GUÍA PARA APOYAR LA PRIORIZACIÓN
DE RIESGOS EN LA GESTIÓN DE PROYECTOS
DE TECNOLOGÍAS DE LAINFORMACIÓN

AUTOR
LUISA FERNANDA MOSQUERA RAMÍREZ
Estudiante Ingeniería de Sistemas
*Universidad del Cauca
Facultad de Ingeniería Electrónica y Telecomunicaciones
lfmosquera@unicauca.edu.co
COLOMBIA

AUTOR
DEISY JHOANA ANDRADE ALEGRÍA
Estudiante Ingeniería de Sistemas
*Universidad del Cauca
Facultad de Ingeniería Electrónica y Telecomunicaciones
djandrade@unicauca.edu.co
COLOMBIA

AUTOR
LUZ MARINA SIERRA MARTÍNEZ
Magister en Administración
*Universidad del Cauca
Docente Planta Tiempo Completo Facultad de Ingeniería Electrónica y Telecomunicaciones
lsierra@unicauca.edu.co
COLOMBIA

INSTITUCIÓN
*UNIVERSIDAD DEL CAUCA
UNICAUCA
Universidad Pública
Calle 5 No. 4 - 70
rectoria@unicauca.edu.co
COLOMBIA

INFORMACIÓN DE LA INVESTIGACIÓN O DEL PROYECTO: Proyecto de Investigación, Innovación y Desarrollo Tecnológico en Gestión de Riesgos en proyectos software. Proyecto busca presentar una propuesta de una guía que apoye la priorización de riesgos en proyectos de TI. Universidad del Cauca. Fecha Inicio: 15 de Junio de 2012. Fecha de Finalización: Marzo 15 de 2013. Ejecutado: Deisy Johanna Andrade y Luisa Fernanda Mosquera, bajo la dirección de Luz Marina Sierra.

RECEPCIÓN: Mayo 14 de 2013 - ACEPTACIÓN: Junio 16 de 2013

TEMÁTICA: Gerencia e Ingeniería del Software

TIPO DE ARTÍCULO: Artículo de Investigación Científica y Tecnológica

RESUMEN ANALÍTICO

Para apoyar la priorización de riesgos en proyectos de TI, se ha propuesto una guía que hace uso de algunas buenas prácticas propuestas por el PMI -Project Management Institute [16]. La guía propuesta contempla una descripción detallada de la forma de aplicar cada técnica para disminuir con ello los niveles de subjetividad con los que se realiza el proceso de priorización de riesgos, ya que actualmente es muy difícil encontrar en la literatura explicaciones de cómo utilizarlas. Para el desarrollo de la guía, en primera instancia se elaboró una revisión de la literatura, la cual permitió definir claramente el problema que presenta actualmente la priorización de riesgos en proyectos de TI, con lo cual se trabajó un marco conceptual con los procesos involucrados en la priorización de riesgos (Proceso de realizar análisis cualitativo y Proceso de realizar análisis cuantitativo). En segunda instancia, con base en el marco conceptual, se construyó la guía para la priorización de riesgos en proyectos de TI, la cual contiene una descripción de pasos que conlleva a la priorización de los mismos; en el desarrollo de la guía se efectuaron cinco experiencias (como parte del método científico aplicado) con el fin de verificar su utilidad para priorizar riesgos, y con los resultados y sugerencias obtenidas por parte de los participantes se hizo retroalimentación de la misma. En tercera instancia, se desarrolló un prototipo software que permite aplicar cada paso propuesto en la guía de manera automática, obteniendo resultados precisos y ordenados. Finalmente, el prototipo software fue sometido a una evaluación de utilidad a través del juicio de expertos, teniendo en cuenta criterios de adecuación, precisión y cumplimiento.

PALABRAS CLAVES: Gestión de proyectos, Priorización de riesgos, Gestión de riesgos, Proyectos de tecnologías de información, Guía para la priorización de riesgos en proyectos de TI.

A GUIDE TO SUPPORT THE PRIORIZATION OF THE
RISK IN INFORMATION TECHNOLOGIES PROJECT MANAGEMENT

ANALYTICAL SUMMARY

To support risk management in IT projects, it has proposed a guide that allows making use of some good practices proposed by PMI – Project Management Institute [16]. The guide proposed contemplates a detailed description of way to implement each technique to thereby decrease the levels of subjectivity with which is performed the risk prioritization process, as it is currently very difficult to find in the literature explanations of how to use them. For the development of the guide, in the first instance, made a literature review, which allowed clearly define the problem presented currently prioritizing risks in IT projects and developed a conceptual framework with the processes involved in prioritizing risks (Process to carry out qualitative analysis and quantitative analysis). In the second instance, based on the conceptual framework, was proposed to guide the prioritization of risks in IT projects, which contains a description of steps involved to the prioritization of risks, in the development of the guide were made five experiences (as part of the scientific method applied) for the purpose of verify its usefulness for prioritizing risks, the results and suggestions obtained by the participants, was made feedback from it. In the third instance, we developed a software prototype that can apply each step proposed in the guide automatically obtaining sorted and precise results. Finally, the software prototype was subjected to a utility evaluation through expert judgment, taking into account criteria of adequacy, accuracy and compliance.

KEYWORDS: Project Management, Risk Prioritization, Risk Management, Information technology projects, A guide to priorization of the risk in information technologies project

INTRODUCCIÓN.

Actualmente la ejecución de proyectos es muy importante, dada la necesidad de integrar un diverso conjunto de recursos, personas y tecnologías para cumplir uno o más objetivos, permitiendo la evolución de los recursos de las tecnologías de información, de tal forma que faciliten las actividades laborales o personales, disminuyendo su complejidad y tiempo [1]. Existen diferentes tipos de proyectos; entre ellos se encuentran los informáticos, que son "Un sistema de cursos de acción simultáneos y/o secuenciales que incluye personas, equipamientos de hardware, software y comunicaciones, enfocados en obtener uno o más resultados deseables sobre un sistema de información" [1], los cuales son importantes porque permiten la evolución de los recursos de la tecnología de la información facilitando las actividades laborales o personales, disminuyendo su complejidad y tiempo.

Según estudios realizados acerca del fracaso y éxito de proyectos de TI a nivel mundial, se puede observar que en 1994 el estudio Chaos Report arrojó que el 16,2% de los proyectos son exitosos, el 31,8% de los proyectos no son exitosos, y el 52% corresponde a fallas parciales referentes a expectativas de tiempo o costo [5]. En 1995, la encuesta OASIG sitúa la tasa de éxito entre el 20% y 30%; la encuesta KPMG Canadá, realizada en 1997, encontró que el 61% de los proyectos fracasaron; la encuesta conference board de 2001 muestra que el 40% de los proyectos no cumplen con las expectativas de negocio luego de un año de operación [5]; según [3]: "En 2009, poco menos del 25% de los proyectos no terminan, es decir, son cancelados y todos los esfuerzos realizados son dados como pérdida para la empresa (sin contar el costo de oportunidad que estas cancelaciones pueden suponer). Más del 40% de los proyectos no han cumplido plazos, costo o alcance. Sólo el 32% de los proyectos terminan dentro de unos márgenes razonables de éxito."

Las estadísticas acerca de fracasos y éxitos de los proyectos en Colombia muestran una tendencia similar que las internacionales; hay más fracasos que éxitos, como se puede constatar en los resultados de las encuestas realizadas por ACIS -Asociación Colombiana de Ingeniería de Sistemas-, para las Jornadas de Gerencia de Proyectos que se realizan anualmente, donde todavía se puede apreciar un alto porcentaje de proyectos que se retrasan en cronograma y presentan sobrecostos [2].

Las mejoras en las tasas de éxito de los proyectos de TI, se debe a: el uso de mejores herramientas para supervisar y controlar el progreso de los proyectos, personas con más conocimientos en buenas prácticas de gestión certificadas por el PMI -Project Management Institute-, con 371.575 miembros en el mundo, y 621 miembros en Colombia [7], y mejores prácticas en gestión de proyectos, como las propuestas por el PMI [19], las cuales ayudan a alcanzar los objetivos en tiempo, costo, alcance y calidad.

Aunque existen buenas prácticas entre las que se encuentra el área de gestión de riesgos, según resultados del estudio presentado en el libro de Kathy Schwalbe [19], se puede apreciar que se debería aumentar el esfuerzo dedicado a la gestión de riesgos de los proyectos, dado que presenta el más bajo nivel de madurez (en comparación con otras industrias y áreas de conocimiento, asignándosele una calificación de 2,75, en un rango de calificación de 1 - 5), se encontró que en el año 2011 el uso del análisis de riesgos se aplicó en un 62% de los proyectos [16], demostrando que la gestión de riesgos es un elemento que favorece el éxito de los mismos.

La importancia de la priorización de los riesgos se hace necesaria si se quiere tener un mayor grado de exactitud y eficiencia en un proyecto dado. Sin embargo, no existe una solución adecuada para que las organizaciones apliquen de manera sencilla la priorización de riesgos. Para realizarla es necesario determinar el impacto y probabilidad de ocurrencia para priorizarlos riesgos, y así controlar mejor los imprevistos del proyecto [13].

En este trabajo se busca presentar una propuesta que apoye la priorización de los mismos en proyectos de Tecnologías de Información -TI a través de una guía con base en buenas prácticas de gestión de riesgos, favoreciendo el desarrollo de otros procesos como la monitorización y control de los mismos.

En el presente artículo se evidenciará el proceso seguido para la elaboración de la guía para la priorización de riesgos en proyectos de TI, el cual en primera instancia, presenta un marco conceptual elaborado con el fin de conocer el estado actual de tal priorización, y la forma en que algunos autores proponen su aplicación en los proyectos de TI; en segunda instancia, se presenta el diseño metodológico aplicado al desarrollo de este trabajo; en tercera instancia, se presenta la guía propuesta para la priorización de riesgos de TI; seguidamente, se muestra una reseña del prototipo software construido para soportar los pasos propuestos por la guía; finalmente, se presenta una evaluación de utilidad del prototipo, realizada mediante el juicio de expertos.

1. REVISIÓN DE LA LITERATURA.

1.1. GESTIÓN DE RIESGOS.

La gestión de riesgos tiene como objetivo es incrementar la probabilidad y el impacto de eventos positivos, y disminuir la probabilidad y el impacto de eventos adversos al proyecto [16].

Algunas de las buenas prácticas de la gestión de riesgos propuestas por el PMI -Project Management Institute- [16] son: planificar la gestión de riesgos, identificar los mismos, realizar análisis cualitativo y análisis cuantitativo de riesgos, planificar las respuestas, y monitorear y controlar los riesgos [16]. Muchas de estas prácticas no son muy ejemplificadas, lo que hace que las personas no realicen una correcta gestión de riesgos o la omitan completamente. Los procesos mencionados anteriormente involucran el uso de técnicas y herramientas que permiten priorizar riesgos.

1.2 PRIORIZACIÓN DE RIESGOS.

1.2.1 Proceso realizar análisis cualitativo de riesgos.

El análisis cualitativo de riesgos permite establecer prioridades para posteriormente crear el plan de respuesta a los riesgos; es también una base para el análisis cuantitativo, y es importante que este análisis sea revisado y actualizado durante todo el ciclo de vida del proyecto [16]. El análisis cualitativo involucra la evaluación de probabilidad e impacto de los riesgos que han sido identificados en el proyecto; en este caso se le da un valor cualitativo a la probabilidad (por ejemplo: baja, media, alta) y al impacto (por ejemplo: bajo, medio, alto). Los riesgos negativos que tienen probabilidad e impacto más altos son los que pueden afectar más gravemente al proyecto, mientras que los riesgos positivos aumentan las oportunidades de que se presente un evento que beneficie el desarrollo del mismo, razón por la cual se les debe diseñar un adecuado plan de respuesta [13]. Existen diferentes técnicas tales como: la evaluación de probabilidad e impacto de los riesgos, matriz de probabilidad e impacto, la evaluación de la calidad de los datos sobre los riesgos, y la evaluación de la urgencia de los mismos. Es importante aclarar que, para realizar el análisis cualitativo, se debe tener un registro de los riesgos del proyecto, el cual se obtiene en el proceso de identificarlos.

1.2.2 Proceso realizar análisis cuantitativo de riesgos.

Este proceso consiste en realizar la estimación numérica de los efectos de los riesgos en los objetivos del proyecto, y se realiza sobre la priorización efectuada en el proceso análisis cualitativo de riesgos. Permite asignar a los riesgos identificados una calificación numérica, o se puede utilizar para evaluar el efecto acumulativo de todos los riesgos que afectan el proyecto; algunas de las técnicas que hacen parte de este proceso son: análisis de sensibilidad, análisis de valor monetario esperado, modelado y simulación, juicio de expertos y exposición al riesgo [16].

1.3 ANTECEDENTES RELEVANTES.

Entre los trabajos revisados se destacan:

1) Expressing and communicating uncertainty in relation to quantitative risk analysis [6], en donde se propone un método sencillo para clasificar los factores de incertidumbre y caracterizarlos adecuadamente usando la probabilidad.

2) "Diseñando un modelo computacional para apoyar el uso de un proceso de gestión de riesgos en proyectos software" [21], en donde se propone un modelo de minería de datos que hace recomendaciones para identificar riesgos en proyectos de desarrollo de software.

3) "Sistema para el análisis cuantitativo de los riesgos para los proyectosde producción de software" [14], que propone el desarrollo de una aplicación capaz de automatizar el manejo de los riesgos y complemente los procesos de identificación y análisis cuantitativo.

4) El trabajo "Riesgo e incertidumbre en la gestión de proyectos informáticos" [10], que habla del riesgo, distinguiendo las causas y consecuencias de los planes de contingencia que se pueden tener en cuenta a la hora de enfrentar un riesgo, de los procesos que conforman la metodología de gestión de riesgos, y muestra finalmente un ejemplo de una herramienta llamada PRIAM.

Los anteriores trabajos enmarcan cómo se ha ido abordando el tema de análisis cualitativo y cuantitativo de riesgos desde diferentes perspectivas y técnicas, y por lo tanto constituyen un referente valioso para esta investigación.

2. DISEÑO METODOLÓGICO.

Para la elaboración de este proyecto y el desarrollo de cada uno de sus objetivos, se elaboraron cuatro hitos.

• Primer Hito, la construcción del marco conceptual se utilizó la metodología documental, que permitió recolectar información de diferentes tipos, como libros, monografías, tesis, artículos, informes, revistas y ensayos [17]. Las fases que se siguieron en la metodología documental fueron: Recopilación del material informativo; Organización y análisis del material; Redacción del trabajo.


• Segundo Hito, se realizó la propuesta de la guía para la priorización de riesgos en proyectos de TI, tomando como punto de partida la bibliografía revisada sobre priorización de riesgos, características de las guías, y análisis de las técnica y pasos que se van a incluir en la propuesta. La guía obtenida, fue sometida a una evaluación por expertos en donde se recibió retroalimentación y se le hicieron ajustes en pro de mejorar su utilidad para la priorización de riesgos de TI.


• El tercer Hito, fue el desarrollo del prototipo software, se utilizó la metodología ágil de desarrollo eXtreme Programming (XP); esta metodología está compuesta por las siguientes fases [24]: Exploración del proyecto, Planeación, Iteraciones (en donde se cubrieron las actividades de análisis, diseño, codificación y pruebas) y la fase de Producción.


• En el cuarto hito, se realizó la evaluación de utilidad del prototipo que se obtuvo después de culminar el tercer hito. Para realizar la evaluación de utilidad se tuvieron en cuenta criterios de precisión, adecuación y cumplimiento [9]. En la evaluación se contó con la colaboración de cuatro (4) expertos en el campo de gestión de riesgos en proyectos de TI.

3. CONSTRUCCIÓN DE LA GUÍA PROPUESTA PARA LA PRIORIZACIÓN DE RIESGOS EN PROYECTOS DE TI.

Para la construcción de la guía, en primera instancia se realizó un análisis comparativo entre los diferentes tipos de guía, con el fin de definir las características a contemplar en la guía a proponer. En segunda instancia se tomó como referencia el método científico [18], el cual permitió construir la guía al proporcionar los pasos a seguir para presentar la propuesta. Éstos fueron: la observación, la formulación de preguntas sobre la priorización de riesgos y la forma en que se podía apoyar, dar respuestas a las preguntas a través de la propuesta de la guía, y finalmente realizar una experiencia que tuvo como finalidad determinar si la guía permite la priorización de riesgos en proyectos de TI, y obtener retroalimentación por parte de las personas que participaron en la experiencia, lo que permitió enriquecer y refinar la guía.

3.1 CARACTERÍSTICAS DE LA GUÍA PROPUESTA.

La guía para la priorización de riesgos de proyectos de TI tiene como objetivo apoyar la aplicación de las mejores técnicas mencionadas en la literatura de gestión de proyectos de TI, tales como libros y textos de gestión de riesgos (propuestos por PMI [16], Pressman [15], Ian Sommerville [22], Mcconnell [12], Schwalbe [20] y Sabino [13]), y revisiones de artículos.

Mediante un análisis comparativo se indican las características que hacen parte de la guía para la priorización de riesgos en proyectos de TI, describiendo de cada tipo de guía las características que contiene (guía metodología, guía didáctica, guía pedagógica y guía de aprendizaje), para finalmente tomar las que mejor cumplen con los objetivos de la guía propuesta.

En la tabla 1 se seleccionaron las características que hacen parte de la guía para la priorización de riesgos en proyectos de TI, teniendo en cuenta lo siguiente:

1. La descripción de la guía pedagógica es la que mejor puntualiza la manera en que se quiere mostrar la guía para la priorización de riesgos en proyectos de TI.


2. Los objetivos de la guía pedagógica y de aprendizaje son los que se adaptan de mejor forma al contexto que se quiere abordar con la guía para la priorización de riesgos.


3. La aplicación de la guía metodológica es la que permite abordar una buena metodología para guiar este proceso, dado que la guía para la priorización de riesgos en proyectos de TI va encaminada en este sentido.


4. Las características de la guía metodológica son las que se acoplan al modo en que se quiere presentar el contenido de la guía para la priorización de riesgos en proyectos de TI, ya que proponen el uso de una secuencia imaginaria de eventos.


5. Las guías metodológica y didáctica brindan los instrumentos más adecuados para alcanzar los objetivos de la guía propuesta.


6. La temática de estudio que abordan las guías metodológica y pedagógica es la que abarca el tema a desarrollar en la guía para la priorización de riesgos en proyectos de TI.


7. Se aplica la guía propuesta paso a paso a un caso de estudio, en pro de cumplir características de la guía de aprendizaje, seleccionadas para efecto de la guía propuesta.


8. Se aplica la guía propuesta paso a paso a un caso de estudio, en pro de cumplir características de la guía de aprendizaje, seleccionadas para efecto de la guía propuesta.

3.2 PROCESO DE CONSTRUCCIÓN DE LA GUÍA PROPUESTA.

En primera instancia se revisó y analizó el marco conceptual construido, lo cual permitió identificar el proceso de priorización de riesgos usado actualmente por el PMI [16], y se detectó que no existe e una clara explicación de cómo aplicar cada uno de ellos o un ejemplo que pueda funcionar como referencia.

En la figura 1, se pueden observar los procesos de gestión de riesgos, resaltando en el recuadro los procesos relacionados con la priorización de los mismos.

Teniendo en cuenta lo observado y estudiado, se plantea la pregunta: ¿Cómo apoyar la priorización de riesgos en proyectos de TI, de manera sencilla y con base en buenas prácticas de gestión de riesgos como las presentadas por el PMI [16]?

Para responder la anterior pregunta, se planteó construir una guía para la priorización de riesgos en proyectos de TI, con base en buenas prácticas propuestas por el PMI [16] y en la literatura estudiada. Cabe aclarar que la guía no formula técnicas sino que apoya el desarrollo de la priorización de riesgos a través de los procesos de análisis cualitativo y cuantitativo, exponiendo algunos conceptos básicos que ayudan a comprender mejor el proceso. La guía presenta la forma de aplicar cada técnica mediante pasos descritos detalladamente, con explicaciones y un caso de estudio como ejemplo, siguiendo un procedimiento riguroso, como lo plantea el PMI -Project Management Institute-, el cual menciona que se puede establecer un nivel de rigor en la aplicación de cada evento.

La figura 2, muestra todo el proceso seguido por la guía para priorizar riesgos en proyectos de TI propuesta e identifica cada uno de los pasos que es explicado en la guía y dan el camino a seguir de acuerdo a lo que se desee en el momento de usarla.

La guía para la priorización de riesgos en proyectos de TI propone una secuencia de pasos que permiten apoyar dicha priorización. Algunos de estos pasos, así como las técnicas utilizadas en la guía, se recomiendan como obligatorios.

A continuación se presentan cada uno de los pasos que componen la guía, describiendo con mayor detalle la forma en que se innovaron algunas técnicas.

Paso 1: Registro de riesgos.
En el registro de riesgos se debe anotar una serie de campos por cada uno; además de la información de cada riesgo, es necesario constatar unos datos específicos del proyecto, por ejemplo: total de fases del ciclo de vida del mismo, total de requerimientos, y total de actividades; todos estos campos son solicitados a través de una plantilla denominada registro de riesgos.

Paso 2: Ajuste de parámetros.
Se establecen las escalas con las cuales se va a trabajar en el proceso de priorización de riesgos; por ejemplo, para el impacto se tiene la escala: muy alto (5), alto (4), moderado (3), bajo (2), y muy bajo (1); y para la probabilidad se tiene: muy bajo (<10%), bajo (10 - 25%), moderado (25 - 50%), alto (50 - 75%), muy alto (>75%).

Paso 3: Proceso de realizar análisis cualitativo.
En este paso se priorizan los riesgos haciendo uso de valores cualitativos definidos en el anterior paso. En este paso entran las siguientes técnicas:

• Evaluación de calidad de los datos:
  La evaluación de la calidad de los datos se hace con el fin de garantizar que la fuente de los mismos no cuente con datos inconsistentes o incompletos. [11]


• Evaluación de probabilidad e impacto:
  Un problema típico en el momento de realizar la evaluación de probabilidad e impacto es que no se cuenta con una base para realizar la asignación de estos valores a cada riesgo; muchas veces se asignan según el criterio de la persona que está evaluando los riesgos, y puede que se estén pasando por alto algunos puntos importantes; por ello se ha propuesto una serie de preguntas que tienen en cuenta los objetivos de alcance, calidad, costo y tiempo del proyecto, para poder calificar de una manera menos subjetiva cada riesgo, debido a que, para responder estas preguntas, se debe tener en cuenta información relevante sobre el proyecto como: número de requisitos, fases en que se desarrolla el proyecto, número de objetivos, total en estándares de calidad, total de actividades del proyecto; esto, con el fin de hacer un cálculo más preciso después de responder cada una de las preguntas, según el tipo de objetivo del proyecto que se vea afectado si alguno(s) de los riesgos se llegara(n) a materializar.

En la tabla 3, se presenta un ejemplo del formato utilizado para una pregunta.

Los pesos y valores asignados se han obtenido de la revisión de casos desarrollados, de la literatura y de los análisis y acuerdos obtenidos por el equipo de trabajo de este proyecto. Cabe aclarar que estos valores pueden ser sujetos de modificación, según se considere por los expertos para una próxima versión de la guía propuesta.

Para asignar los valores de probabilidad e impacto una vez se haya dado respuesta a las preguntas, se deben aplicar las siguientes formulas (ver Ecuacuón 1 y Ecuación 2).

ECUACIÓN 1: Cálculo del valor de probabilidad.

ECUACIÓN 2: Cálculo del valor de impacto.

Donde:

n, es el número total de preguntas en el objetivo
i, es el número de la pregunta.
WR, es el valor asignado a la respuesta de la pregunta.
WP, es el peso de la pregunta.

Cabe la posibilidad de que un riesgo pueda afectar a más de un objetivo. En este caso se deberá proceder a calcular el promedio entre los resultados obtenidos en las fórmulas para probabilidad e impacto por separado.

Al obtener los valores del cálculo de probabilidad e impacto, se procede a comparar cada valor de cada riesgo con la siguiente información, la cual permite establecer la escala recomendada para probabilidad e impacto del riesgo.

• Matriz de probabilidad e impacto:
  La matriz se construye teniendo en cuenta la evaluación de probabilidad e impacto de los riesgos, ubicando los diferentes niveles de probabilidad en las filas y los de impacto en las columnas. Para la aplicación de esta técnica se utilizó la matriz de probabilidad e impacto propuesta por el PMI [16]. Como resultado de esta técnica se obtendrán dos listas de riesgos priorizadas (una para riesgos positivos, y otra para riesgos negativos), según el tipo de prioridad del riesgo dado por su ubicación en la matriz.


• Evaluación de urgencia:
  Para facilitar el análisis de cada riesgo y la asignación de urgencia, se propone un modelo de división en tres grupos (inicial, intermedio y final), los cuales estarán conformados por las fases del ciclo de vida del proyecto. Para asignar la urgencia a un riesgo se tienen en cuenta tres criterios: el grupo, la probabilidad y el impacto, los cuales se deben comparar con una serie de reglas propuestas. En la tabla 6, se presenta un ejemplo de las reglas para asignar la urgencia a los riesgos.

Como resultado de esta técnica se obtendrá una lista priorizada, según la urgencia de los riesgos.

• Juicio de expertos:
  El juicio de expertos se basa en la experiencia que tienen las personas que conforman el grupo de expertos a los cuales se les da la opción de modificar valores de probabilidad e impacto, para generar nuevamente la lista priorizada.

Paso 3.1: Proceso Realizar el análisis cuantitativo.
En este paso priorizan los riesgos con valores numéricos y teniendo en cuenta más información, que ayuda a clasificar los eventos (tanto oportunidades como amenazas) con mayor precisión. Este paso es opcional y está compuesto por las siguientes técnicas:

• Asignar valores cuantitativos a la probabilidad e impacto:
  Los valores de probabilidad e impacto asignados a los riesgos (positivos y negativos), tienen en cuenta las respuestas dadas en las preguntas guiadas de probabilidad de los objetivos que afecta el riesgo, calculando la frecuencia para cada respuesta, de las cuales, si existe más de una pregunta de probabilidad para un riesgo, se debe calcular un promedio de las frecuencias.

ECUACIÓN 3: Cálculo de la frecuencia para la probabilidad.

Donde:

Rta_probabilidad: es el valor en cantidad respondido para la pregunta de probabilidad realizada en el ítem 2 del paso 3.

Valor_total: Corresponde al número total de fases, requerimientos, actividades, características, estándares o paquetes del proyecto que fueron constatados en el registro de riesgos solicitados como pre-requisitos.

Para la asignación del impacto del riesgo, tanto positivo como negativo, se debe tener en cuenta la calificación cualitativa que se le asignó al riesgo, reemplazando los valores de la siguiente manera:

• Juicio de expertos:
  En esta parte se puede volver a aplicar juicio de expertos para modificar los valores de probabilidad e impacto.


• Exposición al riesgo:
  Esta técnica es también conocida como Impacto del Riesgo, y se realiza para determinar la exposición o impacto que tendría cada uno de los riesgos negativos (Amenazas) que se hayan identificado. Para realizar esta técnica solo se debe hacer un estimado sobre la probabilidad de pérdida (probabilidad de que se materialice el riesgo) y la magnitud de la misma (puede tomarse de dos maneras: por costos, asignando la cantidad de dinero que afectaría al valor total del proyecto si el riesgo ocurriera, y en tiempo, asignando valores estimados en los que se podría ver afectado el proyecto como días, semanas o meses), sin pretender que sean exactos pero sí lo más reales posibles, los cuales se utilizarán para aplicar la ecuación 4, que nos brindará como resultado la exposición al riesgo [12].

ECUACIÓN 4: Cálculo de exposición al riesgo.

Paso 4: Registro de riesgos actualizado.
En este paso se obtiene el registro de riesgos ordenados por prioridad, ya sea si sólo se realizó el proceso de análisis cualitativo de riesgos o los dos procesos de análisis (cualitativo y cuantitativo). Este registro de riesgos será parte del proceso de monitorización de los riesgos durante los periodos establecidos.

Paso 5: Elaboración de la lista top-ten.
La lista top-ten es un seguimiento al comportamiento de cada riesgo, periodo a periodo, según la posición que ocupa en cada nueva lista que se obtiene tras realizar el procedimiento de priorización de riesgos.

3.2.1 Experiencias realizadas, una vez fue construida la guía.

En este paso se realizó la verificación de la guía para la priorización de riesgos de TI propuesta, en pro de ratificar que apoya el proceso de priorización de los mismos. Para la aplicación del experimento se adoptó un enfoque de investigación cuantitativo que, mediante la recolección de datos, permitió probar la hipótesis con base en la medición numérica y estadística.[8]

La experimentación permitió obtener retroalimentación por parte de las personas que usaron la guía, las cuales tienen diferentes perfiles, en pro de obtener diferentes visiones sobre la aplicación y utilidad de la guía, y así enriquecerla con las sugerencias

Para la selección de la muestra se tuvo en cuenta la experiencia y conocimiento de las personas en el área de gestión de riesgos, agrupándolos en 5 grupos: la experiencia 1, 2 y 3, con conocimientos básicos y participación en la gestión de proyectos académicos; en la experiencia 4, profesionales que laboran en el ámbito académico y han adquirido conocimiento en proyectos académicos y empresariales; en la experiencia 5, profesionales que laboran en el ámbito empresarial y su pericia fue adquirida en la dirección y participación en proyectos empresariales. Cabe aclarar que todas las personas que fueron escogidas ya habían aplicado las prácticas y técnicas conocidas para analizar y priorizar riesgos, ya sea en proyectos de clase o en proyectos empresariales.

El experimento consiste en aplicar la guía a un caso de estudio con su debido registro de riesgos, para que éste sea priorizado siguiendo cada paso contenido en la guía; una vez realizado un paso, se procede a responder una serie de preguntas sobre el procedimiento y las técnicas que lo constituyen; estas preguntas son de apreciación respecto a la utilidad de la guía propuesta para priorizar proyectos de TI. Finalmente, con el resultado de las diferentes experiencias se concluyó que la guía realmente apoya la priorización de riesgos en proyectos de TI.

La aplicación de la guía en cada experiencia se ha realizado apoyándose en la utilización de las plantillas propuestas, idóneas para cada paso.

• Cuadro resumen de los resultados obtenidos:
  En la tabla 8, se puede apreciar un breve resumen de los criterios que se evaluaron de la guía, en la medida que los participantes realizaban cada paso y técnica de la guía desarrollada. En la columna de calificación obtenida se presentan los resultados predominantes en la evaluación efectuada por los participantes.

En la tabla 9 se presentan los resultados de la evaluación elaborada en términos generales a la guía propuesta, una vez que cada participante había desarrollado por completo todos los pasos y técnicas planteadas en la guía. En la Columna de calificación obtenida se presentan los resultados predominantes en la evaluación realizada por los participantes.

Es de resaltar que se recibieron también sugerencias a realizar, tanto a la forma como se presenta la guía, como a las plantillas utilizadas para el desarrollo de la misma, las cuales fueron analizadas para refinarla.

3.2.2 Conclusiones de la experimentación.

• La guía para priorizar riesgos puede ser utilizada por personas con conocimientos básicos u avanzados en la priorización de riesgos en proyectos de TI; esto se pudo apreciar por la facilidad con que se desenvolvieron las personas que participaron en las experiencias, quienes contaban con diferentes niveles de conocimientos en gestión de riesgos, y por sus respuestas y opiniones respecto al uso de la guía.


• La mayoría de los pasos fueron encontrados por los participantes de la experiencia como adecuados, apropiados, útiles, claros y completos, lo cual se evidencia con los porcentajes obtenidos en las preguntas realizadas a cada participante del experimento.


• La guía propuesta sirve para priorizar riesgos en proyectos de TI, comprobando así la hipótesis planteada.

4. PROTOTIPO SOFTWARE CONSTRUIDO PARA LA PRIORIZACIÓN DE RIESGOS EN PROYECTOS DE TI.

4.1 BREVE DESCRIPCIÓN DEL PROTOTIPO.

El prototipo software se desarrolló con el fin de sistematizar la guía propuesta, y fue construido con base en los pasos propuestos en la guía, permitiendo realizar de forma más rápida y precisa cada uno de los pasos ya que el usuario no tendría que realizar los cálculos de manera manual, asunto que le llevaría mucho tiempo y estaría sujeto a errores. El prototipo guía al usuario por cada paso de manera secuencial, presentando los resultados en forma organizada. Adicionalmente, permite al usuario analizar los riesgos en una siguiente etapa de monitorización, presentando al final del análisis una comparación entre las posiciones de prioridad obtenidas en la etapa anterior y en la etapa actual.

4.2 DESCRIPCIÓN DEL PROCESO DE CONSTRUCCIÓN.

El desarrollo del prototipo software se guió por la metodología de desarrollo ágil XP; a continuación se explican cada una de las fases con algunos de los artefactos elaborados en ellas.

4.2.1 Fase de exploración.

En esta fase se elaboraron las historias de usuario a grandes rangos, las cuales se tienen en cuenta para la primera entrega del prototipo; se hizo un diseño parcial de la arquitectura y una familiarización con la tecnología y herramientas que se utilizaron para el desarrollo del prototipo. Algunas de las estimaciones realizadas en esta fase fueron modificadas al ser analizadas profundamente en cada una de las iteraciones, debido a que en esta fase las estimaciones se elaboraron de manera primaria.

4.2.2 Fase de planeación.

En esta fase se realizó una priorización de las historias de usuario, lo que determinó el orden en las que estas se debían desarrollar; como producto de esta fase se obtuvo el plan de iteraciones, en el cual se asocian las historias de usuario que serán desarrolladas en la iteración 1 y fecha de entrega.

4.2.3 Fase de iteración.

Se decidió hacer una aplicación de escritorio porque para realizar la priorización de riesgos no es necesaria una comunicación con el exterior, ya que localmente se cuenta con todas las funcionalidades necesarias para dar un buen resultado; además, la aplicación de escritorio es más segura, rápida en su procesamiento, y robusta. Para la construcción del prototipo software fue necesario realizar 4 iteraciones, en las cuales se analizaron las historias de usuario a construir, se diseñaron las pruebas de aceptación para cada historia de usuario, se diseñó el diagrama entidad-relación de la base de datos, se elaboraron los diseños de interfaces, se codificaron las historias de usuario, y finalmente se aplicaron las pruebas a cada módulo desarrollado, con el fin de encontrar y corregir errores.

4.2.4 Fase de producción.

Para el desarrollo del prototipo software sólo se llegó hasta la fase de producción; en esta fase ya se obtuvo el prototipo funcional completo y sin errores. A continuación se presentan algunas imágenes del prototipo en ejecución, aplicado a un caso específico, el cual sirve como ayuda para la aplicación de la guía y la utilización del prototipo.

5. EVALUACIÓN DE UTILIDAD DEL PROTOTIPO SOFTWARE.

5.1 DESCRIPCIÓN DE LA EVALUACIÓN DE UTILIDAD.

Para la evaluación de utilidad del prototipo se realizó una adaptación del método científico, el cual permitió concluir sobre la utilidad del prototipo para priorizar riesgos de proyectos de TI.

Como premisa se planteó: El prototipo software desarrollado teniendo en cuenta los pasos propuestas en la guía propuesta, es útil para realizar la priorización de riesgos en proyectos de TI.

En términos de calidad no existe una definición concreta de utilidad, pero la definición de la característica de calidad llamada idoneidad de la funcionalidad dada en la ISO 25000 [9] es muy adecuada, habla de "El grado en que el producto de software proporciona funciones que cumplen las necesidades expresadas o implícitas cuando el software se utiliza bajo condiciones específicas". De esa manera, en términos de calidad, la utilidad se puede tomar como la idoneidad de la funcionalidad, y para evaluarla se pueden definir métricas de evaluación. A su vez, la idoneidad de la funcionalidad está dividida en: adecuación, precisión y cumplimiento criterios que fueron tomados para evaluar la utilidad.

Para realizar una verificación inicial sobre la utilidad del prototipo, a priori se ejecutó una experiencia con 4 expertos, haciendo uso de la técnica Delphi [23]; los expertos interactuaron con el prototipo con el fin de priorizar riesgos, y contestaron un cuestionario (En el apéndice se incluye este cuestionario), el cual no fue necesario aplicar de nuevo, debido a que en la primera ronda se obtuvo un consenso entre las opiniones de los expertos.

5.2 RESULTADOS DE LA EVALUACIÓN DE UTILIDAD.

En la tabla 10 se presentan los resultados de la experimentación.

La evaluación de utilidad permitió determinar que se cumplió con las subcategorías de adecuación, precisión y cumplimiento, lo que permitió concluir que prototipo software posee la característica de calidad llamada 'idoneidad de la funcionalidad', la cual, para este trabajo, se ha tomado como la utilidad del prototipo para priorizar riesgos en proyectos de TI.

Cabe aclarar que es necesario ampliar el grupo de expertos en pro de generalizar las conclusiones y resultados obtenidos.

6. RESULTADOS.

Se ha obtenido un Marco conceptual sobre priorización de riesgos en proyectos de TI, que permitió conocer el contexto de la gestión de riesgos en referencia a la gestión de proyectos de TI, el estado actual de su aplicación, diferentes visiones para su aplicación, así como la importancia de utilizarla en los proyectos.

Se obtuvo la propuesta de una guía para apoyar la priorización, la cual fue sometida a una evaluación sobre su utilidad, obteniéndose resultados positivos. Se destaca que se siguió un proceso riguroso para proponer la guía especificada aquí.

Se elaboraron las respectivas plantillas que apoyan el uso de la guía propuesta; se obtuvo un caso práctico que acompaña la guía propuesta.

Se elaboró un prototipo software que soporta los pasos planteados por la guía (descrito en la sección 4).

Se encuentra en proceso de edición y publicación un libro sobre esta guía, en donde se podrán obtener mayores detalles para la aplicación de la misma.

7. CONCLUSIONES.

La guía propuesta permite priorizar riesgos en proyectos de TI, en diferentes contextos tanto académicos como empresariales, dado que en la experiencia participaron personas de ambos ámbitos, obteniendo una buena retroalimentación y buenos resultados en la realización de la experiencia.

La guía propuesta apoya el proceso de priorización de riesgos, porque en ella está incluida la forma de aplicar las técnicas de los procesos para realizar análisis cualitativo y cuantitativo de riesgos, incluyendo ejemplos, plantillas y recomendaciones.

Mediante el desarrollo de este trabajo de investigación fue posible proveer una herramienta (en papel y en software) que permite apoyar la priorización de riesgos en proyectos de TI, con base en buenas prácticas de gestión de los mismos.

El proceso de investigación desarrollado durante la ejecución de este proyecto permitió elaborar un marco conceptual que se convierte en un referente importante para futuros trabajos en gestión de proyectos de TI, lo cual fue crucial para proponer la guía de apoyo a la priorización de riesgos en proyectos de TI.

La estructura y características de la guía propuesta en este proyecto, contó con el estudio de los diferentes tipos de guías, por lo cual se pudo determinar la estructura y características de cada tipo, según se ajustaran más a las necesidades de la guía que se buscaba proponer, lo que permitió construir una con ejemplos y claras explicaciones de la forma de aplicar las diferentes técnicas para priorizar riesgos en proyectos de TI.

La elaboración de preguntas para asignar la probabilidad e impacto a los riesgos de proyectos de TI permitió disminuir un poco la subjetividad de la técnica de evaluación de probabilidad e impacto, al no realizar las asignaciones de los valores sólo teniendo en cuenta el criterio de expertos.

Con base en los pasos propuestos en la guía fue posible construir un prototipo software que sistematiza el seguimiento de dicchos pasos, disminuyendo el tiempo que se emplea normalmente en realizar el análisis y la priorización de los riesgos en proyectos de TI.

Tanto la guía propuesta como el prototipo software construido se convierten en herramientas valiosas al proveer un marco de referencia para realizar los procesos de priorización de riesgos, útil tanto para personas expertas en el tema como para personas con poca experiencia.

La evaluación de utilidad del prototipo software realizada con los 4 expertos permitió determinar que son útiles para priorizar los riesgos en proyectos de TI, por lo cual se puede concluir que la guía para priorizar riesgos en proyectos de TI es útil.

Es de vital importancia continuar investigando y desarrollando nuevas herramientas que permitan apoyar procesos de gestión de proyectos de TI, como es el caso de la priorización, en pro de favorecer condiciones de éxito, prevenir, corregir y mitigar situaciones que pudiesen impedir una correcta ejecución del proyecto.

8. TRABAJO FUTURO.

Involucrar nuevas propuestas y herramientas que apoyen condiciones de ejecución y finalización exitosa de proyectos de TI es de vital importancia, teniendo en cuenta el auge y los recursos existentes actualmente (provenientes tanto del sector público como del privado) para apoyar este tipo de trabajos, que van en beneficio de las empresas y en pro de hacer frente a los retos que implica una economía globalizada y un mercado competitivo y cambiante como lo es el actual.

En la medida que se utilice el prototipo software desarrollado, se podrá contar con un banco de datos importantes sobre priorización de riesgos en proyectos de TI, el cual proveerá información que podrá ser manipulada y analizada para generar recomendaciones o clasificaciones para la gestión de riesgos de otros proyectos; es decir, esta información se podrá utilizar para apoyar procesos de toma de decisiones o análisis de datos mediante la aplicación de técnicas de minería de datos, como por ejemplo, generar sugerencias para evaluar la probabilidad e impacto de los riesgos teniendo en cuenta las similitudes con los proyectos almacenados. Agregar más preguntas a la guía, para evaluar la probabilidad e impacto de los riesgos, teniendo en cuenta las otras áreas de conocimiento tratadas en el PMBOK, tales como adquisición, integración, recursos humanos, comunicaciones y stakeholders.

Incluir en la guía más técnicas que hagan parte de los procesos de análisis cualitativo y cuantitativo de riesgos, que ayuden a priorizarlos a partir de diferentes criterios. Buscar espacios tanto académicos como empresariales, en donde, se puedan socializar los resultados aquí presentados en pro de dar sostenibilidad y obtener retroalimentación para éstos.

9. APÉNDICE.

En la tabla 11 se presenta el cuestionario aplicado a los expertos para la evaluación de la utilidad del prototipo.

9. AGRADECIMIENTOS.

Las autoras de este artículo agradecen a la Universidad del Cauca, específicamente al Departamento de Sistemas (Facultad de Ingeniería Electrónica y Telecomunicaciones), por la colaboración para realizar estos trabajos que permiten la unión de aspectos metodológicos, formales, e ingenieriles, en donde se han integrado conocimientos y experiencias como las planteadas en este trabajo, contando siempre con el respaldo del grupo de investigación en I+D en Tecnologías de la Información -GTI.

10. REFERENCIAS.

[1] ACIS, IX Encuesta de gerencia de proyectos (online). (Colombia), 2011 (cited 22 mar., 2012). http://www.acis.org.co/

[2] ACIS, VII Encuesta de gerencia de proyectos (online). (Colombia), 2009 (cited 22 mar., 2012).http://www.acis.org.co/

[3] ALMUNIA, Pablo. IEDGE - Dirección de Proyectos Informáticos (online). (España), sep. 2011 (cited 22 mar., 2012). http://blog.iedge.eu/tecnologiasistemas-informacion/direccion-siti/pabloalmunia-direccion-de-proyectos-informaticos/

[4] BARROS, Alejandro. Comportamiento de proyectos TI: Están en deuda (online). (Chile), ene. 2010 (cited 21 mar., 2012). http://www.alejandrobarros.com/content/view/669175/Comportamiento-deproyectos-TI-Estan-en-deuda.html

[5] C&TA, Ciencia y Técnica Administrativa. Qué es un proyecto informático (online). (Buenos Aires, Argentina), 2008 (cited 21 mar., 2012). http://www.cyta.com.ar/biblioteca/bddoc/bdlibros/proyectoinformatico/libro/c1/c1.htm

[6] FLAGE, R., & Aven, T. Expressing and communicating unsertainty in relation to cuantitative riks analysis. R & Rata, V2 (2), 9 - 18, (Junio de 2009).

[7] GOMEZ, Project and Training, Material seminario de preparación para el examen de certificación PMP/CAPM. En Seminario de preparación para el examen de certificación PMP/CAPM, (2012).

[8] HERNÁNDEZ SAMPIERI, R., FERNÁNDEZ COLLADO, C. y BAPTISTA LUCIO, M. Metodología de la investigación (5 ed.). México DF: McGraw-Hill, (2010).

[9] ISO. (2005). Norma ISO/IEC 25000.

[10] JIMENEZ, J. I. (s.f.). Riesgo e incertidumbre en la gestión de proyectos informáticos. Partida doble.

[11] LAROSE, D. T. Discovering knowledge in Data: An Introduction to Data Mining. John Wiley & Sons, (2005)

[12] MCCONNELL, Steve. Desarrollo y gestión de proyectos informáticos. España: McGraw Hill, 1997, 320p.

[13] MCMANUS, John. Risks Management in software development projects. Oxford: ELSEVIER, 2004.

[14] MESA MORALES, E., MARTÍNEZ RODRÍGUEZ, Y. y ARGOTA VEGA, I. Sistema para el análisis cuantitativo de los riesgos para los proyectos de producción de software, (Septiembre de 2010).

[15] PRESSMAN, Roger S. Ingeniería del software un enfoque práctico. Madrid: McGraw Hill, 2002, 601p.

[16] PROJECT MANAGEMENT INSTITUTE, Inc. A guide to the Project Management Body of Knowledge, 5 ed. Pennsylvania: Project Management Institute, 2012. 425p

[17] SABINO, Carlos. El proceso de investigación, Caracas: Panapo, 1992.

[18] SAEZ, Silvia. El método científico, fundamentos metodológicos, 2011.

[19] SCHWALBE, Kathy. Information Technology Project Management, 6 ed. Thomson Course Technology, 2010. 490p

[20] SCHWALBE, Kathy. Information Technology Project Management, Thomson Course Technology.

[21] SIERRA, L., GAMBOA, L. y NARANJO, R. (s.f.). Diseñando un modelo computacional para apoyar el uso de un proceso de gestión de riesgos en proyectos software.

[22] SOMMERVILLE, Ian. Ingeniería del software. Madrid: Pearson Educación S.A, 2005, 691p

[23] Yousuf, M. I. Microsoft Academic Search. http://academic.research.microsoft.com/Publication/12892216/the-delphi-technique. 2007.

[24] TANGIENT, LLC. Entorno Virtual de Aprendizaje. http://programacion-extrema.wikispaces.com. 2013.