Documente Academic
Documente Profesional
Documente Cultură
resulta innovadora si la comparamos con otros trabajos proyecto PRISMA, incluyendo la selección de un marco de
relacionados con anterioridad. gestión de riesgos, su descripción, el equipo encargado de
De hecho, son dos los motivos principales por los que se llevar a cabo el proceso y la descripción del plan de gestión
adoptó el modelo unificado de FCE mencionado. Por una del riesgo que lo detallaba.
parte, la misma UPC había implantado un sistema ERP dos
A. Selección de un Método de Gestión de Riesgos
años antes de empezar el proyecto de desarrollo en cuestión.
En su momento se consideró que la información relacionada Esta fase consistió en la identificación, evaluación y
con la predicción u ocurrencia de riesgos en proyectos selección de los diferentes métodos existentes para organizar
anteriores de la UPC de nivel similar de complejidad (como la implementación de las funciones básicas que deben llevarse
por ejemplo sus causas, consecuencias, su tratamiento o el a cabo para una gestión efectiva de los riesgos “antes de que
éxito de los planes de mitigación y contingencia) podía ayudar estos lleguen a ser amenazas para el éxito”. La Tabla 1
a los gestores a identificar y gestionar los riesgos del proyecto muestra los métodos que fueron evaluados, ampliamente
en curso. Además el aprendizaje de los resultados conocidos y fácilmente accesibles por sus nombres o por las
relacionados con la gestión del riesgo de proyectos anteriores organizaciones que los avalan: Euromethod, Safe, SEI-CRM,
puede contribuir al enriquecimiento del enfoque de RiskIt y los métodos para la gestión de riesgos del IEEE y del
planificación de los riesgos del nuevo proyecto. En segundo PMI (Project Management Institute). Es importante tener
lugar, el modelo unificado de FCE incluye un conjunto presente que cada método establece categorías para las
conciso y bien definido de los factores críticos de éxito de funciones del riesgo en diferentes fases. Para cada método
naturaleza organizacional, que se pueden reinterpretar analizamos qué funciones de la Tabla 1 trata, y cómo propone
fácilmente como “factores críticos del riesgo”. abordarlas.
Este artículo está estructurado de la siguiente manera.
TABLA I
Primero se presenta una breve visión de los antecedentes del LISTA DE LOS MÉTODOS DE GESTIÓN DEL RIESGO EVALUADOS EN EL PROYECTO
estudio. A continuación, se presentan las diferentes fases de la PRISMA.
gestión del riesgo en el proyecto abordado y se comenta su Euromethod Safe SEI IEEE Riskit PMI
Plan de Gestión
implementación. Después explicamos algunos de los riesgos
Identificación
organizacionales utilizados en la extensión del SEI-CRM. Estimación
Finalmente, presentamos las conclusiones y el trabajo futuro. Evaluación
Planificación
II. ANTECEDENTES DEL PROYECTO PRISMA Tratamiento
Seguimiento y control
La Universitat Politècnica de Catalunya (UPC) es una Comunicación
institución pública de enseñanza superior cuyos objetivos
prioritarios son el estudio, la docencia, la investigación y la El equipo de gestión del riesgo y el jefe del proyecto de
transferencia de tecnología de calidad. Fue fundada en los PRISMA decidieron adoptar el método SEI-CRM por dos
años 70 y actualmente tiene más de 30.000 estudiantes, motivos. Primero, el SEI-CRM es uno de los métodos de
estando formada por 15 escuelas técnicas superiores y gestión del riesgo más completo, con más documentación
facultades, 7 centros adscritos y 3 institutos universitarios de detallada y cuya aplicación está más extendida en la industria.
investigación. Uno de sus principales objetivos es transferir Segundo, en paralelo, el proyecto PRISMA trabajaba para
los resultados de sus investigaciones a las empresas. En este conseguir el nivel 2 de madurez del SW-CMM nivel 2 del
sentido, es la primera universidad española en volumen de SEI, lo que apoyaba la opción de incorporar el SEI-CRM
recursos obtenidos por transferencia de tecnología. como parte de sus actividades.
En el 2001 la UPC decidió unificar la gestión de los
B. El método Continuous Risk Management del SEI
estudios de toda la universidad en un único sistema. Después
de evaluar las diferentes alternativas existentes en el mercado, El método Continuous Risk Management (SEI-CRM),
tomó la decisión de desarrollar su propio sistema de desarrollado por el Software Engineering Institute (SEI), es un
información informático para administrar los estudios método en el ámbito de la ingeniería del software cuyos
académicos, y seleccionó una unidad informática interna para conceptos, procesos y herramientas permiten gestionar de
llevarlo a cabo. El proyecto se llamó PRISMA y sus tres manera continua los riesgos de un proyecto, proporcionando
principales metas fueron: construir una única base de datos y un entorno disciplinado para la toma preactiva de decisiones a
un único sistema de información, tener acceso multicanal al SI lo largo de todas las fases del proyecto: análisis de los
(centro, Internet, móvil) y facilitar la adaptación a la problemas en potencia (riesgos), determinación de los riesgos
convergencia europea de los estudios universitarios impulsada importantes para elaborar estrategias y planes para
por la Declaración de Bolonia. gestionarlos. Estos riesgos son controlados hasta que se
resuelven o se convierten en problemas menores, y son
III. FASES DE LA GESTIÓN DEL RIESGO EN PRISMA tratados como tales. En la Tabla 1 podemos ver las funciones
típicas de gestión del riesgo que tiene el SEI-CRM pero
Esta sección trata de proporcionar una visión general del
además este método también incluye el concepto de gestionar
proceso de gestión de riesgos diseñado y utilizado en el
3
estas actividades como un ciclo básico, es decir, identificar, - Jefe del proyecto: autorizar recursos para la
analizar, planificar, seguir, controlar y comunicar los riesgos a mitigación, integrar información de todos los
lo largo de todo el ciclo de vida del proyecto. responsables de área sobre los riesgos, revisar la
prioridad de todos los riesgos para determinar cuáles
C. Definición del Plan de Gestión de Riesgos de PRISMA
son los riesgos importantes, tomar decisiones de
Nuestra primera tarea fue crear el plan de gestión del riesgo control sobre estos riesgos, asignar y cambiar
del proyecto PRISMA. Aunque el SEI-CRM no incluye responsabilidades de los riesgos y sus planes de
específicamente una fase o actividad para el desarrollo de este mitigación dentro del proyecto, revisando las métricas
plan, nosotros decidimos extender el SEI-CRM con la fase de periódicamente y conjuntamente con el área de
definición del plan de gestión del riesgo del modelo del PMI, calidad para evaluar la efectividad de la gestión del
cuyo objetivo es el de garantizar que los riesgos del proyecto riesgo.
sean identificados, analizados, documentados, mitigados y - Equipo interno de gestión del riesgo (Área de
controlados correctamente durante todo el ciclo de vida del Calidad): coordinar actividades para identificar y
proyecto. Este documento incluye los procesos, métodos, analizar riesgos, mantener la lista de los riesgos del
responsabilidades y recursos utilizado para administrar los proyecto, notificar nuevos riesgos e informar
riesgos de PRISMA y sigue las recomendaciones del SEI SW- periódicamente sobre el estado de los riesgos al jefe
CMM y del PMI. del proyecto. Estimar periódicamente las métricas de
D. Definición del equipo de Gestión de Riesgos los riesgos para evaluar conjuntamente con el jefe del
La Figura 1 muestra las responsabilidades para gestionar proyecto.
los riesgos de todo el personal del proyecto, incluyendo el jefe - Equipo de soporte a la gestión del riesgo (asesores
del proyecto, los responsables de las diferentes áreas, los externos): detectar elementos de riesgo y estimar su
miembros del equipo PRISMA y el equipo completo de impacto potencial negativo, revisar y evaluar procesos
gestión del riesgo. críticos y áreas dentro del proyecto, revisar e importar
resultados relevantes de proyectos internos similares o
Controlar
externos, construir políticas y planes de contingencia,
Transferir
Jefe del
proyecto Riesgos
• Revisar
• Repriorizar
riesgo
y evaluar y ayudar al jefe del proyecto en actividades
importantes • Integración de
los equipos
Asignar
responsabilidad de criticidad elevada.
Equipo de
Responsables Analizar Ayuda a la
de área • Revisar
• Priorizar
Plan
• aprobar planes
Gestión del
Riesgo
IV. IMPLEMENTACIÓN DEL SEI-CRM EN PRISMA
• Evaluar • Recomendar
• Clasificar planes
Todo el
Riesgos Indicadores
A. Fase de Identificación de Riesgos
equipo
PRISMA Identificar Seguimiento La fase de identificación de riesgos consiste en descubrir
Estado
factores de riesgo antes de que estos lleguen a ser problemas y
deriven en daños o pérdidas. En la figura 2 se puede ver el
Área de Calidad
proceso de identificación de riesgos que se siguió en
Fig. 1. Diferentes roles en el proceso de gestión del riesgo. PRISMA, que se dividió en dos fases: identificación de la lista
inicial de los riesgos del proyecto y proceso de identificación
A continuación se enumeran los roles principales y las y evaluación continua de los riesgos.
responsabilidades para cada rol: 1) Identificación de la lista inicial de riesgos del proyecto
- Todo el equipo PRISMA: identificar nuevos riesgos, Para esta actividad, el equipo de gestión del riesgo
estimar su probabilidad e impacto, clasificar, construyó un cuestionario de identificación de riesgos basado
recomendar acciones, seguimiento de los riesgos y de en la taxonomía de riesgos del SEI. Esta taxonomía
sus planes de acción, y ayudar a priorizar los riesgos. proporciona un marco para identificar riesgos técnicos y del
- Responsables de área: integrar información de todos proceso utilizado para el desarrollo del software [12] y
los riesgos de los miembros de su área, asegurar consiste en 194 preguntas clasificadas en tres grandes clases:
precisión de las estimaciones de la probabilidad, del ingeniería del producto, entorno del desarrollo y restricciones
impacto y la clasificación., reconsiderar la prioridad del programa.
de todos los riesgos para determinar los riesgos más
importantes, revisar recomendaciones para las
acciones de mitigación, asignar y cambiar
responsabilidades de los riesgos y sus planes de
mitigación, implementar decisiones de control sobre
los riesgos, construir planes de acción, recoger e
informar sobre medidas del riesgo, e informar
periódicamente al jefe del proyecto de la situación de
los riesgos.
4
lista actual del proyecto, el equipo debe estar atengo a nuevos cambio y la implementación del cambio cultural es un proceso
riesgos que puedan aparecer en su entorno a medida que el a largo plazo que necesita ser gestionado con cuidado.
proyecto avanza. Este proceso estaba compuesto de los Para este riesgo, se desarrollaron las siguientes acciones de
siguientes pasos: identificación de los nuevos riesgos del mitigación: desarrollar un Plan de Gestión del Cambio;
proyecto (ejecutar propuestas de riesgos y confirmar riesgos), comunicación efectiva entre el equipo de dirección del
asignación de la responsabilidad del nuevo riesgo, y revisión proyecto (jefe ejecutivo del proyecto, director institucional del
periódica de los riesgos del proyecto. proyecto o sponsor, y comisión de seguimiento) y los actores
clave que pueden cambiar o desempeñar un rol clave en el
F. Fase de Comunicación
proceso de cambio.
La finalidad de la fase de comunicación es proporcionar
información y feedback sobre las actividades de gestión del B. Falta de participación e implicación de los usuarios
riesgo del proyecto, los riesgos actuales y los riesgos que La participación del usuario se refiere a la conducta y
puedan surgir. La comunicación es esencial para el éxito de actividades que los usuarios realizan durante el proceso de
todas las otras funciones y es crítica para gestionar los riesgos. implementación del sistema, mientras que la implicación del
Para una gestión eficaz de los riesgos, una organización debe usuario se refiere al estado psicológico de la persona y se
tener una comunicación abierta y ejercida de una manera define como la importancia y la relevancia personal de un
continua. Ésta puede ser tanto formal como informal. Para esta sistema hacia un usuario [4]. La participación e implicación
fase, nosotros llevamos a cabo las siguientes actividades: del usuario proporcionan una mejor obtención de los
presentaciones y talleres de gestión del riesgo a los miembros requerimientos del usuario, logrando mejor calidad del
del equipo PRISMA, publicación de la lista de riesgos, sistema, del uso y de la aceptación.
informes periódicos del estado de los riesgos del proyecto a Con respecto a la mitigación de este riesgo, desarrollamos
los directores técnicos, al jefe del proyecto y a la comisión de una serie de actividades para mejorar la implicación del
seguimiento. Además todos los documentos se han mantenido usuario especialmente en tareas críticas como la formación y
accesibles online en una herramienta informática colaborativa la implementación del sistema.
implementada por el mismo equipo en Lotus Notes.
C. Falta de comunicación interna y externa
V. RIESGOS ORGANIZACIONALES DEL PROYECTO PRISMA Según Esteves y Pastor [15], la comunicación debe ser de
dos tipos: “hacia dentro” en el seno del equipo del proyecto y
La Tabla 3 muestra los factores de riesgos identificados en
“hacia fuera” con el resto de la organización que acoge al
el proyecto PRISMA que fueron inicialmente trasladados y
proyecto. Esto significa que no solo se debe compartir
adaptados desde el modelo de Esteves y Pastor [15]. En la
información sobre las metas y resultados en cada etapa de la
mayoría de casos, los nombres de los factores de riesgo no se
implementación dentro del equipo del proyecto sino también
corresponden exactamente con los factores de éxito originales
con el resto de la organización. Para ello es necesario crear un
de Esteves y Pastor [5], debido a que tales factores fueron
plan de comunicación que organice todas las tareas que se van
definidos como categorías de un nivel más alto que nuestros
a llevar a cabo. Además, el esfuerzo de la comunicación se
factores de riesgo y a que los factores de éxito utilizados han
debe hacer de manera regular durante toda la fase de
sido reinterpretados en su nombre y descripción como factores
implementación.
de riesgo.
Para este riesgo, se propuso la creación de un plan de
TABLA 3
ALGUNOS FACTORES DE RIESGO IDENTIFICADOS EN EL PROYECTO PRISMA comunicación, plan que determinaba las necesidades de
SE Esteves y Pastor información y comunicación de los actores: quién necesitaba
Factores de riesgo identificados Nivel [5]
I qué información, cuándo la necesitaban, cómo se le
Falta de un plan de gestión del cambio
Alto Estratégico proporcionaría y quién lo haría. Por ejemplo, para
organizacional comunicación interna propusimos realizar reuniones más
Falta de implicación y participación de
los usuarios
Medio Estratégico frecuentes y regulares de todo el equipo del proyecto y otras
Falta de comunicación interna y externa Medio X Táctico entre los directores de departamentos.
Inadecuada planificación y evaluación
Medio Táctico D. Inadecuada planificación y evaluación del programa de
del programa de formación
formación
A continuación vamos a tratar brevemente cada uno de La finalidad de la formación es desarrollar las habilidades y
estos riesgos organizacionales y las acciones que se han conocimientos de los individuos de manera que éstos puedan
llevado a cabo para abordar la gestión de cada uno de ellos. realizar sus roles de forma eficiente y efectiva. Consideramos
A. Falta de un plan de gestión del cambio organizacional no solo la evaluación y monitorización de la formación del
equipo del proyecto sino también la de los usuarios del
Este riesgo organizacional fue clasificado como un riesgo sistema. Con respecto a los usuarios, uno de los beneficios
de importancia alta. Mucha de la literatura sobre gestión del más importantes de evaluar la formación es que sirve para
riesgo considera que los riesgos asociados con el cambio adaptar a los usuarios al sistema nuevo, ayudando así al
cultural son los más difícil de gestionar [1]. Normalmente, la proceso del cambio organizacional.
cultura es una de las fuerzas más poderosas de oposición al
6
Para este riesgo, se definieron las siguientes acciones de permite mejorar calidad de los resultados de la gestión de
mitigación: crear un plan de formación que documentara los riesgos, quizás debido a la naturaleza confidencial de las
objetivos del programa de formación, las necesidades de entrevistas y a la posibilidad de concentrarse y profundizar de
formación, la formación que se impartiría y procedimientos forma abierta en temas más concretos.
para llevar a cabo las actividades de formación; proporcionar Respecto a la fase de análisis de riesgos, esta también fue
un conjunto de métricas para controlar la formación en bien aceptada por los responsables. No pasó lo mismo para la
PRISMA, utilizando un marco para controlar y evaluar fase de planificación ya que mientras que las fases de
formación en proyectos de implementación de ERP; crear un identificación y análisis comenzaron a la vez que el desarrollo
cuestionario para evaluar la formación; recoger los datos de del proyecto de software, las fase de planificación empezó
las encuestas que los usuarios o los miembros del equipo del cuando los responsables estaban concentrados resolviendo
proyecto han respondido cada vez que han realizado un curso; problemas de planificación y costes y reduciendo su esfuerzo
analizar estos datos para determinar el estado del plan de en las actividades para asegurar el control de la calidad como
formación y proponer mejoras de formación. la gestión del riesgo. Por ello, no hay un plan de mitigación
para cada riesgo que debía ser mitigado y no todos los planes
VI. CONCLUSIONES Y TRABAJO FUTURO de acción están documentados.
En este estudio han surgido dos resultados que La situación de las fases de seguimiento y control fue
consideramos relevantes. El primero, la viabilidad de la similar, de manera que propusimos que el equipo de gestión
aplicación adaptada del método SEI-CRM a un caso real. En del riesgo tenia que comunicar, motivar y ayudar a los
términos generales, las personas que participaron en el directores técnicos en la planificación de los riesgos que
proceso de gestión del riesgo están de acuerdo en que el SEI- debían ser mitigados, su documentación, su seguimiento y
CRM representa un enfoque válido y positivo para abordar de control.
forma sistemática la gestión de riesgos en proyectos de El segundo resultado principal de la experiencia está
desarrollo de software, aunque insuficiente en su descripción relacionado con la extensión de la taxonomía del SEI con los
oficial para proyectos complejos de desarrollo de software de riesgos organizacionales, y el nivel de importancia de estos
gestión, como ha sido el caso del proyecto PRISMA. riesgos organizacionales asignado por el jefe del proyecto y
Sin embargo, basándonos en nuestra experiencia en este y los directores técnicos. La personas encargadas de evaluar los
otros proyectos, pensamos que uno de los principales riesgos identificaron la mayoría de los riesgos
problemas de este método es que presupone un buen nivel de organizacionales como de importancia alta o media. Además,
madurez en la planificación y la gestión del proyecto de la mayor parte de estos riesgos no estaban bajo el control del
desarrollo de software, algo que no siempre resulta fácil de jefe del proyecto o de los directores técnicos. Este hallazgo se
encontrar en muchos proyectos informáticos. ve apoyado por otros estudios de gestión del riesgo (p.e. [7])
Otro aspecto que afecta a la aplicación de este método son que muestran que muchas de las listas de riesgos se centran
los conceptos erróneos que rodean la aplicación de técnicas de solo en factores de riesgo sobre los que el jefe del proyecto
gestión de riesgos. Padayachee [18] menciona que las tiene un relativo grado de control.
equivocaciones surgen “por ver la gestión del riesgo como Los evaluadores de los riesgos tampoco consideraron
implícita en la planificación o en la fase de especificación o algunos aspectos organizacionales como riesgos porque ellos
ver los riesgos como desafíos, anulando la necesidad para la no los podrían controlar efectivamente o analizaron estos
gestión del riesgo”. Esta actitud puede afectar la implicación y aspectos desde el punto de vista de su rol. Por ejemplo, los
participación de las personas encargadas de evaluar los riesgos directores técnicos no consideraron la ‘falta de autorización a
en todo el proceso. los responsables’ como un riesgo potencial porque ellos
Además, observamos que aunque los gestores aceptaron analizaron este asunto en relación con su rol y no con el de sus
fácilmente su participación en la fase de identificación de los subordinados.
riesgos, fue necesario adaptar el cuestionario de identificación En términos generales, hemos detectado que los aspectos
de riesgos surgido de la taxonomía del SEI, al contexto organizacionales relacionados con los roles de las personas o
específico del proyecto. Un buen jefe de proyecto no permitirá habilidades son los más difíciles de identificar ya que algunas
que sus directores técnicos estén perdiendo el tiempo personas son reacias a admitir explícitamente que ellos u otros
contestando preguntas que no se adaptan al proyecto, pueden no estar actuando según lo esperado. Pensamos que la
disminuyendo así el nivel de confianza en el proceso de razón más importante es evitar conflictos entre evaluadores.
identificación de los riesgos y en el equipo de Gestión del Además, creemos que la gestión de los riesgos de un proyecto
Riesgo. en términos de perspectivas organizacionales requiere un
Ahora también pensamos que realizar entrevistas con los conocimiento completo de experiencias anteriores adquiridas
directores técnicos puede ayudar a mejorar la recogida de en proyectos previos.
datos de los riesgos, ya que mediante entrevistas se puede El hecho de que los asesores externos del equipo de
obtener información más detallada. Este aspecto confirma el Gestión del Riesgo de PRISMA estaban realizando un estudio
análisis de Kontio et al. [17], que menciona que la de caso en profundidad de los factores críticos de éxito en una
información obtenida mediante entrevistas es más detallada y la implementación previa de un ERP en la misma universidad,
7