plan de gerencia de riesgos - mininterior.gov.co

PLAN DE TRATAMIENTO DEL RIESGOS

1

PLAN DE GERENCIA DE RIESGOS

CONTENIDO

1. OBJETIVO. .......................................................................................................................... 2

2. OBJETIVOS ESPECÍFICOS ................................................................................................ 2

3. ALCANCE. ........................................................................................................................... 2

4. DEFINICIONES. .................................................................................................................. 2

6. FUNDAMENTOS ............................................................................................................. 3

7. GERENCIA DE RIESGOS ............................................................................................... 4

8. PRINCIPALES PASOS EN LA GESTIÓN DEL RIESGO .................................................. 4

9. PERSONAL, ROLES Y RESPONSABILIDADES ............................................................. 4

10. FRECUENCIA .................................................................................................................. 5

11. CATEGORÍAS DE RIESGOS ........................................................................................... 5

13. CRITERIOS DE SELECCIÓN .......................................................................................... 7

14. MATRIZ DE PROBABILIDAD E IMPACTO ...................................................................... 9

15. MATRIZ DE RIESGO ..................................................................................................... 11

16. FORMATO PLAN DE ACCIÓN (RESPUESTA) .............................................................. 21


2

1. OBJETIVO.

Definir la metodología para la administración y gestión de Riesgos para el Sistema de Gestión de Seguridad de la Información en el Ministerio del Interior.

2. OBJETIVOS ESPECÍFICOS

• Identificar los riesgos asociados a los procesos que hace parte del alcance.

• Establecer la metodología para el plan de tratamiento del riesgo.

• Realizar continuamente seguimiento y monitoreo del plan de tratamiento de riesgo.

3. ALCANCE. Esta guía brinda lineamientos para la Plan de tratamiento de Riesgos en el Ministerio del Interior, dando cumplimiento a lo establecido en el Decreto 1078 de 2015 y Decreto 1008 del 2008.

4. DEFINICIONES.

• Administración del riesgo: Conjunto de elementos de control que al Interrelacionarse brindan a la entidad la capacidad para emprender las acciones necesarias que le permitan el manejo de los eventos que puedan afectar negativamente el logro de los objetivos institucionales y protegerla de los efectos ocasionados por su ocurrencia.

• Activo de Información: Todo lo que tiene valor para la organización. Hay varios tipos de activos entre los que se incluyen: Información, Software: como un programa de cómputo, Físico: como un computador, Servicios, Personas, sus calificaciones, habilidades y experiencia, Intangibles; tales como la reputación y la imagen.

• Análisis de riesgos: También conocido como evaluación de riesgos o PHVA, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

• Amenaza: Es la causa potencial de una situación de incidente y no deseada por la organización.

• Causa: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos). Las fuentes generadoras o agentes generadores son las personas, los métodos, las herramientas, el entorno, lo económico, los insumos o materiales entre otros.

• Confidencial: Significa que la información no esté disponible o revelada a individuos, entidades o procesos no autorizados.

• Consecuencia: Resultado de un evento que afecta los objetivos.

• Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo es evaluada.

• Control: Medida que modifica el riesgo.

• Disponibilidad: La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

• Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.


3

• Evento: Un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo específico.

• Estimación del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo.

• Factores de Riesgo: Situaciones, manifestaciones o características medibles u observables asociadas a un proceso que generan la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.

• Control: Es lo que permite garantizar que cada aspecto que se valoró con un cierto riesgo, queda cubierto.

• Control documentando: Política, Normas, Procedimiento, instructivo o guía que se encuentra documentada en el Sistema de Gestión. No implica que se encuentre ejecutado.

• Control Implementado: Aquel control que se encuentra funcional o en ejecución por parte de la entidad. No implica tenerlo documentado.

• Control Monitoreado: Aquel control que se encuentra en ejecución o implementado y se le realiza seguimiento a fin de conocer su eficacia.

• Impacto: Es el resultado de un riesgo expresado cualitativa o cuantitativamente.

• Probabilidad: Posibilidad de que un riesgo se materialice.

• Riesgo: Información adicional adjunta al final del documento que sirve de apoyo para la comprensión del mismo y aplicación de las actividades descritas. Incluye los formatos, diagramas, guías u otros documentos relacionados.

5. MARCO LEGAL

NORMA DESCRIPCIÓN

Decreto 1078 de 2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones.

NTC / ISO 27001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI).

NTC/ISO 31000:2009 Gestión del Riesgo. Principios y directrices

6. FUNDAMENTOS

Un riesgo es un evento que está relacionado con vulnerabilidad e incertidumbre. Un riesgo es un evento o condición que, si ocurre, podría tener un efecto positivo o negativo en los objetivos del proyecto. Un riesgo podrá afectar, a favor o en contra, los objetivos del proyecto; su grado de afectación puede llegar al alcance, tiempo, costo, calidad, recursos humanos, comunicaciones y adquisiciones. La Gerencia de Riesgos busca favorecer los riesgos positivos (oportunidades) y desfavorecer los riesgos negativos. Además, busca ser mejor, proactiva y preventiva más que correctiva. La gerencia de riesgos se basa en cinco (5) procesos de planeación y uno (1) de control para lograr su objetivo. Todos ellos conforman el denominado estudio de riesgos. El estudio de riesgos debe realizarse con un equipo transversal, compuesto por diferentes disciplinas y que abarque a los interesados pues el proyecto es para ellos. La gestión de riesgos es el proceso de identificación, evaluación, respuesta, seguimiento y presentación de informes de riesgos.


4

7. GERENCIA DE RIESGOS

La gerencia de riesgos está compuesta por la identificación, el análisis, el plan de respuesta o de acción y el seguimiento y control de los riesgos y se apoyará en los acrónimos que se presentan a continuación. Todo lo anterior se hará en reuniones con el equipo de interesados en forma interdisciplinaria. Este Plan de tratamiento del Riesgo define como controlar y monitorear los riesgos asociados con los procesos críticos de la entidad e igualmente estos serán identificados, analizados y gestionados, señalando cómo las actividades de gestión del riesgo se llevarán a cabo. Definiciones, Acrónimos y Abreviaturas.

AD Alta Dirección/Patrocinador

AL Arquitecto Líder

GP Gerente del Proyecto

LP Líder de Procesos

DS Diseñador

PR Propietario del Riesgo

CR Comité de riesgo

8. PRINCIPALES PASOS EN LA GESTIÓN DEL RIESGO

La entidad con el apoyo de los diferentes interesados, trabajarán en el estudio de riesgos del Ministerio del Interior mediante los siguientes ítems:

• Identificación de riesgos: Con el apoyo de una categorización, como se indica más adelante. Esta identificación debe ser específica. Cada riesgo debe ser detallado.

• Equipo de trabajo: realiza la evaluación de cada riesgo de acuerdo con el formato señalado más adelante.

• Valoración: se deberá hacer en términos de impacto o consecuencia y probabilidad.

• De acuerdo con la valoración se definirá un criterio de prioridad para determinar los de mayor valor y que requerirán mayor atención.

• El equipo de trabajo propone acciones específicas para cada riesgo.

• Se establecen los dueños de los riesgos y estos a su vez designan a los ejecutores de las acciones.

• Durante la gestión de riesgos es muy importante mantener una comunicación fluida entre los interesados.

• El seguimiento y control de los riesgos se debe revisar en forma recurrente de acuerdo a los requerimientos del líder del proceso.

• El seguimiento y control incluyen la eliminación de riesgos, el manejo de los riesgos considerados y la gestión de nuevos riesgos.

9. PERSONAL, ROLES Y RESPONSABILIDADES

Administrador de Riesgos El Administrador de Riesgos es el que se encarga de controlar el proceso de riesgo, dentro de sus funciones esta:

• Recibir todas las notificaciones de los riesgos

• Analizar los riesgos para ingresarlos a la matriz correspondiente.

• Monitorear los riesgos ya Ingresados.

• Asignar/aprobar la disposición de cada riesgo y la asignación de la implementación del plan de cada riesgo aprobado.

• Asegurarse de que la acción se toma en los riesgos de manera oportuna.

Agente de seguridad


5

El agente de seguridad, tomará decisiones sobre los principales cambios que se consideren necesarios relacionados con la gestión y control del riesgo, dentro de sus funciones esta:

• Mantener el Plan de Riesgos

• Identificar los riesgos y documentar sus características.

• Informar al comité de riesgos el estado de aprobación de todos los riesgos y el estado de cada uno.

Trabajar con el Administrador y los miembros del equipo para programar reuniones periódicas de riesgos. En la siguiente tabla se puede ver un resumen de las actividades y el responsable de ejecutar la actividad.

Actividad Responsabilidad

Identificación de Riesgos Todos los miembros del equipo

Registro de Riesgos Agente de seguridad

Monitoreo de Riesgos Todos los miembros del equipo

Plan de Contingencia de Riesgos Agente de seguridad

Aprobación de Planes de Contingencia Administrador de Riesgos

• Tabla 1. Responsabilidades

10. FRECUENCIA

Los riegos se deben evaluar en forma periódica de acuerdo con la complejidad de cada proceso y su impacto en la continuidad del negocio y cada vez que se presenten incidentes que puedan alterar la disponibilidad de los servicios asociados Esto quiere decir que debe cubrir lo siguiente:

• Iniciación

• Planeación

• Ejecución

• Seguimiento y control

• Cierre

11. CATEGORÍAS DE RIESGOS

Los siguientes son las fuentes para la identificación de riesgos:

• Análisis de los entregables de alto nivel

• Análisis del calendario del proyecto

• Análisis de los supuestos del proyecto

La siguiente tabla presenta las categorías de los riesgos:

PLAN DE GERENCIA DE

RIESGOS

Taxonomía de gestión de riesgos.

La siguiente taxonomía presenta una lista de categorías y fuentes de riesgos ya identificados,

la cual se usara como referencia para identificar los riesgos existentes en el proyecto.

A. Ingeniería del producto

1. Requerimientos

a) Estabilidad

b) Completitud

c) Claridad

d) Validez

e) Viabilidad

2. Diseño

a) Funcionalidad

B. Entorno de automatización

1. Proceso de

automatización

a) Formalidad

b) Control de procesos

c) Control del producto

2. Desarrollo del sistema

a) Capacidad

b) Idoneidad

C. Gestión del Proyecto

1. Recursos

a) Calendario

b) Personal

c) Presupuesto

d) Instalaciones

2. Contrato


6

b) Dificultad

c) Interfaces

d) Rendimiento

e) Capacidad de

prueba

f) Restricciones de

hardware

g) Software no

desarrollado

3. Código y pruebas

unitarias

a) Viabilidad

b) Pruebas

c) Codificación /

Implementación

4. Integración y pruebas

a) Producto

b) Sistema

5. Ingeniería

especializada

a) Mantenibilidad

b) Seguridad

c) Especificaciones

c) Usabilidad

d) Familiaridad

e) Fiabilidad

f) Soporte al sistema

g) Entrega

3. Administración de

procesos

a) Planeación

b) Organización del

proyecto

c) Administración de la

experiencia

d) Programa de

interfaces

4. Métodos de

administración

a) Seguimiento

b) Aseguramiento de la

calidad

c) Administración de la

configuración

5. Ambiente de trabajo

a) Actitud de la calidad

b) Comunicación

a) Restricciones

b) Dependencias

3. Interfaces del

programa

a) Clientes

b) Administración

corporativa

c) Políticas

Tabla 2. Categorías de riesgos

12. Definir los parámetros de los riesgos

Los parámetros que se utilizaran son la probabilidad y el impacto del riesgo. Probabilidad: Para cada riesgo identificado, la probabilidad o posibilidad de que suceda el riesgo debe ser determinada. Existen tres niveles de evaluación del riesgo:

• Poco probable

• Probable

• Muy probable

Si la probabilidad de un evento es de cero, no hay riesgo. Impacto: Para cada riesgo identificado, se debe de conocer la magnitud de las consecuencias o impacto. Existen tres niveles de impacto:

• Bajo

• Medio

• Alto.

Para determinar su impacto se deben de evaluar los siguientes puntos:

• Rendimiento

• Calendario

• Costo

• Calidad

• Alcance


7

En la Tabla 3. Riesgos aceptables e inaceptables nos permite conocer los umbrales para los riesgos, en que categoría caen como riesgos aceptables o inaceptables.

Puntuación Aceptable/Inaceptable Registro Acción

0.05 a .10 Aceptable Registrar como bajo

Normal riesgos que pueden ser gestionados a nivel local por procedimientos de rutina

.20 Inaceptable Registrar como moderado

Revisados por el administrador y las acciones propuestas se debe revisar por el comité competente

0.40 a .080 o mas

Inaceptable Registrar como alto

Notificación inmediata al líder del proyecto y todos los integrantes del proyecto.

Tabla 3. Riesgos aceptables e inaceptables Todos los riesgos identificados se analizarán para separar los riesgos aceptables de los riesgos inaceptables. No es posible eliminar todos los riesgos del proyecto y por lo tanto el equipo tendrá que aceptar que algunos riesgos se consideren aceptables. Riesgos aceptables son aquellos que entran en la categoría baja y cuentan con mecanismos de control adecuados en el lugar, los que se pueden gestionar por procedimientos de rutina. Los riesgos aceptables serán monitoreados y revisados para asegurarse de que permanezcan aceptables para el Ministerio. Cuando no sea posible eliminar completamente el riesgo, todas las medidas necesarias serán tomadas para controlar la frecuencia y la gravedad del riesgo. Cada riesgo mayor (de los comprendidos en las zonas de color rojo y amarillo) se le asignará a un miembro del equipo del proyecto para efectos de control con el objetivo de garantizar que el riesgo no se salga de control. Para cada riesgo importante, unos de los siguientes criterios serán seleccionados para hacerle frente:

• Evitar: Eliminar la amenaza mediante la eliminación de la causa

• Mitigar: Identificar las formas de reducir la probabilidad o el impacto del riesgo

• Aceptar: No se hará nada

• Transferir: Hacer otra parte responsable por el riesgo (comprar un seguro, la subcontratación, etc.)

Para cada riesgo que se mitigará, el equipo del proyecto identificara maneras de prevenir el

riesgo de que ocurran o reducir su impacto o la probabilidad de que ocurra.

13. CRITERIOS DE SELECCIÓN

En la tabla que se presenta a continuación se pueden observar ejemplos de criterios de impacto. De igual forma es factible hacer con los criterios de probabilidad

Criterios de impacto de un riesgo en los objetivos del proyecto

Objetivo del

Proyecto

Muy bajo

0.05

Bajo

.10

Intermedio

.20

Alto

.40

Muy Alto

.80 o más

Alcance

Disminución

en el alcance

muy pequeño

Pocas áreas

en el alcance

afectadas

Bastantes

áreas en el

alcance

afectadas

Reducción en

el alcance es

inaceptable

por parte del

Directivo

Encargado

El proyecto

se considera

que ya no

sirve

Tiempo Aumento Aumento Aumento Aumento Aumento


8

insignificante

del tiempo

menor del 5% entre el 5 y el

10%

entre el 10 y

el 20%

mayor al 20%

Costo

Aumento

insignificante

del costo

Aumento

menor del

10%

Aumento

entre el 10 y

el 20%

Aumento

entre el 20 y

el 40%

Aumento

mayor al 40%

Los valores de impacto y probabilidad deben establecerse dentro de una matriz con el eje vertical, bien sea impacto o probabilidad, y el eje horizontal, bien sea probabilidad o impacto. Con esta matriz se establecen los valores esperados (impacto por probabilidad) y se determina la densidad de cada riesgo representado en un punto.


9

14. MATRIZ DE PROBABILIDAD E IMPACTO

Probabilidad Amenazas Oportunidades

0,90 0,05 0,09 0,18 0,36 0,72 0,72 0,36 0,18 0,09 0,05

0,70 0,04 0,07 0,14 0,28 0,56 0,56 0,28 0,14 0,07 0,04

0,50 0,03 0,05 0,10 0,20 0,40 0,40 0,20 0,10 0,05 0,03

0,30 0,02 0,03 0,06 0,12 0,24 0,24 0,12 0,06 0,03 0,02

0,10 0,01 0,01 0,02 0,04 0,08 0,08 0,04 0,02 0,01 0,01

0,05 / Muy bajo

0,10 / Bajo

0,20 / Mo

derado

0,40 /

Alto

0,80 /

Muy Alto

0,80 / Muy Alto

0,40 / Alto

0,20 / Mo

derado

0,10 / Bajo

0,05 / Muy bajo

Impacto (escala numérica) sobre un objetivo (p.ej., costo, tiempo, alcance o calidad)

Cada riesgo es calificado de acuerdo con su probabilidad de ocurrencia y el impacto sobre un objetivo

En caso de que ocurra. Los umbrales de la organización para riesgos bajos, moderados o altos se muestran en la matriz y determinan si el riesgo es calificado como alto, moderado o bajo para ese

objetivo

Tomado del PMBOK™ Five Edition, página 330.

A continuación, se presentan los riesgos que podrían presentarse en el proyecto BPM-SIPI

Riesgos de Calendario

• Atrasos en entregas: no se cumple con el calendario de actividades

• Estimaciones incorrectas: las estimaciones de tiempo son incorrectas

Riesgos de Rendimiento

• Desempeño inferior del personal

• Mala planeación

• Defectuosa ejecución

• Deficiente control.

• Ausencias inesperadas

• Demora en la firma de contratos del personal encargado del proyecto

• Falta de compromiso del staff

• Disponibilidad de tiempo del staff

• Procesos lentos de decisión.

• Procedimientos burocráticos.

• El contratista entregue los bienes o preste los servicios a los que se refiere el contrato

sin las condiciones de calidad requeridas.

• Plataforma Tecnológica que soporta la solución de modelización no funcione o se

parametrice adecuadamente

• Que el proyecto no cuente con el personal que tenga la destreza requerida por la

tecnología integrada en esta solución, en la cantidad y con la disponibilidad

Riesgos del Alcance

• Requerimientos incompletos: los requerimientos no están cubiertos en su totalidad


10

• El contratista incumpla las obligaciones legales o contractuales que le corresponden.

• Identificación/Generación de nuevos requerimientos por parte del usuario fuera de los

tiempos establecidos en las entrevistas.


11

15. MATRIZ DE RIESGO

NÚMERO

RIESGO

CATEGORÍA DEL RIESGO

DESCRIPCIÓN

CAUSA RAÍZ U

ORIGEN

CONSECUENCIA

IMPACTO

IMPACTO

MONETARIO

PROBABILIDA

D

VALOR ESPERAD

O

VALOR ESPERAD

O MONETAR

IO

ACCIONES A TOMAR

DUEÑO DEL

RIESGO

OBSERVACIONES

1 Calendario

Estimaciones incorrectas

Mal cálculo de los tiempos de ejecución

No cumplimento de los entregables

0,9 0,9 0,81

Se verificara que las estimaciones de tiempo se mantengan, en caso de ver modificaciones o atrasos en el cronograma, estas se deberán de analizar para encontrar el motivo, y si estas son críticas para tomar un plan de acción.

GP

Una entrega fuera de plazo sería un fracaso catastrófico en el desarrollo del proyecto.


12

2 Alcance Requerimientos incompletos

No hubo un buen levantamiento del proceso

Queda funcionalidad sin automatizar

0,9 0,9 0,81

Con el fin de evitar que esto suceda, las reuniones (formales e informales) se llevaran a cabo con el cliente en una actividad cotidiana. Esto asegura que el producto que está produciendo, y los requisitos del usuario son equivalentes.

LP

Las reuniones con el

usuario deben

asegurar que el

usuario y el equipo

que está levantando

los requerimientos

entienden los

requisitos para el

producto.

3 Rendimiento

Mala Planeación

No se dio a conocer las metas o hitos a los integrantes del equipo

No se cumple con las fechas prometidas al usuario

0,9 0,9 0,81

Se realizará por parte del Gerente de Proyecto re planeación. La re planeación ayuda al Gerente a analizar éxitos, fracasos, avances y retrocesos, para que una vez hecho esto, se implementen nuevas estrategias basadas en las experiencias pasadas.

GP

Los objetivos y metas

que están en el

cronograma debe ser

conocido por los

integrantes del equipo

que está levantando la

información,

haciéndolos participes

en la elaboración de

cada uno de ellos, de

esta forma todo el

equipo está enterado

y las estrategias

planteadas podrán

llevarse a cabo.


13

4 Rendimiento

Defectuosa Ejecución

Diseño del proceso en la herramienta quedo defectuoso

El rendimiento no es el esperado

0,9 0,9 0,81

Se debe buscar la causa raíz de la desviación en lugar de sólo la causa superficial, se debe seguir midiendo a lo largo de todo el proyecto, tendiendo un plan realista contra el cual medir y si el proyecto esta desviado recomendar una acción correctiva de inmediato.

GP

El Gerente del Proyecto debe asegurarse aumentar la eficiencia tomando acciones correctivas para alinear el futuro rendimiento esperado del proyecto con el plan establecido para la dirección del proyecto.

5 Rendimiento

Deficiente control

No se efectúan reuniones de seguimiento

No se conoce el estado del proyecto ni se sabe si el objetivo sigue siendo valido

0,9 0,9 0,81

Reuniones planificadas y frecuentes con el usuario para ganar la aceptación formal de los entregables durante el seguimiento y control del proyecto.

GP

A través de estas revisiones periódicas se averigua si la información de los primeros pasos del proceso de planeación y los objetivos siguen siendo válidos, o si requieren modificaciones.


14

6 Alcance

El contratista incumpla las obligaciones legales o contractuales que le corresponden.

El contratista no entrega las tareas asignadas

No se cumple con el cronograma propuesto

0,9 0,9 0,81

Para mitigar el problema se agendarán en el calendario inspecciones y revisiones de las tareas asignadas, las cuales se llevarán a cabo de manera continua.

AD

El Ministerio del Interior designará un supervisor, para que vigile y controle el cabal cumplimiento del objeto del contrato

7 Rendimiento

El contratista entregue los bienes o preste los servicios a los que se refiere el contrato sin las condiciones de calidad requeridas.

No se realizan las pruebas suficientes para detectar errores y corregirlos

El usuario no aceptara ni dará el visto bueno sobre el proceso automatizado

0,9 0,9 0,81

Se calendarizaran inspecciones y revisiones, las cuales se llevaran a cabo de manera continua en el ciclo de vida del proyecto.

AD

Si el equipo de desarrollo ha llegado a la conclusión de que se tiene un alto grado de defectos, se deberá de llevar a cabo una reunión entre el equipo del proyecto para discutir posibles soluciones o alternativas.

8 Rendimiento

Plataforma Tecnológica que soporta la solución de automatización no funcione

No se tenga la experiencia suficiente para el manejo de la plataforma

El proceso a automatizar no cumple con las expectativas del usuario

0,9 0,9 0,81

Reuniones periódicas con la alta gerencia para colocar la alarma en el caso que se presente retraso del recurso interno encargado del tema.

AD

Mantener informada a la alta gerencia del avance del proyecto y administrar de cerca.


15

9 Rendimiento

Falta de compromiso del staff.

El staff no está enterado de la importancia del proyecto

El proyecto no tendría el apoyo que se necesita para ser aceptado por las diferentes dependencias con las que interactúa

0,3 0,2 0,6

Al iniciar el proyecto desarrollar reuniones que permitan entender la posición de la alta gerencia con respecto al proyecto.

GP

Mantener informada a la alta gerencia del avance del proyecto y administrar de cerca.

10 Rendimiento

Procesos lentos de decisión

Las diferentes políticas que existen al interior de la organización no ayudan a tener procesos agiles

Las decisiones o contrataciones no se dan en un tiempo prudencial

0,3 0,2 0,6

Definir claramente responsabilidades y organigrama donde quede especificado los tiempos máximos para la toma de decisiones.

GP

La planeación tiene que prever desde un principio caminos alternos y completamente estructurados precisamente para asegurar el logro del objetivo principal.

11 Rendimiento

Procedimientos Morosos

Procesos no agiles dentro del ministerio

Demoras en contrataciones y en toma de decisiones

0,3 0,2 0,6

Se debe capacitar a los miembros del proyecto en los procedimientos que tiene definidos la compañía e interiorizar los tiempos que estadísticamente se requiere para realizar un trámite para que las solicitudes se hagan con tiempo suficiente.

AD

Para poder comparar lo planeado con el logro real, deben preverse revisiones periódicas en el mismo sistema de planeación. Estas sirven tanto para el control de la ejecución de lo planeado como para sus cambios y para la re determinación de la planeación.


16

12 Alcance Inflación de requerimientos

La etapa de levantamiento no cubrió todas las necesidades funcionales de las áreas con las que interactúa el proceso

En la etapa de automatización y pruebas con el usuario faltan funcionalidades

0,3 0,2 0,6

Con el fin de evitar que esto suceda, las reuniones (formales e informales) se llevaran a cabo con el usuario en una actividad cotidiana. Esto asegura que el producto que están produciendo cumple con lo que espera el Ministerio.

LP

En caso de que suceda se volverá a dar una revisión de los requerimientos y en caso de ser necesario se verificaran nuevamente con el usuario con el fin de tenerlos completos.

13 Rendimiento

Desempeño inferior del personal

El personal contratado de planta no es experto en el uso de la herramienta

No se cumple con las fechas de entrega que se encuentran en el cronograma

0,3 0,2 0,6

Seguimiento de los resultados de cada miembro del proyecto frente a los objetivos propuestos y las metas alcanzadas que permita incorporar actividades de formación en todas las actividades del proyecto.

GP

Cualquier forma de capacitación o apoyo que necesiten los miembros del equipo con el propósito de rendir en el proyecto o de mejorar su desempeño, esta capacitación o apoyo debe ser dado internamente por alguno de los miembros con más experiencia.


17

14 Administración

Ausencias inesperadas

Los miembros del equipo no están enterados de sus obligaciones y fecha de entrega de tareas

Incumplimiento de los hitos del cronograma

0,2 0,2 0,4

Los miembros del equipo deben tener la posibilidad de aportar al proyecto, incluso respecto al trabajo que tienen que llevar a cabo, sin importar el momento en que a ellos les toque empezar el trabajo.

GP

Se debe realizar un plan de asignación de personal en donde se informe cuando son requeridos los recursos en el proyecto.

15 Alcance

Identificación / Generación de nuevos requerimientos por parte del usuario fuera de los tiempos establecidos.

Durante la etapa de levantamiento de información los usuarios no brindaron toda la información

Se impacta el cronograma o los recursos para poder cumplir con la fecha de entrega

0,2 0,2 0,4

Las reuniones con el usuario deben asegurar que el usuario y el equipo que realiza la automatización del proceso se encuentran seguros que los requerimientos levantados son los necesarios para automatizar el proceso

LP

Si el equipo que hace el la automatización ha llegado a la conclusión de que no se tiene una idea completa de los requisitos del modelo, el usuario debe ser inmediatamente notificado y todas las medidas necesarias para corregir este problema deben ser tomadas.


18

16 Rendimiento

Los datos o servicios solicitados (internos o externos) no son suministrados en las fechas requeridas.

Los requerimientos hechos por el equipo de automatización a otras áreas o usuarios no se cumplen en las fechas establecidas

Impacto en el cronograma

0,2 0,2 0,4

Definir claramente responsabilidades y organigrama donde quede especificado los tiempos máximos para la toma de decisiones.

GP

Para poder comparar lo planeado con el logro real, deben preverse revisiones periódicas.

17 Rendimiento

Que el proyecto no cuente con el personal que tenga la destreza requerida por la tecnología integrada en esta solución, en la cantidad y con la disponibilidad esperada

El personal contratado o interno no cuenta con la experiencia necesaria en el manejo de la herramienta o tienen otras tareas asignadas

Impacto en el cronograma en las fechas de entrega

0,2 0,2 0,4

Cualquier forma de capacitación o apoyo que necesiten los miembros del equipo con el propósito de rendir en el proyecto o de mejorar su desempeño, esta capacitación o apoyo debe ser dado internamente por alguno de los miembros con más experiencia

GP

Seguimiento de los resultados de cada miembro del proyecto frente a los objetivos propuestos y las metas alcanzadas que permita incorporar actividades de formación en todas las actividades del proyecto


19

18 Rendimiento

Disponibilidad de tiempo del staff

La alta gerencia tiene demasiados compromisos por los cargos que ocupan

No tienen tiempo de asistir a las reuniones programadas

0,3 0,1 0,3

Adecuar cronograma de actividades para que las reuniones se puedan programar de acuerdo al tiempo de los directivos que participan en el proyecto.

GP

En el plan de comunicaciones tener informado a los directivos de las próximas reuniones y agendarlos para que tengan presente cuando realizar los seguimientos.

19

Alcance Especificación incompleta

No se realizó un adecuado levantamiento de requerimientos

La automatización del proceso queda incompleta y no satisface las necesidades del usuario

Con el fin de evitar que esto suceda, el usuario debe revisarlos contra los requerimientos que realizo en las reuniones de levantamiento de información. Esto asegura que el modelo que se está produciendo, y los requisitos del usuario son equivalentes. En caso de que suceda se volverá a dar una revisión de los requerimientos contra los casos de con el fin de tenerlos completos

GP

Con el fin de evitar que esto suceda, el usuario debe revisarlos contra los requerimientos que ha realizado en las reuniones de levantamiento de información.


20

20 Alcance

Las interfaces de usuario diseñadas resultan inadecuadas o no cumplen con lo esperado por el Ministerio, o que la interface diseñada le parezca al usuario "no amigable" y no la autorice por percibirla complicada.

No se consulta con el usuario los campos a mostrar en cada una de las pantallas que se utilizaran en la automatización del proceso

El usuario no da el visto bueno sobre las partes del proceso que se le están entregando

Con el fin de evitar que esto suceda, se le estará presentado al usuario borradores de cómo quedara el modelo. Esto asegura que las pantallas que se producirán, y los requisitos del usuario son equivalentes. En caso de que suceda se volverá a dar una revisión del diseño conjuntamente.

DS

Las revisiones con el usuario deben asegurar que el usuario y el equipo que automatizan el proceso entienden la funcionalidad a plasmar en cada una de las pantallas, se le solicitara al usuario la firma de un acta donde acepte el diseño, navegabilidad y usabilidad del sistema.


21

16. FORMATO PLAN DE ACCIÓN (RESPUESTA)

PLAN DE ACCIÓN (RESPUESTA) AL RIESGO

NOMBRE DEL RIESGO:

FECHA DEL SEGUIMIENTO Y CONTROL:

1. ACCIÓN O ACCIONES DE CADA RIESGO

✓ Acción 1 ✓ Acción 2 ✓

2. ACTIVIDADES A DESARROLLAR POR CADA ACCIÓN

✓ Acción 1

Actividad 1

3. RECURSOS NECESARIOS (FÍSICOS Y HUMANOS)

✓ Actividad 1 Recurso 1

4. DUEÑO DEL RIESGO

5. RESPONSABLE DE LAS ACCIONES

✓ Acción 1 Responsable 1

6. CRONOGRAMA DE LAS ACCIONES Nota: Estas acciones se deben incluir dentro del cronograma del proyecto de ser necesario.


22

17. FORMATO DE SEGUIMIENTO Y CONTROL

FORMATO DE SEGUIMIENTO Y CONTROL DEL RIESGO

NOMBRE DEL RIESGO: ________________________________________________________

FECHA DEL CONTROL: _________________________________________________________

RIESGO ESPECÍFICO RESIDUAL

SECUNDARIO

POSIBLES ACCIONES FRENTE AL

RIESGO

ANÁLISIS COSTO -

BENEFICIO DE CADA ACCIÓN

ACCIÓN ESCOGID

A

PERSONA DUEÑA

DEL RIESGO

PERSONA

RESPONSABLE DE LA ACCIÓN

DURACIÓN

COSTO

DEL RIESGO

ESTADO DEL RIESGO

(Abierto – Cerrado)

¿CAMBIO

REQUERIDO?


23


24

Nota: El riesgo secundario se debe tratar como riesgo NUEVO y debe pasar por todo el proceso que se cubre para un riesgo adicional.

plan de gerencia de riesgos - mininterior.gov.co

Documents