GESTIN DEL RIESGO EN PROYECTOS DE TECNOLOGIAS DE LA INFORMACIN J. Marcelo Cocho 1, M.D. Arango Serna2, J.O.

Montesa3
1 ,2,3

Departamento de Organizacin de Empresas. Universidad Politcnica de Valencia.

ABSTRACT Considering that management instrument for different levels of risk projects, makes that project managers making decision in may risk cases to guarantee success in their projects. The risk is the central element of a classic security model aplayible to the whole static or dynamic system, neither being an organization or project. Fragility alone do not mean risk in the project actives, fate their combination with the resulting impact of the materialize occurrence of the event threat or risk factor - that promotes the risk. The risk must be studied in all its stages in the project and must use suitable proceedings for its management and reduction.

INTRODUCCION Es factible y til el hablar sobre el riesgo de implantacin durante la etapa de estudio de viabilidad. El anlisis del riesgo puede ser de ayuda tanto para aquellos que trabajan en proyectos individuales como para el departamento o la empresa globalmente. El presente artculo desea mostrar un enfoque de anlisis sistemtico que no solo puede reducir el nmero de fracasos, sino que establezca un eslabn de comunicacin y ayuda a los jefes de TI (Tecnologas de la Informacin), a los usuarios y a la alta direccin a fin de lograr un acuerdo sobre los riesgos que se van a asumir, en lnea con los objetivos de la empresa, en cada uno de los proyectos de TI. Puesto que muchos proyectos tienen ciclos de vida de varios aos, la problemtica de direccin de estos proyectos ha de tratarse separadamente de la del sistema de control de gestin. Lo cual permite que se aborde el riesgo desde una ptica multifuncional que involucre diferentes tipos de variables, como son: Tamao del Proyecto, La Experiencia con la Tecnologa y la Estructura del Proyecto. Gran parte de la bibliografa y conocimientos existentes sobre este tema indican que no hay una sola manera correcta de hacerlo; en contraposicin con aquellos directivos que aplican uniformemente a todos los proyectos un mismo grupo adecuado de instrumentos o mtodos de gestin.

Aunque ciertamente existe un grupo de instrumentos de utilidad general, la contribucin de cada uno a la planificacin y el control del proyecto vara ampliamente segn las caractersticas del mismo. Adems, los mtodos de participacin de los usuarios.

ALGUNOS CONCEPTOS BSICOS Las Sociedades de Servicios Informticos (SSI) que certifican sus procesos de produccin segn la norma ISO 9001 han de seguir procedimientos contrastables para asegurar la calidad para su cliente de su producto (en este caso, el proyecto informtico). La experiencia y el anlisis de los proyectos informticos muestran que a lo largo de su ciclo de desarrollo es necesario estudiar las posibles perturbaciones y su riesgo, para organizar los proyectos y gestionarlos teniendo dicho riesgo en cuenta. Los Gestores de Proyectos han de tomar decisiones similares cuando manejan los riesgos que amenazan el xito de su proyecto. El riesgo est siempre presente por definicin en un proyecto, pues toda realizacin futura implica cierto grado de incertidumbre: lo que importa es su aceptabilidad relativa comparada con otros factores del proyecto. El riesgo forma parte de la vida cotidiana y se asocia habitualmente con eventos adversos o nocivos frente a los que no se tiene un grado de eleccin sobre el nivel de riesgo al que se quiere estar expuesto.

Gestin de Riesgos El riesgo es un elemento central de un modelo de seguridad clsico aplicable a todo sistema esttico o dinmico, sea una organizacin o un proyecto. Este modelo se apoya en seis elementos: dominio de activos; amenazas; vulnerabilidad; impactos; riesgos; y salvaguardas - o sea medidas de reduccin del riesgo -. Estos seis elementos requieren cierta interpretacin en el caso de que el dominio de anlisis o identificacin de los riesgos sea un proyecto informtico. Un proyecto es un dominio compuesto de activos, que en este caso son la duracin del proyecto, su estructura, su coste, etc. Sobre cada activo se ciernen posibles amenazas -llamadas factores de riesgo a menudo en el caso de los proyectos- que se relacionan con ciertas caractersticas

del propio proyecto (su tamao, su novedad tecnolgica, su estructuracin, sus actores, la presencia de subcontratas, las relaciones con otros proyectos) u otras caractersticas de los referentes del proyecto, sean el sistema de informacin donde aqul se inserta (los actores, la envergadura, la comunicacin de requisitos y resultados entre especialistas y usuarios, la estabilidad del entorno) o sea el sistema informtico deseado (su complejidad, la dispersin de sus instalaciones, el cambio tecnolgico que supone, etc.). En el caso del riesgo de un proyecto, la vulnerabilidad es el nivel de cada amenaza o factor de riesgo El impacto mide las consecuencias directas e indirectas de dicha materializacin, en forma de distancia entre el estado final alcanzado y el estimado de los activos (duracin, estructura, coste); distancia que puede quedar en incumplimiento o en degradacin del propio referente del proyecto. La vulnerabilidad sola no supone riesgo en los activos del proyecto, sino su combinacin con el impacto resultante de materializarse la ocurrencia del evento -amenaza o factor de riesgo- que promueve el riesgo. Dichas medidas - llamadas salvaguardas o contramedidas en los mtodos para la seguridad de los sistemas- se deben tomar tambin en el caso de un proyecto para reducir el riesgo calculado (en su vulnerabilidad o en su impacto) por debajo de un umbral de riesgo aceptable.

Gestin de Riesgos en el ciclo de vida de los Proyectos El riesgo debe estudiarse en todas las etapas de un proyecto y deben usarse procedimientos adecuados para su gestin o reduccin. No hacerlo conduce a que el proyecto sufra los impactos reseados: incumplimiento de requerimientos/ especificacin, deslizamientos serios en coste y en plazo. La realizacin adecuada de dicho estudio permite a los Gestores de Proyectos concentrar recursos en las reas donde los riesgos son altos y contenerlos dentro de lmites razonables. El estudio de los riesgos y su gestin es un proceso continuo que debe realizarse al inicio de cada fase del proyecto, si ste tiene cierta envergadura, sintetizando resultados en ciertos puntos del ciclo del proyecto como una fase ms de ste. El proveedor, como futuro realizador del proyecto, estudia el riesgo de ste, sea cual sea su envergadura, tanto en el caso de riesgos genricos como en el de riesgos de un proyecto, su estudio se suele organizar en un modelo que ya es clsico , con dos grandes fases: La fase de Anlisis de los Riesgos comprende las dos etapas de Identificacin y de Estimacin de los riesgos; arranca de la identificacin de sus activos y de las amenazas que pueden desviarle del estado final deseado, pasa por la apreciacin de la vulnerabilidad e impactos y llega hasta la evaluacin de los riesgos;

La fase de Gestin de los Riesgos parte de dicha evaluacin para organizar las dos siguientes etapas de Planificacin y Supervisin, tanto de las medidas preventivas o reductoras necesarias como de la gestin de los riesgos residuales que se consideren asequibles.

Etapa de Identificacin de Riesgos en un proyecto La Identificacin de los Riesgos es el aspecto ms importante del estudio, pues los riesgos no identificados son los que causan los problemas del proyecto. Otras vas para identificar posibles riesgos suelen ser: los planes de produccin y evaluacin del proyecto; las actividades de control de calidad; las auditoras del proyecto y de su calidad; las propias reuniones del equipo del proyecto para ver su progreso; las sesiones de evaluacin del cambio e incluso las de generacin de ideas (brain storming). Una lista de comprobacin para la Identificacin de los riesgos consiste en una serie de preguntas relacionadas con el proyecto y agrupadas en reas de riesgo potencial. Cada pregunta connota uno o ms factores de riesgo para el proyecto y responderla afirmativamente confirma un riesgo potencial que se debe profundizar con su estimacin. Por ejemplo, un Grupo empresarial europeo usa una lista de comprobacin para identificar riesgos de proyectos con 212 preguntas agrupadas en estas 16 reas: Comercial; Cliente; Contrato; Aceptacin; Requerimientos Funcionales; Requerimientos Tcnicos; Prestaciones, fiabilidad, disponibilidad, mantenibilidad; Usuarios; Entorno de Desarrollo; Software de Sistema; Herramientas y Mtodos; Arquitectura del Sistema buscado; Plan del Proyecto; Direccin del Proyecto; Habilidades en el Grupo; Adquisiciones externas.

Etapa de Planificacin de la gestin de riesgos en un proyecto La Planificacin de la gestin de riesgos engloba por una parte el desarrollo de las acciones correctoras para su reduccin. Es posible y deseable conseguir acciones de salvaguarda que reduzcan o eliminen la mayora de riesgos. Estas actividades de reduccin de riesgo se planifican e incorporan en los planes del proyecto. Estos riesgos aceptados se documentan en los planes de proyecto y regularmente se reevalan, conjuntamente con otros riesgos, por si su relevancia cambia. El proceso de planificacin de gestin de estos riesgos admisibles incluir la evaluacin de planes alternativos de accin e influir en las medidas de contingencia incluidas en los planes de proyecto. El nivel de detalle para los planes de acciones correctoras, reduccin de riesgo y su supervisin es proporcional a la importancia del impacto asociado. Para riesgos poco significativos en un proyecto pequeo de bajo riesgo, estos planes se incluyen totalmente en el Plan de la Calidad del Proyecto. Para riesgos altamente

significativos en un proyecto grande de alto riesgo, se necesita una planificacin ms detallada y producir un Plan de Gestin de Riesgos por separado.

Etapa de Supervisin del plan de gestin de riesgos La frecuencia de una actividad de Supervisin peridica depende del proyecto: muy frecuente (por ejemplo semanal) para un proyecto grande de alto riesgo, menos frecuente (por ejemplo mensual) para otro pequeo de bajo riesgo. Los riesgos externos pueden enfocarse como parte de las reuniones con el cliente. Una parte importante del proceso de Supervisin es la re-evaluacin de un riesgo, cuando se puede mostrar que ste ha cambiado, por ejemplo:

en su importancia o prioridad (como resultado de actividades de reduccin de riesgo o a causa de algn evento externo); por nuevos planes de acciones correctoras para el riesgo; por nuevas acciones de salvaguarda que han podido reducirlo o eliminarlo; porque se ha reemplazado el riesgo en estudio por otros ms especficos; bien simplemente porque la situacin de riesgo se ha materializado.

Riesgo en peticiones de ofertas, respuestas y contratos El proceso cannico presentado conserva bsicamente las etapas anteriores, pero las modula en cuanto a su alcance, objetivos y tcnicas segn la fase del propio proyecto en la que se estudia el riesgo, con una clara divisoria entre las fases precontractuales y las postcontractuales del proyecto. Ciertas empresas consideran incluso ms importante realizar el estudio del riesgo de las ofertas que el de los proyectos que derivan de ellas. La evaluacin obligatoria de cada propuesta consiste en:

Definir, analizar y evaluar los factores del riesgo Determinar las acciones a tomar para evitar o minimizar los resultados de los riesgos Realizar el seguimiento de esas acciones Archivada toda la documentacin que genere la gestin del riesgo en el dossier de la propuesta

Normalmente el estudio de los Riesgos de las Ofertas lleva a una decisin sencilla, coherente con la informacin disponible (en general poca, en esta fase tan temprana) y puede tener un objetivo dicotmico (hacer o no la oferta). Relaciones con el Cliente: problemas anteriores de cobro; solvencia financiera; actitud de los usuarios potenciales del sistema; nivel de participacin del usuario en la propuesta. Ciertos coeficientes ponderan los valores de los factores de riesgo ligados a las preguntas del cuestionario para obtener el riesgo en cada una de las 8 reas, as

como un riesgo global del proyecto. Cuando una propuesta resulte ser de alto riesgo, se elabora un documento que cubra no slo las diversas opciones tcnicas posibles, sino los planes de contingencia para cada opcin, los recursos requeridos para cada opcin y su coste asociado, as como los puntos de seguimiento de los riesgos. Estimacin de riesgos con ayuda de Euromtodo Euromtodo realiza la Gestin de los riesgos precontractuales de un proyecto en las fases de Anlisis -Identificacin, Estimacin- de los riesgos, de Planificacin de su Gestin (iniciada con una etapa de Diseo de la estrategia de desarrollo) y de su Supervisin. El Anlisis inicia con la Identificacin de los riesgos a partir de la Estimacin del nivel de riesgo implicado en cada uno de los 39 factores de riesgo enumerados (llamados aqu factores situacionales por ser propiedades de la situacin que genera riesgos). Estos niveles se toman en cuenta en el diseo de la estrategia de desarrollo de la propuesta del proyecto o servicio. Los factores de riesgo se agrupan segn dos grandes criterios: Criterio de adscripcin al dominio objetivo (el sistema informtico deseado y el sistema de informacin donde aqul se incrusta) o al dominio proyecto en s; Criterio de megafactores de riesgo, siguiendo los conceptos de Complejidad o Incertidumbre, que son relevantes en cuanto a la tipologa de las familias de las salvaguardas adecuadas para contrarrestarlos. Se tiene as el siguiente cuadro de agrupacin:

Euromtodo proporciona una gua detallada para estimar la vulnerabilidad de la propuesta - o la probabilidad de los riesgos que le pueden afectar- a partir de la estimacin del nivel de los factores de riesgo. Planificacin de la Gestin del Riesgo La Planificacin arranca de la Estimacin citada del nivel de los factores de riesgo para disear la estrategia de gestin de riesgos y, a partir de sta, la estrategia de desarrollo del proyecto. El plan de gestin de riesgos representa una eleccin entre las opciones disponibles (no todas lo estn) para reducir la vulnerabilidad y/o el impacto de los riesgos. Euromtodo resea diferentes Opciones para la estrategia de desarrollo de los proyectos o servicios e indica cuatro niveles de gestin (organizacin, desarrollo, contrato, proyecto/servicio) donde elegir.

La primera parte de la estrategia de gestin de riesgos parte de estimar cualitativamente cuales de los 39 factores situacionales tienen valores que contribuyen a identificar ciertos riesgos y a clasificarlos como crticos. Estos riesgos influyen en la definicin de la estrategia y en la particularizacin de los hitos, por lo que deben documentarse e integrarse en el plan del proyecto. La segunda parte de la estrategia busca reducir estos riesgos crticos con ayuda de una heurstica para encontrar las componentes de la estrategia de desarrollo del proyecto (cuyos requerimientos se insertarn en los hitos correspondientes del plan). La Gestin global de riesgo maneja la complejidad y/o la incertidumbre de la situacin e induce a incluir en el plan acciones sobre los enfoques, hitos y recursos. La reduccin de riesgo en la descripcin ha de combinar las opciones anteriores, aunque se puede prever que reducir complejidad slo con descripcin analtica introduce incertidumbre en las interfaces de los Subsistemas; y reducir incertidumbre slo con descripcin experimental introduce ms complejidad y requiere nuevas salvaguardas analticas. Riesgo en el desarrollo de un proyecto individualizado El estudio de los distintos riesgos que pueden afectar postcontractualmente a un Proyecto lleva a decisiones ms complejas, que son adecuadas al aumento de la informacin disponible y tienen como objetivo la incrustacin en la propia organizacin del proyecto de acciones de salvaguarda mucho ms precisas y por ende ms complejas y costosas. La identificacin y estimacin de los riesgos an se apoya en cuestionarios, incluso en el propio Software Engineering Institute (SEI). Los valores de los factores de riesgo ligados a las preguntas del cuestionario se componen con pesos determinados para obtener el riesgo del proyecto en cada una de las 16 reas, as como un riesgo global del proyecto, donde las 16 reas pesan de forma equivalente, salvo las dos referentes a la Definicin de

requerimientos y a la Recepcin del proyecto, como ms influyentes, y las dos referentes al Hardware y al Efecto en los usuarios, como menos influyentes que el resto. La gestin de los grandes sistemas de informacin corporativos y el continuo incumplimiento de las previsiones en los proyectos ha ido extendiendo una nueva cultura del riesgo, tanto en los grandes proyectos individualizados como en la cartera de los proyectos que gestiona una entidad. Considera slo 3 grandes Factores de riesgo inherentes al proyecto: Inexperiencia en tecnologas, No estructuracin, Envergadura. La inexperiencia en nuevas tecnologas es otro factor clsico de incertidumbre que a menudo se solventa con contratacin externa de recursos experimentados. La envergadura del proyecto es un factor tradicional de complejidad que se traduce en trminos de esfuerzos y recursos (monetarios, temporales, personales, jerrquicos, nmero de departamentos afectados), tanto absolutos como relativos. (por ejemplo no se corren riesgos semejantes con 100 proyectos de 10 Mpts de media que con un proyecto de 1000 Mpts. y habra adems de saber la experiencia del equipo en cuanto a tamao de proyectos). CONCLUSIONES Las medidas globales para reducir los riesgos en los proyectos, adaptndose a la cultura de la organizacin seran las siguientes:

Identificar preventivamente los riesgos de cada proyecto y tomar decisiones para reducirlos o controlarlos Calcular y gestionar estratgicamente el riesgo de la cartera de proyectos de la organizacin (con decisiones de alto nivel para emprenderlos o rechazarlos) Gestionar cada proyecto con los mtodos adecuados a su naturaleza y riesgos

En la estimacin de esfuerzos, costes e importe del proyecto, se efectan siempre ciertos supuestos. Para poder evaluar el xito y rentabilidad del proyecto y capitalizar la experiencia con vistas a la realizacin de futuras propuestas, es esencial que se tengan en cuenta todos los factores y se registre su evolucin. Los mtodos de cuantificacin de la estimacin de riesgos se acerca cada vez ms a los tradicionalmente empleados para el propio desarrollo del proyecto. Bsicamente se pueden recoger tres aproximaciones de los mtodos de estimacin de riesgos con los tres grandes mtodos de organizacin/estimacin de esfuerzos, empleables en tres fases distintas del ciclo de vida del proyecto. Para la fase precontractual, donde se emplea Euromtodo, el marco metodolgico ITEOR es una buena ayuda metodolgica para estimacin temprana del esfuerzo de desarrollo de los proyectos basada precisamente en los mismos factores de riesgo o situacionales de Euromtodo, combinados con ciertos parmetros y ponderaciones semejantes a las empleadas por el mtodo FPA (puntos funcionales), aunque reorientndolos al desarrollo metodolgico con objetos.

La escuela de Boehm tambin viene ampliando su mtodo de estimacin evolucionado Cocomo II con la estimacin de riesgos, teniendo en cuenta en todo caso la informacin de que se disponga en la fase de desarrollo del proyecto sobre las unidades mtricas. REFERENCIAS Ver por ejemplo MAGERIT, el Mtodo de Anlisis y Gestin de Riesgos en Sistemas y Tecnologas de Informacin de las Administraciones Pblicas,
2

Boehm, B. Software Risk Management, IEEE Computer Soc. press, 1989.

Charette, R. Software Engineering Risk analysis and Management, McGraw Hill, 1989.
4

Project Risk Mangement Handbook: Identification, Sema Group, enero 1993.

Carr, M. Taxonomy-Based Risk Identification, SEI-93-TR-006, Software Engineering Institute, 1993. 6 Sisti, F; Sujoe, J. Software Risk Evaluation version 1.0, Technical Report CMU/SEI-94-TR-19, Software Engineering Institute, 1994.
7 8

Charette, R. Large-Scale Project Management IS Risk Management, op.cit. Applegate, L.; McFarlan F.; McKenney J. Cap. 11: A Portfolio approach to Information Technology Development, en Corporate Information Systems Management, Irvin, 4 ed., 1996.
9

ITEOR versin 1.0, Project Assessment, Sema Group plc. 1998 (prxima versin en castellano).
10

Madachy, R. Heuristic Risk Assessment using Cost Factors, en la monografa Software Risk Management, IEEE Software, pp.51 a 59, mayo-junio 1997. CORRESPONDENCIA A: 1. J. Marcelo Cocho : julian.marcelo@sema.es 2. M.D. Arango Serna : marango@omp.upv.es 3. J. O. Montesa : jomontesa@upvnet.upv.es, Universidad Politcnica de Valencia Departamento de Organizacin de Empresas Camino de Vera, s/n 46071.Valencia. Espaa.