CAPITULO V MODELO PARA LA GESTION DEL RIESGO EN PROYECTOS ...
Transcript of CAPITULO V MODELO PARA LA GESTION DEL RIESGO EN PROYECTOS ...
181
CAPITULO V
MODELO PARA LA GESTION
DEL RIESGO EN PROYECTOS DE TECNOLOGIA DE INFORMACION EN LA INDUSTRIA PETROQUIMICA NACIONAL.
1. PRESENTACION
Este modelo persigue el desarrollo y el mejoramiento del proceso de
gestión de riesgos, en la ejecución de proyectos de tecnología de
información en la industria petroquímica nacional, por cuanto es
importante en toda organización contar con una herramienta, que
garantice la correcta evaluación de los riesgos, a los cuales están
sometidos los procesos y actividades que participan en un proyecto de
este tipo, de manera que por medio de una buena gestión se pueda
evaluar el desempeño, desarrollo y ejecución del mismo.
Tomando en cuenta los resultados, se encontró en el entorno
petroquímico nacional la ausencia de este tipo de herramientas y teniendo
en cuenta que una de las principales causas de los problemas dentro del
entorno de la tecnología de la información, es la inadecuada
administración de riesgos. Resulta claro, la propuesta de un modelo que
sirva de apoyo en la gestión de riesgos, basándose en aspectos como
análisis, estimación, tratamiento, seguimiento, control de los riesgos.
182
2. CONCEPTUALIZACION
El modelo, para la gestión del riesgo en proyectos de tecnología de
información en la industria petroquímica, se define como el proceso
metodológico que consta de 6 fases entre las que se tiene, definición del
plan, análisis, seguimiento, control, tratamiento y comunicación de los
riesgos desarrollado con el fin de presentar acciones para enfrentar los
riesgos que se generan en los proyectos de tecnología de información, es
decir a los que están expuestos, originados en amenazas provenientes del
exterior de la empresa.
El mismo busca, definir y diseñar controles preventivos; tomar
medidas de protección, y desarrollar programas de recuperación o planes
de contingencia ante la posible ocurrencia de siniestros que puedan
afectar la planeación, ejecución, implantación y entrada en producción de
un proyecto en una organización como la industria petroquímica naciona l.
3. OBJETIVOS
Presentar un modelo para la gestión de riesgos en proyectos de
tecnología de información en la industria petroquímica nacional.
Proporcionar a la industria petroquímica nacional un conjunto de
pasos inherentes al proceso de gestión de los riesgos en proyectos de
tecnología de información, que permita encaminarlo a la correcta
elaboración de las actividades.
183
4. ALCANCE
El modelo para la gestión del riesgo en proyectos de tecnología de
información se caracteriza por ser funcional, con un enfoque práctico y
esquemático, con el objetivo de evaluar, analizar y controlar los elementos
que amenazan con el curso del proyecto.
Definir y documentar un modelo para la gestión de riesgos en
proyectos de tecnología de información de una manera estructurada,
modulada por (fases o etapas) que permita identificar, estimar, seguir,
controlar y tratar los riesgos en la industria petroquímica nacional. El
mismo fue desarrollado para ser implantado por los gerentes, supervisores
y analistas del los proyectos de tecnología de información, pero de
adaptación a cualquier empresa que maneje este tipo de proyectos, con
previa realización de un estudio particular.
5. ESTRUCTURA DEL MODELO
A partir de la presentación y discusión de los datos obtenidos, se
propone un modelo para la gestión del riesgo en proyectos de tecnología
de información en la industria petroquímica nacional tomando una síntesis
de lo expuesto por Winter (2010), ISACA (2009), Esteves (2005), PMBOK
(2004) y la IEEE (2001); quedando estructurado en 6 fases: definición del
plan para la gestión del riesgo, análisis, estimación de los riesgos,
tratamiento, seguimiento y control y la comunicación de los riesgos.
184
Figura 14. Modelo para la gestión de riesgos en proyectos de tecnología de información Fuente: Sánchez (2011)
FASE I. DEFINICIÓN DEL PLAN
En esta fase se busca definir y conformar el alcance, entender el
ambiente de trabajo donde se desarrollará el proyecto, identificando el
responsable así como el equipo que formará parte en el mismo. Es decir,
se busca desarrollar un plan de trabajo acorde con las necesidades
planteadas y con los requerimientos de cada cliente. Para dar
cumplimento a esta fase se deben realizar las siguientes actividades: (1)
conformación del equipo de trabajo (2) proceso de sensibilización (3)
confirmación del alcance del proyecto (4) identificación de
riesgos.
185
Figura 15. Actividades de la Fase definición del plan del proyecto Fuente: Sánchez (2011)
1. Conformación del equipo de trabajo
Para realizar los proyectos de tecnología de información, es
necesario conformar un equipo de trabajo interdisciplinario y con el apoyo
puntual de las áreas que se requieran y deban participar en el análisis y
estimación de riesgos, donde se cumplan mecanismos de integración,
comunicación y coordinación tal y como se representa en la siguiente
figura:
186
Figura16. Esquema de trabajo del equipo. Fuente: Sánchez (2011)
Para la conformación de equipos en los proyectos de tecnología de
información se debe tomar en cuenta sus funciones:
a) Conformar el comité directivo del proyecto con roles y
responsabilidades definidas que ayuden a disminuir conflictos al tomar
decisiones y al apoyar el proyecto.
b) Divulgar la metodología a utilizar para hacer el análisis y
valoración de riesgos en proyectos de tecnología de información a los
participantes por parte de la gerencia de automatización, informática y
telecomunicaciones.
c) Analizar los ajustes y mejoras requeridas en el modelo de acuerdo
con los cambios que hayan surgido.
187
d) Recolectar la información necesaria relacionada con las
actividades del modelo teniendo en cuenta los controles que se
implementan y buscan mejorar el escenario del riesgo y disminuir su
impacto.
e) Aplicar el modelo teniendo en cuenta los ajustes y mejoras que
hayan sido requeridas y que fueron el resultado del análisis de la misma.
f) Efectuar reuniones periódicas con los diferentes miembros del
equipo de trabajo, para conocer el estado de avance del análisis y
valoración.
g) Analizar la información y validar los resultados obtenidos de
acuerdo con la metodología aplicada.
h) Estructurar el informe final del análisis y estimación de los riesgos.
Para realizar el equipo de trabajo se deben llevar a cabo tres
actividades: definición del equipo de trabajo, conformación del comité y
asignación de roles y responsabilidades, tal y como se muestra en la
figura siguiente:
Figura17. Conformación del equipo de trabajo. Fuente: Sánchez (2011)
188
Definición del equipo de trabajo
Figura18. Definición del equipo de trabajo. Fuente: Sánchez (2011)
El gerente del proyecto, realizara una cuidadosa selección del
personal conjunto a la gerencia de recursos humanos, con el fin de
conocer el perfil del trabajador y su experiencia en proyectos similares
para esto deberán:
a) Definir perfiles del equipo requerido, verificar los resúmenes
curriculares de los trabajadores a participar en el proyecto.
b) Analizar las habilidades que tienen y el potencial para aprender
otras.
c) Asegurarse que el personal cuente con la capacitación que
necesitan para desempeñar su trabajo, de no ser así, capacitar al personal
189
en temas como la filosofía de hacer trabajo en equipo, como tomar
decisiones en equipo, habilidades para la comunicación y relaciones
interpersonales.
d) Definir personal que conformara el equipo de trabajo.
e) Esta actividad debe realizarse en un lapso no mayor a seis meses
con el fin de conocer con anterioridad el personal que participara en el
desarrollo del proyecto.
Conformar el comité directivo del riesgo
Para conformar el comité directivo de riesgo el equipo de trabajo
debe: (a) Planificar reuniones de trabajo semanales con el fin de dar a
conocer el propósito del comité directivo, las actividades que este
realizara, sus funciones y obligaciones. (b) Propiciar las discusiones de
trabajo o intercambio de ideas con el fin de proponer cambios o nuevas
funciones del comité directivo de riesgo. (c) Seleccionar el comité
directivo a través de un proceso de votación donde participaran los
miembros del equipo de trabajo.
Figura19. Conformación del comité directivo del proyecto. Fuente: Sánchez (2011)
190
Esta actividad debe realizarse durante dos semanas, con el fin de
dar a conocer las perspectivas del grupo, dedicándose un día al proceso
de votación.
Definir Roles y Responsabilidades
A continuación se describen los roles y responsabilidades que deben
ser asignadas al personal para dar continuidad a la gestión de riesgos
propuesta:
Responsables de área: Los responsables de cada equipo o área,
en este caso los analistas del proyecto, deberán integrar la información de
todos los riesgos, asegurar la precisión de las estimaciones de
probabilidad, del impacto y la clasificación, reconsiderar la prioridad de
todos los riesgos para determinar los riesgos más importantes, revisar
recomendaciones para las acciones de mitigación, implementar decisiones
de control sobre los riesgos, construir planes de acción recoger e informar
sobre las medidas del riesgo, e informar periódicamente al jefe del
proyecto sobre la situación de los riesgos.
Comité directivo de riesgo: Se recomienda formar un equipo
interno de gestión de riesgos, el cual estará encargado de coordinar las
actividades para identificar y analizar los riesgos, mantener la lista de los
riesgos del proyecto, notificar nuevos riesgos e informar periódicamente al
jefe del proyecto el estado actual de los riesgos.
191
Jefe del proyecto: Este deberá autorizar recursos para la mitigación,
integrar la información recolectada por todos los responsables de área
sobre los riesgos, revisar su prioridad con el fin de determinar cuáles son
los riesgos importantes, tomar decisiones de control, asignar y cambiar
responsabilidades así como también, desarrollar planes de mitigación
dentro del proyecto.
Esta actividad se realizara en una semana, debido a que solo se
definen las responsabilidades.
2. Proceso de sensibilización
Se debe fomentar en la organización y en el proyecto la cultura del
riesgo. En la medida en que se perciban los riesgos a qué se está
expuesto, se está en capacidad de administrarlos. Esta actividad es
transversal, es decir, se ejecuta durante el desarrollo de todo el proyecto y
se puede decir que de aquí depende en gran parte el éxito del mismo.
Todo integrante del equipo del trabajo juega un papel importantísimo
en la gestión de riesgos, toda vez que al ser parte activa del proceso,
consolida una cultura organizacional que garantiza la adecuada protección
de los bienes, recursos y procesos de la corporación asegurando un
manejo de los riesgos en forma racional, óptima, integral, confiable,
altamente participativa y a costo mínimo. Con esta actividad lo que se
pretende es identificar las características generales de las personas
involucradas en el proyecto, así como las percepciones, motivaciones y
192
sugerencias que tiene frente a la gestión de los riesgos, reconociendo la
conformación e interrelación entre los distintos equipos de trabajo, todo
esto para generar las estrategias de sensibilización y comunicación que
faciliten la implementación exitosa del proyecto en la entidad y la
adecuada gestión del riesgo durante su ejecución. Para llevar a cabo un
adecuado proceso de sensibilización el comité de riesgo del proyecto
debe:
a) Brindar charlas y talleres al personal gerencial sobre la
importancia de la detección y prevención de riesgos en todas las fases del
proyecto, enfocada en experiencias vivenciales.
b) Fomentar una campaña de detección de riesgos en proyectos a
través de folletos, carteleras y trípticos dirigidos especialmente al sector de
la tecnología de información, durante la ejecución del proyecto.
c) Utilizar instrumentos como encuestas, entrevistas u observación
con el fin de definir estrategias para sensibilizar. Generar incentivos
económicos cuando se demuestre la reducción del riesgo en los
proyectos.
d) Enfocar la capacitación al reforzamiento del poder, el querer y el
saber partiendo del hecho de reconocer que las personas son los artífices
del cambio. Asumiendo que el ser humano no es resistente al cambio sino
a ser cambiados, por tanto el verdadero cambio se da en el interior de las
personas. Así como también suministrar conceptos, metodologías y
herramientas de análisis, entrenando a todos los involucrados.
193
Figura 20. Proceso de sensibilización Fuente: Sánchez (2011)
Para dar cumplimiento esta actividad, debe ser ejecutada en un
lapso de seis meses, con el fin de romper con la resistencia a la
identificación y análisis de los riesgos presentados en los proyectos de
tecnología de información.
3. Confirmación alcance del proyecto
El objetivo de esta actividad es que el equipo del proyecto y la
organización tengan muy en claro lo que contemplará el proyecto, cuáles
procesos, aplicaciones, servidores, ins talaciones, bases de datos, u otras
cosas estarían incluidas en el estudio.
Además, se debe estar muy atento en conservar el alcance,
confirmarlo y no permitir que se modifique o cambie, de esto depende en
gran parte el éxito del proyecto .Para confirmar el alcance del proyecto, el
equipo del proyecto debe: (a) Planificar una reunión de trabajo con el fin
de dar a conocer el alcance del proyecto (entregables). (b) Desarrollar
194
estructura de desglose de trabajo (EDT). (c) Definir el cronograma (plan
de trabajo) que contenga las actividades, las fechas de inicio y de
culminación, los recursos, el presupuesto y los productos e informes que
se deben elaborar y entregar. (d) Concretar el formato de los informes de
avance, presentaciones y actas. (e) Establecer reuniones de seguimiento
con el equipo de proyecto .
f) Pautar las reuniones periódicas de presentación de avances con el
comité directivo y los clientes (áreas dueñas o para quienes se está
realizando el trabajo). (g)Realizar un recorrido por las instalaciones con el
equipo de trabajo, aquí se busca conocer el entorno de trabajo, la
asignación de una oficina de reunión y los recursos necesarios tales como
escritorios, sillas, teléfonos, computador, redes entre otros.
Para dar cumplimiento a esta actividad, requiere ser ejecutada en
una semana aproximadamente.
4. Proceso de Identificación
En este proceso el equipo del proyecto debe determinar qué tipos de
riesgos es más probable que afecten al proyecto de tecnología de
información y documentar las características de cada uno. No olvidando
que debe realizarse a largo de todo el proyecto. La meta en la
identificación de riesgos es la elaboración de una lista de los riesgos con
los que el equipo deberá enfrentarse. El comité directivo de riesgo, debe
realizar las siguientes actividades para identificar los riesgos:
195
a) Propiciar discusiones de trabajo o intercambio de ideas con el fin
de determinar el mayor número de riesgos posibles.
b) Fomentar la participación de los miembros de equipo en la
detección de riesgos basándose en su experiencia.
c) Elegir fuentes de información, debe considerarse todo aquello que
el equipo crea de ayuda para la identificación, al iniciar el proyecto se
recomienda compartir conocimientos.
d) Realizar sesiones o talleres dirigidos a obtener información sobre
las percepciones del equipo acerca de los riesgos y las oportunidades.
e) Efectuar entrevistas informales a los miembros del equipo para
obtener un panorama de los riesgos existentes de acuerdo a su
experiencia y lecciones aprendidas.
f) Los miembros del equipo, deberán utilizar herramientas para
identificar los riesgos tales como: registros internos de la organización,
listas de chequeo, brainstorming , entrevista a expertos o diagrama de
espina de pez.
Figura 21. Proceso de Identificación Fuente: Sánchez (2011)
196
La siguiente planilla se utilizara para el registro de los riesgos
identificados en esta etapa.
Registro de identificación de riesgos
Proyecto: Nombre del proyecto
Fecha: dd-mm-aaa
Responsables: Personal responsable del proyecto.
Descripción del Riesgo: Descripción del evento, tomando en cuenta si se ve afectado el curso del
proyecto.
Figura 22. Planilla para el registro de riesgos identificados Fuente: Sánchez (2011)
Esta actividad debe ser ejecutada aproximadamente 2 semanas
durante la fase de inicio del proyecto.
FASE II. ANALISIS
El paso a seguir es hacer el análisis, en esta actividad, el equipo del
proyecto tiene como objetivo, la determinación y cálculo de los criterios
que, con posterioridad, nos facilitarán a la estimación del riesgo, este debe
desarrollarse de una manera regular a lo largo de todo el proyecto.
El análisis de riesgos consiste en convertir los atributos del riesgo en
información que sirva como base para tomar decisiones. Para ayudar en el
análisis de las amenazas y los riesgos se requiere:
a) Identificar los riesgos internos de los procesos con cada elemento
197
de tecnología informática asociado al proyecto de tecnología de
información.
b) Realizar una lista de chequeo de las amenazas internas que
puedan presentarse en forma accidental o intencional en la Empresa con
relación a la tecnología informática asociado al proyecto de tecnología de
información.
c) Identificar los riesgos externos de los procesos por cada elemento
de tecnología informática asociado al proyecto de tecnología de
información.
d) Realizar un chequeo del entorno en los fenómenos naturales, el
ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el
sistema sociocultural que rodea la organización para definir las amenazas
a las que puede estar expuesto el proyecto de tecnología de información
de la Empresa .Para facilitar la identificación de los riesgos en la
infraestructura en un proyecto de tecnología de información es muy útil
apoyarse en el siguiente diagrama:
Figura 23. Escenarios donde se identifican riesgos en proyectos TI. Fuente: Sánchez (2011)
198
El análisis de riesgos los proyectos de tecnología de información se
organizaran de la manera siguiente: análisis cualitativo y análisis
cuantitativo de los riesgos.
Figura 24. Análisis de los riesgos Fuente: Sánchez (2011)
ANALISIS CUALITATIVO DE LOS RIESGOS
Durante esta etapa el equipo examinara la lista de elementos
obtenidos en el proceso de identificación y les asigna prioridad registrando
el orden final en una lista maestra de riesgos. Usando esta lista, el equipo
puede determinar los riesgos que son más importantes y reservar recursos
para planificar y ejecutar una estrategia especifica.
199
El equipo también puede identificar riesgos que por su poca
prioridad, pueda quitarse de la lista.A medida que el proyecto se acerca al
final y las circunstancias del mismo van cambiando, la identificación y el
análisis de riesgos se repetirán y la lista maestra de riesgos se modificara.
Puede que surjan nuevos riesgos y puede que los riesgos más antiguos
que han bajado de prioridad se eliminen o desactiven. Estos análisis de
riegos deben llevarse a cabo como apoyo para la asignación de
prioridades empleada en la toma de decisiones y nunca debe realizarse
pensando únicamente en el análisis.
El equipo recurrirá a la experiencia e información en la literatura, en
la selección de las escalas para medir cualitativamente el riesgo. La
información necesaria para priorizar los riesgos cualitativamente se
recogerán del paso anterior, en donde se obtuvo la lista maestra de los
riesgos.
Para llevar a cabo el análisis cualitativo de los riesgos el comité
directivo de riesgo deberá:
Seleccionar de la lista de riesgo, elaborada en la fase anterior, los
riesgos más importantes de acuerdo a la prioridad según criterio de
ocurrencia, basándose en su experiencia.
Se recomienda la utilización de la tabla de probabilidad e impacto,
por cuanto esta consiste en tomar decisiones reunidas por el equipo en
dos de los componentes de riesgo universales: probabilidad (la
probabilidad de que el riesgo ocurra) e impacto (la pérdida o efecto
200
negativo en un proyecto en caso de que ocurra el riesgo). Posteriormente
se multiplican los valores de probabilidad e impacto, dando origen a una
métrica denominada exposición al riesgo. Para valorar la probabilidad de
ocurrencia del riesgo se utilizara una escala relativa y numérica. A
continuación se detalla:
ESCALA DEFINICION DESCRIPCION
5 Improbable Se presenta bajo circunstancias extremas desorden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo.
4 Remoto Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.
3 Ocasional El evento se clasifica como no rutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto.
2 Frecuente Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, Tecnología) los cuales son necesarios para su ejecución.
1 Constante Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares.
Tabla 6. Escala de probabilidad Fuente: Sánchez (2011)
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta
ahora y es muy difícil que ocurra. (1 vez cada 20 años). REMOTO:
Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se
tiene una posibilidad de ocurrencia muy baja. (1 vez cada 10 años).
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene
201
baja posibilidad de ocurrencia. (1 vez cada 10 años). FRECUENTE: Si el
riesgo sucede algunas veces y tiene una significativa posibilidad de
ocurrencia. (1 vez en 1 año). CONSTANTE: Cuando el riesgo evaluado
sucede en forma reiterada y tiene alta posibilidad de ocurrencia. (1 vez en
1 mes). El termino impacto se refiere a la magnitud en términos relativos
de las consecuencias que pueden generarse al ocurrir la amenaza
evaluada.
Valor Impacto
1 Insignificante
2 Marginal
3 Grave
4 Critico
5 Desastroso
6 Catastrófico
Tabla 7. Escala de impacto Fuente: Sánchez (2011)
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser
consideradas como despreciables porque que no afectan el
funcionamiento del proyecto, interrupción menor a 1 hora, sin pérdida de
tiempo, sin daños a equipos.
MENOR: Cuando las consecuencias (impacto) se consideran
tolerables (moderadas) porque afectan en forma leve al proyecto,
interrupciones que varían de 1 a 8 horas.
202
SERIO: Cuando las consecuencias (impacto) afectan parcialmente el
funcionamiento del proyecto, pero no ponen en peligro su ejecución. La
duración de la interrupción varía entre 8 a 24 horas.
CRÍTICO: Se valora la consecuencia (impacto) en términos
considerables porque dichas consecuencias afectan parcialmente al
proyecto desplazando su ejecución. La duración de la interrupción varía
entre 24 y 42 horas.
CATASTRÓFICO: Cuando las consecuencias se consideran de gran
magnitud porque afectan en forma total el proyecto pudiendo poner en
riesgo la estabilidad del mismo e inclusive impidiendo su terminación. La
duración de la interrupción es mayor a 72 horas.
Para la construcción de estas tablas o escalas de probabilidad e
impacto se toma como referencia la experiencia propia del equipo de
trabajo y la percepción del mismo.
El próximo paso entonces, es calificar los riesgos multiplicando el
valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto
a gravedad.
Riesgo = Probabilidad X Gravedad R = P X G (2)
La matriz de aceptabilidad permite determinar el nivel de aceptación
del evento o escenario (combinación riesgo-proceso o riesgo-tecnología)
que pueda suceder en el proyecto.
203
Esta matriz conformada por cuatro zonas de acuerdo a la escala de
probabilidad y gravedad nos permitirá tomar decisiones al estar en frente a
los riesgos identificados y priorizados.
Zona Aceptable (5 - 6) donde la probabilidad de ocurrencia del
riesgo es muy baja es decir, un evento o escenario situado en esta región
de la matriz, significa que la combinación frecuencia-consecuencia no
implica una gravedad significativa, por lo que no amerita la inversión de
recursos y no requiere acciones adicionales, valores comprendidos entre 5
y 6.
Zona Tolerable (4) Un evento o escenario situado en esta región de
la matriz significa que, aunque deben desarrollarse actividades para la
gestión sobre el riesgo en el proyecto, tiene una prioridad de segundo
nivel, pudiendo ser a mediano plazo.
Zona Inaceptable (3) Donde la probabilidad de ocurrencia del riesgo
es alta y su consecuencia es considerable, es decir un evento o escenario
situado en esta región de la matriz, significa que se requiere siempre
desarrollar acciones prioritarias a corto plazo para su gestión, debido al
alto impacto que tendrían sobre el proyecto.
Zona Inadmisible (1 -2) Un evento o escenario situado en esta
región de la matriz significa que bajo ninguna circunstancia se deberá
mantener, porque afectar la estabilidad del proyecto e inclusive su
terminación. Por ello estos escenarios requieren atención de alta prioridad
para buscar disminuir en forma inmediata su vulnerabilidad.
204
Figura 25. Matriz probabilidad-impacto Fuente: Sánchez (2011)
Luego de esta actividad se registraran los resultados en la siguiente
planilla:
Registro de Riesgos (Análisis Cualitativo)
Proyecto: Nombre del proyecto Fecha: dd-mm-aaa Responsable: Responsables del proyecto de tecnología de información ID #
Descripción del riesgo
Probabilidad Impacto Rango P x I
Calificación
Figura 26. Planilla registro de riesgo (análisis cualitativo) Fuente: Sánchez (2011)
205
La planilla se usara para incluir los datos necesarios para el análisis
cualitativo que se realizara posterior a la definición del plan. Una vez
completado se deberán ordenar los datos según el nivel de exposición al
riesgo.
Esta actividad debe ser ejecutada en lapso aproximado de 2
semanas.
ANALISIS CUANTITATIVO
En este paso los gerentes, supervisores y analistas deben recoger
información para la gestión del riesgo en el proyecto, utilizando técnicas
como el análisis del valor esperado, árbol de decisión o la simulación con
el fin de conseguir una comprensión cuantitativa más amplia de los riesgos
den los proyectos de tecnología de información.
Estas herramientas deben utilizarse si el equipo cree que puede
aportar algo positivo a la asignación de prioridades o al proceso de
planteamiento. Finalmente el análisis cuantitativo de riesgos proporciona
al equipo una lista de prioridades de riesgos muy útil para planear las
actividades de respuesta o tratamiento a los riesgos.
La información detallada de los riesgos, las consecuencias y la
unidad de medición utilizada para la asignación de prioridades se
registraran a menudo para cada riesgo en la lista de riesgo. Para esta
actividad el comité directivo de riesgo del proyecto deberá: Realizar un
206
árbol de decisión, en las cajas se colocaran las distintas acciones a tomar,
y en los círculos los posibles resultados. Desde las cajas se dibujan líneas
que indican cada una de las decisiones posibles, estas llevaran a otras
decisiones o resultados probabilísticos múltiples. En los círculos
probabilísticos la suma de las probabilidades de todos los resultados
posibles en este punto vale 1,0 esto ocurre porque todos los resultados
posibles están incluidos.
Figura 27. Árbol de decisión Fuente: Sánchez (2011)
207
FASE III ESTIMACIÓN
En esta fase los gerentes, supervisores y analistas del proyecto
deben considerar la probabilidad de que ocurran los riesgos identificados,
el impacto de cada amenaza y las oportunidades en base a los objetivos
del proyecto de tecnología de información. Asimismo se debe evaluar la
posibilidad de materializarse y como puede cambiar el impacto de los
riesgos al proyecto. El gerente del proyecto y su equipo de trabajo
deberán establecer una escala que refleje la posibilidad percibida de un
riesgo, delinear las consecuencias del riesgo y estimar el impacto del
riesgo en el proyecto, esto con el fin de establecer prioridades.
Figura 28. Estimación de los riesgos Fuente: Sánchez (2011)
208
En base a los resultados encontrados en el análisis cualitativo y
cuantitativo, el comité directivo de riesgo deberá: (a) Efectuar reunión,
para definir las amenazas y oportunidades de los riesgos analizados en
las actividades anteriores. (b) Establecer las posibles consecuencias e
impacto de los riesgos identificados, con la finalidad de conocer a cual
aplicar tratamiento. Para llevar a cabo esta actividad se recomienda
evaluar el escenario del riesgo, es decir describir los eventos que puedan
causar un impacto en la organización.
Los escenarios de riesgos deben ser completos y deben poseer
componentes como:
Figura 29. Escenario de riesgo Fuente: Sánchez (2011)
Actores: Persona o grupo de personas que generan la amenaza,
pueden ser tanto internos como externos. (Personal, contratistas,
extraños).
209
Tipo de amenaza: La naturaleza del evento, malintencionado,
accidental, fracaso de un proceso mal definido, evento natural.
Evento: Un escenario siempre tiene un evento. Posiblemente
interrupciones en el sistema, modificación, robo o destrucción de un
equipo, cambios en los procedimientos de gestión o de adquisición.
Activo: recurso sobre el cual el escenario actúa. Cualquier objeto de
la organización de valor que puede ser afectado, cualquier cosa que
ayude a lograr los objetivos del proyecto de tecnología de información.
En activos o recursos se incluyen: la gente, la organización, los
proceso de tecnología de información, la infraestructura física, el
hardware, infraestructura de red, información, aplicaciones.
(c) Formalizar lista de riesgos a tratar según consecuencia e impacto
(d) Registrar los riesgos a tratar en la planilla de registro de riesgos
estimados.
ID Descripción Oportunidades Posibles
Consecuencias Clasificación
# Estratégico Táctico Operacional
Figura 30. Planilla registro de riesgos estimados Fuente: Sánchez (2011)
210
FASE IV. TRATAMIENTO
En esta etapa los gerentes, supervisores y analistas deben trabajar
en encontrar ideas detalladas, desarrolladas y documentadas sobre las
mejores formas de tratar con cada uno de los principales riesgos.
Identificando las posibles respuestas a través de lista de chequeo,
proyectos similares, tormenta de ideas, evaluando de esta manera las
ventajas, desventajas y costos de dicho tratamiento.
Para llevar a cabo esta actividad el comité directivo de riesgo debe:
a) Seleccionar al equipo responsable debe llevar a cabo esta
actividad, tomando en cuenta la experiencia para tratar los riesgos.
b) Convocar reunión para definir en sesión de tormenta de ideas los
tratamientos más efectivos a los riesgos potenciales estimados en la fase
anterior.
c) Resumir las mejores respuestas en base a ventajas, desventajas,
costos y beneficios con el fin de demarcar las mejores soluciones ante el
gran conjunto de tratamientos.
d) Determinar las acciones requeridas para llevar a cada tratamiento
e) Desarrollar plan de tratamiento para cada conjunto de riesgos
definiendo presupuesto, actividades y cronograma necesario para
implantarse.
f) Registrar los tratamientos en a ser aplicados en la siguiente
planilla.
211
ID
Riesgos Descripción Tratamiento Ventajas Desventajas Costo
#
#
Figura 31. Planilla registro de tratamientos Fuente: Sánchez (2011)
FASE V. SEGUIMIENTO Y CONTROL
El seguimiento de riesgos supervisa el estado de los riesgos y el
progreso de sus planes de acción. El seguimiento de riesgos incluye la
supervisión de probabilidades, impactos, exposiciones y otras medidas de
riesgo para los cambios que pudiesen alterar los planes de prioridades o
de riesgos y las características, los recursos o la programación del
proyecto.
Por otra parte, la fase de control tiene como objetivo corregir las
desviaciones de los planes de mitigación, además de controlar los riesgos
de la lista actual del proyecto. Por lo tanto se debe estar atento a nuevos
riesgos que puedan aparecer en su entorno a medida que el proyecto
avanza. Control es toda acción orientada a minimizar la frecuencia de
ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas
212
por ellas. Los controles sirven para asegurar la consecución de los
objetivos de la organización o asegurar el éxito de un sistema y para
reducir la exposición de los riesgos, a niveles razonables.
Los objetivos básicos de los controles son:
Prevenir las causas del riesgo, detectar la ocurrencia de las causas
del riesgo, retroalimentando el sistema de control interno con medios
correctivos para establecer las respectivas medidas de protección y
permitiendo así la continuidad de la organización o el proyecto que esté en
ejecución.
A continuación se presentan las actividades que se deben realizar
para tener un buen seguimiento y control de los riesgos en los proyectos
de tecnología de información:
a) Los responsables del tratamiento deberán presentar ante el equipo
del proyecto, el estado de los riesgos en tratamiento.
b) El comité de tratamiento debe verificar continuamente la existencia
de disparadores de umbrales tales como cambios de alcance del proyecto,
modificaciones al cronograma de actividades, variaciones presupuestarias
con el fin de evaluar el efecto de estos en el proyecto.
c) Incluir en el plan de tratamiento las acciones correctivas o cambios
de existir alguna variación que pueda afectar el curso del proyecto.
d) Registrar en la siguiente planilla el estatus de las acciones, fechas
de ejecuciones y cambios en el trascurso del proyecto.
213
ID Prioridad Respuesta al riesgo
Estado Fecha de Status
Aprobado por
Comentarios
#
Alta,
media o baja
Acciones
planteadas
Activo o inactivo
Día-Mes-
Año
Nombre de la persona que está
haciendo el control de
riesgos
Figura 32. Planilla registro de seguimiento Fuente: Sánchez (2011)
FASE VI. COMUNICACIÓN
Finalmente para una gestión eficaz de los riesgos, una organización
debe tener una comunicación abierta ejercida de manera continua, bien
sea formal o informal. En esta fase se debe garantizar tener informado a
los interesados en cuanto a las expectativas de la gestión de riesgo, las
estrategias, políticas, procedimientos, capacitación de sensibilización y
refuerzo continuo de principios, estableciendo expectativas generales de
la gestión de riesgos.
Por otro lado, es necesario mantener notificado al equipo de trabajo y
clientes (resto de las gerencias) sobre la actual capacidad del equipo para
gestionar los riesgos, este control de información permite estar al corriente
sobre estado de la organización ante estos. La comunicación de los
riesgos en los proyectos de tecnología de información tiene un valor
predictivo de lo bueno que será para la organización la gestión y la
214
reducción de estos. Debido a que se presentan la cartera de riesgos de los
proyectos de tecnología de información, causas u orígenes de posibles
eventos, opciones para mitigar.
Para dar cumplimiento a esta fase el equipo del proyecto debe
garantizar que la información que fluye dentro de la organización debe
siempre ser:
a) Clara, conocida y comprendida por todas las partes interesadas.
b) Concisa, la información o comunicación no debe inundar a los
receptores.
c) Útil, cualquiera comunicación sobre el riesgo debe ser pertinente .
La información técnica que es muy detallada y/o se envía a partes
inadecuadas dificulta, en lugar de permitir una visión clara de riesgo.
d) Oportuna, en cada riesgo existen momentos críticos desde su
origen y sus posibles consecuencias.
(e) Dirigida, la información debe ser comunicada a la audiencia
correcta, adaptada para el público en general y permitir decisiones
informadas.
f) Disponible, Para conocer la base del riesgo en proyectos de
tecnología de información, la información relacionada debe ser conocida y
comunicada a todas las partes con necesidad real, un registro de riesgos
con documentación no es información pública y debe estar debidamente
protegidas contra las partes internas y externas sin necesidad de ella.
215
Figura 33. Escenario de riesgos en Proyectos de Tecnología de Información. Fuente: Sánchez (2011)
Para realizar esta actividad se recomienda llevar a cabo las
siguientes actividades:
a) Realizar presentaciones y talleres de gestión de los riesgos a los
miembros del equipo. (b) Publicar lista de riesgos, informes periódicos del
estado de los riesgos del proyecto a líderes, jefes del proyecto y a la
comisión de seguimiento.
c) Informar rápida y sistemáticamente al equipo del proyecto
cualquier percepción de nuevos riesgos o fallas en los controles y
tratamientos. (d) Garantizar los niveles adecuados de conocimiento a las
partes interesadas. (e) Comunicar con claridad y honestidad, teniendo en
cuenta el nivel de comprensión de la audiencia.
216
6. FACTIBILIDAD DE LA PROPUESTA
Ante la ausencia en la industria petroquímica nacional de un modelo
para la gestión del riesgo en proyectos de tecnología de información, se
requiere de un proceso sencillo, medible y controlable que pueda ser
utilizado por gerentes, supervisores y analistas favoreciendo la gestión del
riesgo, por tanto la propuesta es necesaria para el manejo de los mismos.
La factibilidad económica destaca evaluar los recursos con que
cuenta la empresa para la puesta en marcha del modelo. En este sentido,
la propuesta es factible, por cuanto la industria petroquímica nacional
cuenta con recursos técnicos, económicos y humanos para conformar el
equipo de trabajo que ayudara a la gerencia de Automatización,
Informática y Telecomunicaciones hacedores de proyectos de tecnología
de información en materia de gestión del riesgo, implementando el modelo
propuesto, a fin de garantizar el satisfactorio y éxito curso de los mismos.