3/10/2001Gestión de riesgosU I B
Gestión de riesgos
Ingeniería del Software III
Octubre - 1999
3/10/2001Gestión de riesgosU I B
Gestión de riesgos Introducción
ConceptoEstrategiasRiesgos en Ingeniería de Software
Identificación de riesgosEstimación riesgosPlan de riesgos
3/10/2001Gestión de riesgosU I B
Concepto de riesgoEl riesgo se halla de forma implícita asociado a
toda actividad:Todo suceso se ve marcado por las acciones del
pasado, ¿Se puede, por tanto, actuar ahora para crear oportunidades en el futuro?
El riesgo acompaña a todo cambioEl riesgo implica elección e incertidumbre.
3/10/2001Gestión de riesgosU I B
Estrategias frente al riesgoEstrategias reactivas
Método:Evaluar las consecuencias del riesgo cuando este ya se ha
producido (ya no es un riesgo)Actuar en consecuencia
Consecuencias de una estrategia reactivaApagado de incendiosGabinetes de crisisSe pone el proyecto en peligro
3/10/2001Gestión de riesgosU I B
Estrategias frente al riesgoEstrategias proactivas
MétodoEvaluación previa y sistemática de riesgosEvaluación de consecuenciasPlan de evitación y minimalización de consecuenciasPlan de contingencias
ConsecuenciasEvasión del riesgoMenor tiempo de reacciónJustificación frente a los superiores
3/10/2001Gestión de riesgosU I B
Riesgos en Ingeniería de Software
CaracterísticasIncertidumbre (Probabilidad de que ocurra)Pérdidas
ProductoRendimientoMantenimibilidad
Proceso de producciónTiempo de desarrolloCoste
3/10/2001Gestión de riesgosU I B
Riesgos en Ingeniería de Software
Riesgos del proyectoIncremento en costesDesbordamiento organizativo
Riesgos técnicosRiesgos del negocio
De mercadoDe estrategiaDe ventasDe gestiónDe presupuesto
3/10/2001Gestión de riesgosU I B
Identificación de riesgos Grupos de riegos
Genéricos: Son comunes a todos los proyectos
Específicos: Implican un conocimiento profundo del proyecto
Categorías Relacionados con el tamaño del
producto Con el impacto en la
organización Con el tipo de cliente Con la definición del proceso de
producción Con el entorno de desarrollo Con la tecnología Con la experiencia y tamaño del
equipo
3/10/2001Gestión de riesgosU I B
Identificación de riesgosAsociados con el tamaño del producto
Tamaño estimado del proyecto (LOC/PF) Confianza en la estimación Numero de programas, archivos y transacciones Tamaño relativo al resto de proyectos Tamaño de la base de datos Número de usuarios Número de cambios de requerimientos previstos antes y después
de la entrega Cantidad de software reutilizado
3/10/2001Gestión de riesgosU I B
Identificación de riesgos Impacto en la organización
Efecto del producto en la cifra de ventas Visibilidad desde la dirección de la organización Fecha límite de entrega razonable Número de clientes que usarán el producto Numero de productos con los que deberá interaccionar Sofisticación del usuario final Cantidad y calidad de la documentación a entregar al cliente Límites legales y gubernamentales Costes asociados al retraso en la entrega Costes asociados a errores en el producto
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRelacionados con el cliente
Hay experiencias anteriores con dicho cliente Tiene una idea clara de lo que precisa Está dispuesto a dedicar tiempo en la especificación formal de
requerimientos Está dispuesto a relacionarse de forma ágil con el equipo de desarrollo Está dispuesto a participar en la revisiones Es un usuario experto Dejará trabajar al equipo de desarrollo sin dar consejos de experto
informático Entiende el ciclo de vida de una aplicación
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRiesgos del proceso de producción
Hay una política clara de normalización y seguimiento de una metodología Existe una metodología escrita para el proyecto Se ha utilizado en otros proyectos Están los gestores y desarrolladores formados Conoce todo el mundo los standards Existen plantillas y modelos para todos los documentos resultado del
proceso Se aplican revisiones técnicas de la especificación de requerimientos diseño
y codificación Se aplican revisiones técnicas de los procedimientos de revisión y prueba
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRiesgos del proceso de producción (cont.)
Se documentan los resultados de las revisiones técnicas Hay algún mecanismos para asegurar que un proceso de desarrollo sigue
los standards Se realiza gestión de la configuración Hay mecanismos para controlar los cambios en los requerimientos que
tienen impacto en el software Se documenta suficientemente cada subcontrato Se ha habilitado y se siguen mecanismos de seguimiento y evaluación
técnica de cada subcontrato.
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRespecto del proceso de producción (cont.)
Se dispone de técnicas de especificación de aplicaciones para facilitar la comunicación con el cliente.
Se usan métodos específicos para análisis de software Se utiliza un método específico para el diseño arquitectónico y de datos Está el 90% del código en lenguajes de alto nivel Hay standards de documentación de código Se usan métodos específicos para el diseño de pruebas Se utilizan herramientas para llevar a cabo la planificación y control
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRiesgos del proceso de producción (cont.)
Se utiliza software de gestión de configuraciones para controlar y seguir las actividades a lo largo del proceso
Se utilizan herramientas para soportar el análisis y el diseño Se utilizan herramientas de prototipación Se utilizan herramientas para soportar la fase de pruebas Se utilizan herramientas para la generación y mantenimiento de la
documentación Se disponen métricas de calidad para todos los proyectos de software Se disponen de métricas de productividad
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRiesgos tecnológicos
Se trata de una tecnología nueva en la organización Se requieren nuevos algoritmos o tecnología de I/O Se debe interactuar con hardware nuevo Se debe interactuar con software que no ha sido probado Se debe interactuar con un B.D. cuya funcionalidad y rendimiento no
ha sido probada Es requerido un interface de usuario especializado Se necesitan componentes de programa radicalmente diferentes a
los hasta ahora desarrollados
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRiesgos tecnológicos (cont.)
Se deben utilizar métodos nuevos de análisis, diseño o pruebas Se deben utilizar métodos de desarrollo no habituales, tales como
métodos formales, Inteligencia Artificial o redes neuronales Se aplican requisitos de rendimiento especialmente estrictos Existen dudas de que el proyecto sea realizable
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRespecto al entorno de desarrollo
Hay herramientas de gestión de proyectosHay herramientas de gestión del proceso de desarrolloHay herramientas de análisis y diseñoHay generadores de código apropiados para la
aplicaciónHay herramientas de prueba apropiadasHay herramientas de gestión de configuración
apropiadas
3/10/2001Gestión de riesgosU I B
Identificación de riesgosRespecto al entorno de desarrollo (cont.)
Se hace uso de una base de datos o repositorio centralizado
Están todas las herramientas de desarrollo integradasSe ha proporcionado formación a todos los miembros del
equipo de desarrolloHay expertos a los cuales solicitar ayuda acerca de las
herramientasHay ayuda enlínea y documentación disponible
3/10/2001Gestión de riesgosU I B
Identificación de riesgosAsociados al equipo y la experiencia
Es el mejor personal disponible Tienen los miembros las técnicas apropiadas Hay suficiente gente disponible Está el personal comprometido en toda la duración del proyecto Habrá parte del personal dedicado solamente en parte al proyecto Tiene el personal las expectativas correctas del trabajo Tiene el personal la necesaria formación Puede la rotación del personal perjudicar el proceso de desarrollo
3/10/2001Gestión de riesgosU I B
Componentes del riesgo Se identifican cuatro
componentes del riesgo en un proyecto software Rendimiento Coste Mantenibilidad Planificación
Tras identificar los factores de riesgo, es necesario averiguar a qué componentes del riesgo afectan y en qué medida Despreciable Marginal Crítica Catastrófica
3/10/2001Gestión de riesgosU I B
Resumen
Área
Riesgos
0,n
0,n
Componente
n
n
Impacto
Indicadores n 1
3/10/2001Gestión de riesgosU I B
Ejemplo
Equipo
Huida del personal sin el proyecto finalizado
0,n
0,n
Planificación
n
n
Crítico
Perspectivas poco claras
Poca motivación
Contratos bajos
n 1
3/10/2001Gestión de riesgosU I B
Estimación de riesgosCreación de una tabla de riesgos
Riesgo Categoría Proba-bilidad
Impacto RMMM
Tamaño estimado demasiado pequeño Proyecto 40 % PlanificaciónCrítico
Mas número de usuarios de lo planificado Proyecto 30 % RendimientoMarginal
Cliente cambie los requerimientos Proyecto 80 % CostesCrítico
Falta de experiencia en herramientas EntornoDesarrollo
80 % PlanificaciónMarginal
Rotación demasiado alta Equipo 60 % PlanificaciónCrítica
3/10/2001Gestión de riesgosU I B
Estimación de riesgosOrdenación y filtrado
Ordenación por probabilidad y prioridadDespreciar riesgos poco probables y los medianamentes
probables con poco impacto
Riesgo Categoría Proba-bilidad
Impacto RMMM
Cliente cambie los requerimientos Proecto 80 % CríticoFalta de experiencia en herramientas Entorno
Desarrollo80 % Marginal
Rotación demasiado alta Equipo 60 % CríticaTamaño estimado demasiado pequeño Proyecto 40 % CríticoMas número de usuarios de lo planificado Proyecto 30 % Marginal
3/10/2001Gestión de riesgosU I B
Estimación de riesgosFactores que definen el impacto de la ocurrencia
de un riesgoAlcance del mismo: cuán serio y cuánto del proyecto se
ve afectadoTemporalización de los efectos, cuándo y por cuánto
tiempo
3/10/2001Gestión de riesgosU I B
Estimación de riesgosCuándo desistir y finalizar el proyecto
Se debe definir un punto de referenciaSe debe marcar la relación entre cada factor de riesgo
enumerado y el punto de referenciaDefinir el área de incertidumbre, donde será tan válido
continuar como interrumpir el trabajoPredecir cómo la combinación de riesgos afectará a los
niveles de referencia
3/10/2001Gestión de riesgosU I B
Gestión, Monitorización y Mitigación de Riesgos
(RMMM)Objetivo: Marcar las estrategias y formas de actuar del equipo de trabajo frente a los riesgos:Como evitarlosComo monitorizarlosComo gestionarlos y plan de contingencia
3/10/2001Gestión de riesgosU I B
Gestión, Monitorización y Mitigación de Riesgos
(RMMM)Evitación del riesgoDefinir las estrategias necesarias para evitar que el
riesgo no se produzcaTomar las medidas encaminadas para que, aún cuando
se produzca, se minimecen sus efectos
3/10/2001Gestión de riesgosU I B
Gestión, Monitorización y Mitigación de Riesgos
(RMMM)Monitorización del riesgoDefinir los indicadores que influyen en la probabilidad de
que el riesgo se produzcaMonitorizar periódicamente dichos factoresMonitorizar la efectividad real de las acciones
encaminadas a evitar el riesgo
3/10/2001Gestión de riesgosU I B
Gestión, Monitorización y Mitigación de Riesgos
(RMMM)Gestión del riesgo y plan de contingenciaSe asume que la evitación y la monitorización han fallado
y el riesgo se ha producidoSe definen las estratégias y acciones a tomar para evitar
que los efectos se minimicenNunca se podrá reducir a cero el coste del plan de
contingencia. Dicho plan puede implicar unos costes en sí mismo, por lo cual se ha de valorar el beneficio que se espera obtener de éste
3/10/2001Gestión de riesgosU I B
Riesgos de seguridad y peligros
En general se pueden considerar los riesgos de seguridad y peligros físicos.
Generalmente, por su importancia, deben tratarse por separado, teniendo que tratarse como un requerimiento especial, observado en todas las fases del ciclo de vida
Se puede incluir dentro de las actividades de validación de calidad del producto
3/10/2001Gestión de riesgosU I B
Plan RMMM
Introducción Ámbito y propósito del
documento Descripción de los riesgos
principales Responsabilidades
Gestores Personal técnico
Tabla de evaluación de riesgos Descripción de todos los riesgos
considerados Factores que influyen en la
probabilidad e impacto
RMMM Riesgo X
Evitación Estrategia general Pasos para mitigar el
riesgo
Monitorización Factores a monitorizar Modo de monitorización
Gestión Plan de contingencias Consideraciones
especiales
Planificación
3/10/2001Gestión de riesgosU I B
Factores críticos de éxito
Ingeniería del Software III
Gabriel Buades
Noviembre 1.999
3/10/2001Gestión de riesgosU I B
Factores de éxitoLa técnica de los Factores Críticos de Exito (FCE),
resultado de los trabajos de John F. Rockart, tiene como objetivo ayudar a la planificación de las actividades y recursos de cualquier Organización, así como delimitar las áreas clave de la misma facilitando la asignación de prioridades dentro de ella.
Rockart definió los factores críticos de éxito como "el número limitado de áreas en las cuales los resultados, si son satisfactorios, asegurarán un funcionamiento competitivo y exitoso para la Organización.
3/10/2001Gestión de riesgosU I B
Aspectos básicosDefinir los objetivos globales de la Organización.Definir una unidad de medida para evaluar el
funcionamiento de la Organización con respecto a esos objetivos.
Identificar los factores clave que contribuyen a ese funcionamiento.
Identificar las relaciones causa-efecto entre objetivos y factores clave.
3/10/2001Gestión de riesgosU I B
Factor crítico de éxitoUn Factor de Exito es algo que debe ocurrir (o
debe no ocurrir) para conseguir un objetivo. Este Factor de Exito se define como crítico si su cumplimiento es absolutamente necesario para cumplir los objetivos de la Organización, por lo cual requiere una especial atención por parte de los órganos gestores, con el fin de asegurar que se dedican los mejores recursos a la ejecución o realización de dicho Factor de Exito.
3/10/2001Gestión de riesgosU I B
FE vs FCESe puede justificar el establecer esta diferencia
entre Factores de Exito (FE) y Factores Críticos de Exito (FCE) por dos razones: Desde un punto de vista puramente metodológico,
de aplicación de la técnica, es más efectivo el separar la consideración de todos los FE de la Organización, de la evaluación de cuáles son realmente FCE.
Desde un punto de vista de eficacia dentro de la organización, la definición de un número demasiado elevado de FCE desvirtuaría el sentido de esta técnica
3/10/2001Gestión de riesgosU I B
FE vs ObjetivosPor último, se debe hacer énfasis en la diferencia
existente entre Factores de Exito y Objetivos de la Organización:
Objetivos son los "fines" hacia los cuales se dirige el esfuerzo y el trabajo de la Organización.
Factores de Exito, y como consecuencia FCE, son los "medios" o requisitos que se deben cumplir para alcanzar los objetivos. Para cada objetivo se debe definir al menos un Factor de Exito.
3/10/2001Gestión de riesgosU I B
ProcedimientoElaborar una lista de los objetivos de la Organización.Depurar esta lista de objetivos. Identificar los factores de éxito.Eliminar los factores de éxito no críticos.Agrupar los factores de éxito de acuerdo con los
objetivos. Identificar los componentes de estos factores de éxito.Seleccionar los factores críticos de éxito.Finalizar el estudio de los factores críticos de éxito.
3/10/2001Gestión de riesgosU I B
Elaborar una lista de los objetivos de la Organización.
Se determinará la misión, metas y objetivos de la Organización. Es conveniente ser explícitos en la especificación de objetivos, intentando cuantificarlos en la medida de lo posible.
Como ejemplo de una especificación de objetivos de una organización, podemos suponer, una Empresa que se plantease:Alcanzar una cifra de ventas de 100 millones de pesetas.Obtener un beneficio antes de impuestos de 20 millones. Incrementar el margen bruto en las ventas en torno a un
10%.Mantener los gastos de funcionamiento en un 20% de las
ventas.
3/10/2001Gestión de riesgosU I B
Depurar la lista de objetivos.En este paso se revisará la lista de objetivos obtenida
en el paso anterior para asegurar que dichos objetivos constituyen un fin en sí mismos y no meramente un medio para obtener otro objetivo de la lista, en cuyo caso se consideraría como un Factor de Exito.
En el ejemplo que sigue, los objetivos de "Incrementar el margen bruto en las ventas en torno al 10%" y "Mantener los gastos de funcionamiento en un 20% de las ventas", son un medio para conseguir los beneficios de 20 millones, por lo cual se eliminarán de la lista de objetivos y se considerarán Factores de éxito.
3/10/2001Gestión de riesgosU I B
Depurar la lista de objetivosObjetivos Alcanzar una cifra de
ventas de 100 millones de pesetas.
Obtener un beneficio antes de impuestos de 20 millones de pesetas
Factores éxito Incrementar el margen
bruto en las ventas en torno al 10%
Mantener los gastos de funcionamiento en un 20% de las ventas
3/10/2001Gestión de riesgosU I B
Identificar Factores Éxito Teniendo en cuenta el concepto de Factor de Exito como
medio necesario para alcanzar los objetivos especificados, se obtendrá una lista de factores de éxito para cada uno de dichos objetivos, contemplando tanto aquellos que dependen de la Organización como aquellos externos que están fuera de su control (legislación, comportamiento de la economía, etc.).
Así, en nuestro caso, y mediante entrevistas con los responsables de la Organización se obtendría la siguiente tabla:
3/10/2001Gestión de riesgosU I B
Identificar Factores ÉxitoObjetivo Ventas de 100 millones
Beneficios antes de impuestos de 20 millones
Factor Éxito Crecimiento delmercado Incrementar la cuota de
mercado
Incrementar ventas Incrementar el margen
bruto en torno al 10% Mantener los gastos de
funcionamiento en un 20% de las ventas
3/10/2001Gestión de riesgosU I B
Eliminar Factores no críticosSe utilizarán en este punto diferentes criterios para
eliminar los F.E., dependiendo de si los mismos están dentro o fuera del control de la Organización.
Como se ha dicho, esta selección será realizada, mediante reuniones en grupo, por los responsables de la Organización.
3/10/2001Gestión de riesgosU I B
Eliminar Factores no críticosCriterios para F.E. dentro del control de la
Organización.¿Es el FE esencial para cumplir los objetivos?¿Requiere especial cuidado en su realización, es decir,
recursos especialmente cualificados?
Si la respuesta a alguna de estas preguntas es "no", se eliminará el FE de la tabla.
3/10/2001Gestión de riesgosU I B
Eliminar Factores no críticosFactores de Exito fuera del control de la
Organización.¿Es el FE esencial para cumplir los objetivos?¿Hay una probabilidad significativa de que el FE no
ocurra?Si no ocurre el FE ¿Podrían alterarse las estrategias con
el fin de minimizar el impacto de dicho incumplimiento, suponiendo que hubiese suficiente tiempo disponible?.
Si la respuesta a alguna de estas preguntas es "no" se elimina el FE de la tabla.
3/10/2001Gestión de riesgosU I B
Eliminar Factores no críticosObjetivo Ventas de 100 millones
Beneficios antes de impuestos de 20 millones
Factor Éxito Crecimiento delmercado Incrementar la cuota de
mercado
Incrementar ventas Incrementar el margen
bruto en torno al 10%
3/10/2001Gestión de riesgosU I B
Agrupar factores de éxito Este paso permite depurar la tabla, dado que al analizar
cada objetivo por separado puede que los FE estén repetidos o sean sinónimos de un objetivo.
ObjetivoVentas de 100 millones
Beneficios antes de impuestos de 20 millones
Factor ÉxitoCrecimiento delmercadoIncrementar la cuota de mercado
Incrementar el margen bruto en torno al 10%
3/10/2001Gestión de riesgosU I B
Identificar componentesEn este paso se analizan los Factores de Exito para
identificar lo que se debe hacer para conseguir cada uno de estos FE
De la descomposición de los FE se pueden encontrar componentes que son verdaderamente críticos, mientras otros exigen menos esfuerzo o recursos.
El objetivo de este análisis es identificar de cinco a siete Factores de Exito o componentes de estos factores que sean críticos, con el fin último de centrar el esfuerzo de la Organización en su consecución.
3/10/2001Gestión de riesgosU I B
Identificar componentesObjetivoVentas de 100 millones
Beneficios antes de impuestos de 20 millones
Factor ÉxitoCrecimiento del mercadoIncrementar la cuota de mercado
Incrementar el margen bruto en torno al 10%
Componente
Mejorar calidadMejorar características del producto.Mejorar tiempos de entrega.
Reducir costes laborales.Mantener incrementos costes material por debajo de la inflaciónNegociación laboral.Automatiza ción producción
3/10/2001Gestión de riesgosU I B
Seleccionar los Factores Críticos de Exito
Se usarán los criterios de selección ya especificados en el paso 4 para los niveles más bajos de descomposición, con el objeto de obtener un número de FCE entre 5 y 7.
En la tabla siguiente se representan en negrita los FCE seleccionados.
3/10/2001Gestión de riesgosU I B
Identificar componentesObjetivoVentas de 100 millones
Beneficios antes de impuestos de 20 millones
Factor ÉxitoCrecimiento del mercadoIncrementar la cuota de mercado
Incrementar el margen bruto en torno al 10%
Componente
Mejorar calidadMejorar características del producto.Mejorar tiempos de entrega.Reducir costes laborales.Mantener incrementos costes material por debajo de la inflaciónNegociación laboralAutomatiza ción producción
3/10/2001Gestión de riesgosU I B
Informe finalEn este paso se obtiene una lista final que
representa las áreas que son cruciales para el éxito de la Organización, y donde la dirección debe enfocar su atención.FCE controlables => Asignación de recursos,
herramientas e información necesaria, así como mecanismos de seguimiento y control.
FCE no controlables => Procedimientos que permitan obtener información puntual sobre los mismos. Estos procedimientos proporcionan señales de aviso de manera que se puedan definir e implantar planes de contingencia.