de planificación Tabla 2 Entradas, salidas y herramientas del plan de gestión de riesgs Las tareas relacinadas cn este prces sn: - Revisar entradas de riesg - Revisar el prces de riesgs end t end - Definir lista de actividades de gestión de riesgs - Estimar el esfuerz de ls riesgs - Asignar recurss a riesgs - Definir herramientas que se van a utilizar - Desarrllar planificación y presupuest de riesgs - Actualizar plan de cmprmiss 3.2. IDENTIFICAR RIESGOS El prces de identificación de riesgs cnsiste en determinar cuáles sn ls riesgs que pdrían afectar a ls pryects y en dcumentar sus características. Ls rles que nrmalmente están invlucrads en este prces sn el jefe del pryect, ls miembrs del 13
equip del pryect, el equip de gestión de riesgs (si se asigna un), experts en la materia ajens al equip del pryect, clientes, usuaris finales, trs jefes de pryects, interesads y experts en gestión de riesgs. Si bien ests miembrs del persnal sn a menud participantes clave de la identificación de riesgs, se debería fmentar la identificación de riesgs pr parte de td el persnal del pryect. - Entradas Salidas Herramientas - Categría de riesgs - Clasificación de fuentes de riesgs - Factres ambientales de la empresa - Activs de ls prcess de la rganización - Enunciad del alcance del pryect - Plan de gestión de riesgs - Plan de gestión de pryects (WBS, agenda, recurss, requisits, alcance, diseñ,..) - Infrmación histórica: leccines aprendidas en trs pryects - Registr de riesgs Riesgs identificads Disparadres Supsicines - Registr de riesgs - Artefacts para la identificación de riesgs (hja de cálcul ) - Revisines de dcumentación Tabla 3 Entradas, salidas y herramientas de identificación de riesgs Las tareas relacinadas cn el prces de identificación de riesgs se pueden resumir en ls siguientes punts: - Identificar riesgs - Cnsiderar fuentes de riesgs interns y externs - Categrización de riesgs - Identificación de disparadres - Cnslidación de riesgs 3.3. ANALIZAR RIESGOS El análisis de riesgs evalúa ls riesgs identificads en la fase anterir para determinar la prbabilidad de que curran, el impact del riesg, el impact acumulativ de múltiples riesgs y la priridad de cada riesg. Las actividades relacinadas cn el análisis de riesgs están divididas en tres categrías: - Análisis cualitativ de riesgs: evaluación del impact y la prbabilidad de currencia de ls riesgs sbre las salidas del pryect utilizand métds cualitativs. - Análisis cuantitativ de riesgs: evaluación matemática de la prbabilidad de currencia de cada riesg y sus cnsecuencias en las salidas del pryect. 14
- Prirización del análisis: centralizar el esfuerz de la gestión de riesgs y ganar el mayr impact psitiv psible sbre el pryect para dich esfuerz. El análisis de riesg debería ser revisad a través del pryect y ajustad en función de ls cambis que se vayan prduciend sbre ls riesgs del pryect. Mientras se lleva a cab el análisis de riesgs, es imprtante permanecer dentr del alcance tal y cm se definió en el plan de gestión de riesgs. Entradas Salidas Herramientas - Plan de gestión de riesgs - Lista de riesgs identificads (registr de riesgs) - Supsicines - Juici de experts - Enunciad del alcance del pryect - Activs de ls prcess de la rganización - Plan de gestión del pryect - Registr de riesgs actualizad - Lista de riesgs pririzads pr impact y prbabilidad - Evaluación de prbabilidad e impact de ls riesgs. - Matriz de prbabilidad e impact. - Evaluación de la calidad de ls dats sbre riesgs - Categrización de riesgs - Evaluación de la urgencia de riesgs - Técnicas de análisis cuantitativ de riesgs (y cualitativ) Tabla 4 Entradas, salidas y herramientas de análisis de riesgs Existen tres categrías en las que se dividen las tareas relacinadas cn el análisis de riesgs. - Análisis cualitativ de riesg Determinar el impact de currencia de riesgs (Cualitativ) Estimar la prbabilidad de currencia de riesg (Cualitativ) - Determinar la categría y priridad del riesg - Análisis cuantitativ de riesg Determinar el impact de currencia del riesg (Cuantitativ) Estimar la prbabilidad de currencia de riesg (Cuantitativ) Calcular el valr esperad 3.4. PLANIFICAR RESPUESTAS A LOS RIESGOS La planificación de respuestas a ls riesgs es el prces de desarrllar pcines y determinar accines para mejrar las prtunidades y reducir las amenazas a ls bjetivs del pryect. Se realiza después de ls prcess análisis cualitativ de riesgs y análisis cuantitativ de riesgs. La planificación de la respuesta a ls riesgs abrda ls riesgs en función de su priridad, intrduciend recurss y actividades en el presupuest, crngrama y plan de gestión del pryect, según sea necesari. El plan de respuesta de riesgs dcumenta: 15
- la estrategia de respuesta elegida para ls riesgs identificads - las accines detalladas para implementar la estrategia - quién es el respnsable de ls elements de riesg. Entradas Salidas Herramientas - Plan de gestión de riesgs - Lista de riesgs pririzads y cuantificads - Lista de riesgs para un análisis y gestión adicinal - Prpietaris del riesg - Plan de respuesta de riesgs - Riesgs residuales - Acuerds cntractuales relacinads cn el riesg - Reserva de riesgs necesaria - Plan de gestión del pryect actualizad - Registr de riesgs actualizad - Registr de riesgs - Estrategias para riesgs - Estrategia de respuesta para cntingencias Tabla 5 Entradas, salidas y herramientas de planificación de respuesta de riesgs Las tareas relacinadas cn la planificación de respuestas a ls riesgs sn: - Desarrll de la estrategia de respuestas a ls riesgs Identificar al prpietari del riesg - Desarrll e implementación del plan de estrategia de riesgs Evaluar y valrar la estrategia y planes de respuesta Implementar planes de cntingencia para ls riesgs aceptads Determinar riesgs residuales - Determinar la reserva de riesgs del pryect 3.5. CONTROLAR Y MONITORIZAR RIESGOS Cntrlar y mnitrizar riesgs es un prces que cnsiste en cntrlar ls disparadres de riesgs, gestinar ls riesgs identificads, realizar seguimients sbre ls riesgs residuales, descubrir nuevs riesgs, ejecutar planes de respuesta de riesgs y evaluar la efectividad de las accines de respuesta. La mnitrización de riesgs determina si: - Ls planes de respuesta de ls riesgs han sid implementads de la frma adecuada. - Ls planes de respuesta de ls riesgs sn efectivs si es necesari el desarrll de nuevs planes. - Las supsicines de ls riesgs cntinúan siend válidas. - Un disparadr del riesg ha currid. - Se han seguid las plíticas de la empresa. - Han aparecid riesgs n identificads. 16
El cntrl de riesgs nrmalmente implica elegir nuevas estrategias de respuesta, ejecutar planes de cntingencia, tmar accines crrectivas mdificar planes del pryect. Entradas Salidas Herramientas - Plan de gestión de riesgs - Plan de respuesta a ls riesgs - Cmunicación del pryect - Cambis de alcance - Identificación y análisis de riesgs adicinales - Registr de riesgs - Slicitudes de cambi aprbadas - Infrmes de rendimient - Dcumentación adicinal sbre riesgs del pryect, incluyend planes temprales, planes de acción crrectiva, slicitudes de cambi. - Leccines aprendidas - Actualizacines de infrmación de riesgs, planes de respuesta y estad de registr de riesgs - Plan de gestión del pryect actualizad - Accines crrectivas y preventivas recmendadas - Registr de riesgs - Auditrías de ls riesgs - Medición del rendimient - Reunines sbre el estad de la situación Tabla 6 Entradas, salidas y herramientas de cntrl y mnitrización de riesgs Ls planes de respuesta de riesgs deben ser evaluads de frma cntinua, y actualizads a l larg de la implementación del pryect. Debe dcumentarse cuánd y cóm se ha llevad a cab en el plan de gestión de riesgs. Es muy imprtante valrar el efect que prduce el plan de respuesta a ls riesgs para realizar ajustes e inclus actualizar dich plan para realizar una gestión de riesgs efectiva. El registr de riesgs y su efectividad deberían evaluarse según se indica a cntinuación: - Revisar el estad de ls riesgs cn el equip en reunines periódicas. - Revisar el estad de ls riesgs cn el cliente en reunines periódicas. - Hits principales del pryect. - Cm parte del prces de cntrl de cambis del pryect. 3.6. CIERRE DE LA GESTIÓN DE RIESGOS Cmpartir leccines aprendidas es un recurs muy valis en el ámbit de la gestión de riesgs. Estas leccines pueden prprcinar experiencia general sbre el prces de gestión de riesgs y su relación cn las salidas del pryect. Las leccines aprendidas deberían se capturadas a l larg de td el cicl de vida del pryect, n slamente en esta última etapa de cierre del pryect. Las siguientes preguntas pdrían ayudar a identificar estas leccines: - Qué se ha hech bien - Qué deberíams haber hech mejr de tra frma - Pdrían hacerse psibles mejras cambis en el prces de gestión de riesgs y en las herramientas existentes. 17
Entradas Salidas Herramientas - Plan de gestión de riesgs - Leccines aprendidas - Registr de riesgs - Planes de respuesta a ls dcumentadas en un infrme del riesgs desde el registr de cierre del pryect. riesgs - Mejras registradas para el - Cmunicación de riesgs prces, plantillas y herramientas - Realimentación del equip de la gestión de riesgs - Mejras registradas para trs prcess del pryect, plantillas y herramientas Tabla 7 Entradas, salidas y herramientas del cierre de gestión de riesgs Las tareas relacinadas cn el cierre del prces de gestión de riesgs sn: - Capturar leccines aprendidas - Prprcinar entradas al cierre del pryect 18
4. ENFOQUE DE ALGUNOS MODELOS Existen distints mdels que pueden prprcinar infrmación relativa a buenas prácticas para la implementación de la gestión de riesgs. Entre ells se encuentran CMMI, SPICE, PMBOK PRINCE2. CMMI y SPICE sn mdels de mejra de prcess que describen ls prcess que una rganización debe ejecutar para la adquisición, desarrll y mantenimient de prducts y servicis sftware. Ambs mdels cntemplan, entre sus áreas de prces dedicadas a la gestión de pryect, la gestión de riesgs. Para implementar crrectamente esta área, ambs mdels prpnen una serie de prácticas a seguir. Según SPICE, la gestión de riesgs cnsiste en identificar nuevs riesgs, trabajar para mitigarls de frma efectiva y evaluar el éxit de ls esfuerzs de mitigación. Para ell, hay que llevar a cab las siguientes prácticas: - Establecer el alcance de la gestin de riesgs - Definir estrategias de gestión de riesgs - Identificar riesgs - Analizar riesgs - Definir y realizar accines de tratamient de riesgs - Mnitrizar ls riesgs - Tmar accines preventivas crrectivas Según CMMI, la gestión de riesgs está dividida en 3 partes: - Definir una estrategia de gestión de riesgs - Identificar y analizar ls riesgs - Manejar ls riesgs identificads, incluyend la implementación de planes de mitigación cuand sea necesari. Para llevar a cab cn éxit una gestión de riesgs, CMMI prpne las siguientes prácticas: - Prepararse para una gestión de riesgs Determinar recurss y categrías Definir parámetrs de riesgs Establecer una estrategia de gestión de riesgs - Identificar y analizar ls riesgs Identificar ls riesgs 19
Evaluar, categrizar y pririzar riesgs - Mitigar riesgs Desarrllar planes de mitigación de riesgs - Implementar planes de mitigación de riesgs Pr tr lad, tenems ds métds rientads a la gestión de pryect que sn una clara referencia en este ámbit. PRINCE2 es un métd estructurad para una gestión de pryects efectiva sbre td tip de pryects, n slamente para sistemas de infrmación, aunque la influencia de esta industria sbre la metdlgía es clara. PRINCE2 es claramente un cicl de vida de pryect basad en seis grandes prcess que se ejecutan desde el cmienz del pryect hasta el cierre del pryect. PMBOK, a diferencia de PRINCE2, cnsiste en 12 capítuls que describen funcines basadas en áreas de cncimient cn ilustracines de sus respectivs prcess de gestión de pryect y descripcines narrativas en frma de entradas, herramientas y técnicas, y salidas. Una de estas áreas de cncimient es la gestión de riesgs. La planificación basada en prducts es una característica clave de PRINCE2, pniend el fc sbre ls prducts que se van a entregar y en su calidad, entendiend pr prduct cualquier dcument parte del sftware. Sin embarg, en el PMBOK la planificación es tratada cm una parte clave de las habilidades de la gestión de un pryect. Es un de ls 5 grups de prces aplicads a cada fase y es recncid cm un esfuerz que va en prgres a l larg de la vida del pryect. PRINCE2 y PMBOK tienen enfques muy diferentes. PMBOK se centra en trasmitir el cntenid de cada área de cncimient, n siend tan efectiv al prprcinar guías al ejecutar un pryect en particular. Pr tra parte, cm el enfque que da PRINCE2 está rientad al cicl de vida, es difícil ajustarl a cada área de cncimient. 20
5. REFERENCIAS A. Abran, J.W. Mre, P. Burque, R. Dupuis, Guide t the Sftware Engineering Bdy f Knwledge, IEEE Cmputer Sciety, 2004. Andrea Glze, Charlie Li y Shel Prince, Optimize Quality fr Business Outcmes - A practical apprach t sftware testing (2005) Behm, Barry, Sftware Risk Management, (1989) Drthy Graham, Erik Van Veenendaal, Isabel Evans y Rex Black, Fundatins f Sftware Testing - ISTQB Certificatin (2007) INTECO, Guía de mejres prácticas de calidad de prduct, 2007. Jnes, Capers, Assessment and Cntrl f Sftware Risks, (1994) K.E. Emam, J.N. Druin, W. Mel, SPICE: The Thery and Practice f Sftware Prcess Imprvement and Capability Determinatin, IEEE Cmputer Sciety Press, 1998. M.B. Chrissis, M. Knrad, S. Shrum, CMMI Secnd Editin. Guidelines fr Prcess Integratin and Prduct Imprvement, Addisn-Wesley, 2007. Enlaces PMI - Prject Management Institute, www.pmi.rg PRINCE2 - PRjects IN Cntrlled Envirnments, www.prince2.cm/ SEI - Sftware Engineering Institute, www.sei.cmu.edu/ 21