Administrar riesgos
Los riesgos implican que los resultados reales pueden llegar a ser distintos de los resultados deseados, a veces de manera significativa. La probabilidad de esta varianza y el grado de varianza entre los resultados reales y deseados se encapsula en el término "riesgo". Al administrar el riesgo, se minimiza estratégicamente la varianza entre el resultado que desea y el resultado real.
La capacidad de identificar, clasificar, analizar y administrar los riesgos es una capacidad organizativa que es necesaria para lograr una valoración según el método SCAMPI (Standard CMMI Appraisal Method for Process Improvement) en el nivel 3. Para obtener más información sobre CMMI, vea Información general de CMMI.
Al administrar estos riesgos condicionados por eventos, se contribuye de manera significativa al objetivo global de administrar los riesgos en el nivel de proyecto, de cartera y de organización. Una eficaz administración de riesgos condicionados por eventos contribuye a que el resultado sea satisfactorio para todas las partes interesadas y se desvíe poco del resultado inicialmente deseado. Contribuye a crear una expectativa exenta de sorpresas.
Definir los riesgos
Esta percepción de los riesgos a veces se denomina modelo de riesgos condicionados por eventos. Esto implica que una lista de riesgos es una lista de posibles eventos futuros. Cada riesgo describe un evento que podría producirse en el futuro. Puede incluir información sobre la probabilidad de su aparición. Debe incluir una descripción de su impacto sobre el plan del proyecto. También puede incluir una descripción de cómo reducir la probabilidad de que se produzca el evento y cómo mitigar su impacto. Asimismo, puede incluir sugerencias de cómo lograr la recuperación después de que se haya producido el evento.
Para cada riesgo que se identifica, se debe crear un elemento de trabajo de riesgo en el proyecto de equipo.
Elemento de trabajo de riesgo
El área de proceso Administración de riesgos en el modelo CMMI se centra en la administración de estos riesgos relacionados con eventos. MSF for CMMI Process Improvement y Visual Studio Team Foundation Server facilitan esta tarea ya que proporcionan el tipo de elemento de trabajo de riesgo. Este tipo de elemento de trabajo permite definir y realizar el seguimiento de una lista de riesgos. Proporciona campos para describir el riesgo y la probabilidad de que se produzca. Además, incluye campos para especificar las acciones que se pueden llevar a cabo para reducir dicha probabilidad, mitigar el impacto e implementar planes de contingencia de cara a la recuperación en caso de que el riesgo se haga realidad.
Los riesgos iniciales deben identificarse en la fase de planeación del proyecto. La lista de riesgos debe revisarse en la fase de planeación al comienzo de cada iteración del proyecto.
En el formulario del elemento de trabajo de riesgo, se almacenan los datos en los campos que se muestran en la ilustración siguiente:
Seleccionar las acciones que se deben llevar a cabo
Después de crear y analizar debidamente una lista de riesgos, se deben definir las acciones que se llevarán a cabo para administrar esos riesgos. ¿Hay alguna acción orientada a reducir la probabilidad de que se produzca un evento que desee tomar ahora o describir en un plan de iteración? ¿Hay alguna acción enfocada a mitigar el impacto del riesgo que desee tomar ahora o describir en un plan de iteración? Las acciones orientadas a reducir o mitigar los riesgos requieren tiempo y recursos. Esto se debe sopesar con respecto a usar esos recursos y el tiempo disponible para sacar adelante el trabajo del proyecto y lograr un software que funcione. Las acciones enfocadas a reducir y mitigar los riesgos deben documentarse en la pestaña Reducción del riesgo.
Se ha de tener en cuenta el perfil global de los riesgos de un proyecto cuando se decide realizar alguna acción para reducir la probabilidad o mitigar el impacto de los riesgos. Si dicho perfil indica "cualquier pérdida de vida es inaceptable", se debe administrar cualquier riesgo que pueda causar la pérdida de una vida y se deben planear y realizar acciones de reducción y mitigación.
Es preciso asegurarse de que los riesgos se administran de acuerdo con las restricciones de gobernanza del proyecto y manteniendo un equilibrio adecuado con la necesidad de entregar todo el trabajo de valor añadido en el plazo previsto y con el presupuesto disponible.
Si se selecciona un riesgo para reducir su probabilidad o mitigar su impacto, esta actividad debe planearse desglosándola en elementos de trabajo de tarea, cada uno de los cuales se deben vincular a un elemento de trabajo de riesgo.
Supervisar los riesgos
Los riesgos de un proyecto deben supervisarse periódicamente.
Para ello, se debe usar la consulta de riesgos. Se ha de examinar cada uno de los riesgos activos en la lista y considerar si ha aumentado su probabilidad, si ha cambiado el posible impacto y si se ha producido algún evento desencadenador de mitigación. Si se produce algún cambio material en la información capturada de un riesgo, se debe actualizar el elemento de trabajo. Asimismo, se ha de considerar si se debe llevar a cabo alguna otra acción para reducir el riesgo o mitigar su impacto.
Se debe comunicar el estado actual de los riesgos de un proyecto. Los informes deben incluir información sobre todos los riesgos recientemente identificados, las acciones de reducción o mitigación en curso y cualquier cambio de estado que pueda modificar la evaluación del riesgo anteriormente realizada.
Elaborar planes de contingencia
En cuanto a los riesgos para los cuales se ha definido una acción de recuperación, se debe elaborar un plan para implementar la contingencia en caso de que se produzca el evento. Por ejemplo, si existe el riesgo de que un servidor deje de funcionar y la contingencia consiste en pedir prestado el hardware de otro departamento, se debe de disponer de un plan para llevarlo a cabo. Si se elabora un plan con antelación, el reto en materia de coordinación será menor cuando se produzca el evento. Las organizaciones de gran madurez con una gran capacidad de administración de riesgos elaboran planes de contingencia y saben cómo llevarlos a cabo sin que se vean afectadas de manera significativa otras actividades del proyecto. Las organizaciones con un bajo nivel de madurez sufren pánico y situaciones de caos cuando intentan recuperarse de los eventos inesperados. Las organizaciones que intentan obtener una valoración según SCAMPI en el nivel 3 deben disponer de pruebas documentadas para demostrar que se han elaborado y, en su caso, se han llevado a cabo planes de contingencia.
El plan de contingencia debe desglosarse en una serie de tareas o acciones que se van a realizar. Se debe realizar un cálculo de cada tarea. Se deben crear una programación y una lista recomendada de personal asignado. Se deben describir todos los recursos necesarios para llevar a cabo el plan de contingencia.
El plan de contingencia debe agregarse al elemento de trabajo de riesgo en la pestaña Plan de contingencia o agregarse como datos adjuntos.