PLAN DE GERENCIA DE RIESGOS - MinInterior · PLAN DE TRATAMIENTO DEL RIESGOS 2 1. OBJETIVO. Definir...
Transcript of PLAN DE GERENCIA DE RIESGOS - MinInterior · PLAN DE TRATAMIENTO DEL RIESGOS 2 1. OBJETIVO. Definir...
PLAN DE TRATAMIENTO DEL RIESGOS
1
PLAN DE GERENCIA DE RIESGOS
CONTENIDO
1. OBJETIVO. .......................................................................................................................... 2
2. OBJETIVOS ESPECÍFICOS ................................................................................................ 2
3. ALCANCE. ........................................................................................................................... 2
4. DEFINICIONES. .................................................................................................................. 2
6. FUNDAMENTOS ............................................................................................................. 3
7. GERENCIA DE RIESGOS ............................................................................................... 4
8. PRINCIPALES PASOS EN LA GESTIÓN DEL RIESGO .................................................. 4
9. PERSONAL, ROLES Y RESPONSABILIDADES ............................................................. 4
10. FRECUENCIA .................................................................................................................. 5
11. CATEGORÍAS DE RIESGOS ........................................................................................... 5
13. CRITERIOS DE SELECCIÓN .......................................................................................... 7
14. MATRIZ DE PROBABILIDAD E IMPACTO ...................................................................... 9
15. MATRIZ DE RIESGO ..................................................................................................... 11
16. FORMATO PLAN DE ACCIÓN (RESPUESTA) .............................................................. 21
PLAN DE TRATAMIENTO DEL RIESGOS
2
1. OBJETIVO.
Definir la metodología para la administración y gestión de Riesgos para el Sistema de Gestión de Seguridad de la Información en el Ministerio del Interior.
2. OBJETIVOS ESPECÍFICOS
• Identificar los riesgos asociados a los procesos que hace parte del alcance.
• Establecer la metodología para el plan de tratamiento del riesgo.
• Realizar continuamente seguimiento y monitoreo del plan de tratamiento de riesgo.
3. ALCANCE. Esta guía brinda lineamientos para la Plan de tratamiento de Riesgos en el Ministerio del Interior, dando cumplimiento a lo establecido en el Decreto 1078 de 2015 y Decreto 1008 del 2008.
4. DEFINICIONES.
• Administración del riesgo: Conjunto de elementos de control que al Interrelacionarse brindan a la entidad la capacidad para emprender las acciones necesarias que le permitan el manejo de los eventos que puedan afectar negativamente el logro de los objetivos institucionales y protegerla de los efectos ocasionados por su ocurrencia.
• Activo de Información: Todo lo que tiene valor para la organización. Hay varios tipos de activos entre los que se incluyen: Información, Software: como un programa de cómputo, Físico: como un computador, Servicios, Personas, sus calificaciones, habilidades y experiencia, Intangibles; tales como la reputación y la imagen.
• Análisis de riesgos: También conocido como evaluación de riesgos o PHVA, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.
• Amenaza: Es la causa potencial de una situación de incidente y no deseada por la organización.
• Causa: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos). Las fuentes generadoras o agentes generadores son las personas, los métodos, las herramientas, el entorno, lo económico, los insumos o materiales entre otros.
• Confidencial: Significa que la información no esté disponible o revelada a individuos, entidades o procesos no autorizados.
• Consecuencia: Resultado de un evento que afecta los objetivos.
• Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo es evaluada.
• Control: Medida que modifica el riesgo.
• Disponibilidad: La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
• Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.
PLAN DE TRATAMIENTO DEL RIESGOS
3
• Evento: Un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo específico.
• Estimación del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo.
• Factores de Riesgo: Situaciones, manifestaciones o características medibles u observables asociadas a un proceso que generan la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.
• Control: Es lo que permite garantizar que cada aspecto que se valoró con un cierto riesgo, queda cubierto.
• Control documentando: Política, Normas, Procedimiento, instructivo o guía que se encuentra documentada en el Sistema de Gestión. No implica que se encuentre ejecutado.
• Control Implementado: Aquel control que se encuentra funcional o en ejecución por parte de la entidad. No implica tenerlo documentado.
• Control Monitoreado: Aquel control que se encuentra en ejecución o implementado y se le realiza seguimiento a fin de conocer su eficacia.
• Impacto: Es el resultado de un riesgo expresado cualitativa o cuantitativamente.
• Probabilidad: Posibilidad de que un riesgo se materialice.
• Riesgo: Información adicional adjunta al final del documento que sirve de apoyo para la comprensión del mismo y aplicación de las actividades descritas. Incluye los formatos, diagramas, guías u otros documentos relacionados.
5. MARCO LEGAL
NORMA DESCRIPCIÓN
Decreto 1078 de 2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones.
NTC / ISO 27001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI).
NTC/ISO 31000:2009 Gestión del Riesgo. Principios y directrices
6. FUNDAMENTOS
Un riesgo es un evento que está relacionado con vulnerabilidad e incertidumbre. Un riesgo es un evento o condición que, si ocurre, podría tener un efecto positivo o negativo en los objetivos del proyecto. Un riesgo podrá afectar, a favor o en contra, los objetivos del proyecto; su grado de afectación puede llegar al alcance, tiempo, costo, calidad, recursos humanos, comunicaciones y adquisiciones. La Gerencia de Riesgos busca favorecer los riesgos positivos (oportunidades) y desfavorecer los riesgos negativos. Además, busca ser mejor, proactiva y preventiva más que correctiva. La gerencia de riesgos se basa en cinco (5) procesos de planeación y uno (1) de control para lograr su objetivo. Todos ellos conforman el denominado estudio de riesgos. El estudio de riesgos debe realizarse con un equipo transversal, compuesto por diferentes disciplinas y que abarque a los interesados pues el proyecto es para ellos. La gestión de riesgos es el proceso de identificación, evaluación, respuesta, seguimiento y presentación de informes de riesgos.
PLAN DE TRATAMIENTO DEL RIESGOS
4
7. GERENCIA DE RIESGOS
La gerencia de riesgos está compuesta por la identificación, el análisis, el plan de respuesta o de acción y el seguimiento y control de los riesgos y se apoyará en los acrónimos que se presentan a continuación. Todo lo anterior se hará en reuniones con el equipo de interesados en forma interdisciplinaria. Este Plan de tratamiento del Riesgo define como controlar y monitorear los riesgos asociados con los procesos críticos de la entidad e igualmente estos serán identificados, analizados y gestionados, señalando cómo las actividades de gestión del riesgo se llevarán a cabo. Definiciones, Acrónimos y Abreviaturas.
AD Alta Dirección/Patrocinador
AL Arquitecto Líder
GP Gerente del Proyecto
LP Líder de Procesos
DS Diseñador
PR Propietario del Riesgo
CR Comité de riesgo
8. PRINCIPALES PASOS EN LA GESTIÓN DEL RIESGO
La entidad con el apoyo de los diferentes interesados, trabajarán en el estudio de riesgos del Ministerio del Interior mediante los siguientes ítems:
• Identificación de riesgos: Con el apoyo de una categorización, como se indica más adelante. Esta identificación debe ser específica. Cada riesgo debe ser detallado.
• Equipo de trabajo: realiza la evaluación de cada riesgo de acuerdo con el formato señalado más adelante.
• Valoración: se deberá hacer en términos de impacto o consecuencia y probabilidad.
• De acuerdo con la valoración se definirá un criterio de prioridad para determinar los de mayor valor y que requerirán mayor atención.
• El equipo de trabajo propone acciones específicas para cada riesgo.
• Se establecen los dueños de los riesgos y estos a su vez designan a los ejecutores de las acciones.
• Durante la gestión de riesgos es muy importante mantener una comunicación fluida entre los interesados.
• El seguimiento y control de los riesgos se debe revisar en forma recurrente de acuerdo a los requerimientos del líder del proceso.
• El seguimiento y control incluyen la eliminación de riesgos, el manejo de los riesgos considerados y la gestión de nuevos riesgos.
9. PERSONAL, ROLES Y RESPONSABILIDADES
Administrador de Riesgos El Administrador de Riesgos es el que se encarga de controlar el proceso de riesgo, dentro de sus funciones esta:
• Recibir todas las notificaciones de los riesgos
• Analizar los riesgos para ingresarlos a la matriz correspondiente.
• Monitorear los riesgos ya Ingresados.
• Asignar/aprobar la disposición de cada riesgo y la asignación de la implementación del plan de cada riesgo aprobado.
• Asegurarse de que la acción se toma en los riesgos de manera oportuna.
Agente de seguridad
PLAN DE TRATAMIENTO DEL RIESGOS
5
El agente de seguridad, tomará decisiones sobre los principales cambios que se consideren necesarios relacionados con la gestión y control del riesgo, dentro de sus funciones esta:
• Mantener el Plan de Riesgos
• Identificar los riesgos y documentar sus características.
• Informar al comité de riesgos el estado de aprobación de todos los riesgos y el estado de cada uno.
Trabajar con el Administrador y los miembros del equipo para programar reuniones periódicas de riesgos. En la siguiente tabla se puede ver un resumen de las actividades y el responsable de ejecutar la actividad.
Actividad Responsabilidad
Identificación de Riesgos Todos los miembros del equipo
Registro de Riesgos Agente de seguridad
Monitoreo de Riesgos Todos los miembros del equipo
Plan de Contingencia de Riesgos Agente de seguridad
Aprobación de Planes de Contingencia Administrador de Riesgos
• Tabla 1. Responsabilidades
10. FRECUENCIA
Los riegos se deben evaluar en forma periódica de acuerdo con la complejidad de cada proceso y su impacto en la continuidad del negocio y cada vez que se presenten incidentes que puedan alterar la disponibilidad de los servicios asociados Esto quiere decir que debe cubrir lo siguiente:
• Iniciación
• Planeación
• Ejecución
• Seguimiento y control
• Cierre
11. CATEGORÍAS DE RIESGOS
Los siguientes son las fuentes para la identificación de riesgos:
• Análisis de los entregables de alto nivel
• Análisis del calendario del proyecto
• Análisis de los supuestos del proyecto
La siguiente tabla presenta las categorías de los riesgos:
PLAN DE GERENCIA DE
RIESGOS
Taxonomía de gestión de riesgos.
La siguiente taxonomía presenta una lista de categorías y fuentes de riesgos ya identificados,
la cual se usara como referencia para identificar los riesgos existentes en el proyecto.
A. Ingeniería del producto
1. Requerimientos
a) Estabilidad
b) Completitud
c) Claridad
d) Validez
e) Viabilidad
2. Diseño
a) Funcionalidad
B. Entorno de automatización
1. Proceso de
automatización
a) Formalidad
b) Control de procesos
c) Control del producto
2. Desarrollo del sistema
a) Capacidad
b) Idoneidad
C. Gestión del Proyecto
1. Recursos
a) Calendario
b) Personal
c) Presupuesto
d) Instalaciones
2. Contrato
PLAN DE TRATAMIENTO DEL RIESGOS
6
b) Dificultad
c) Interfaces
d) Rendimiento
e) Capacidad de
prueba
f) Restricciones de
hardware
g) Software no
desarrollado
3. Código y pruebas
unitarias
a) Viabilidad
b) Pruebas
c) Codificación /
Implementación
4. Integración y pruebas
a) Producto
b) Sistema
5. Ingeniería
especializada
a) Mantenibilidad
b) Seguridad
c) Especificaciones
c) Usabilidad
d) Familiaridad
e) Fiabilidad
f) Soporte al sistema
g) Entrega
3. Administración de
procesos
a) Planeación
b) Organización del
proyecto
c) Administración de la
experiencia
d) Programa de
interfaces
4. Métodos de
administración
a) Seguimiento
b) Aseguramiento de la
calidad
c) Administración de la
configuración
5. Ambiente de trabajo
a) Actitud de la calidad
b) Comunicación
a) Restricciones
b) Dependencias
3. Interfaces del
programa
a) Clientes
b) Administración
corporativa
c) Políticas
Tabla 2. Categorías de riesgos
12. Definir los parámetros de los riesgos
Los parámetros que se utilizaran son la probabilidad y el impacto del riesgo. Probabilidad: Para cada riesgo identificado, la probabilidad o posibilidad de que suceda el riesgo debe ser determinada. Existen tres niveles de evaluación del riesgo:
• Poco probable
• Probable
• Muy probable
Si la probabilidad de un evento es de cero, no hay riesgo. Impacto: Para cada riesgo identificado, se debe de conocer la magnitud de las consecuencias o impacto. Existen tres niveles de impacto:
• Bajo
• Medio
• Alto.
Para determinar su impacto se deben de evaluar los siguientes puntos:
• Rendimiento
• Calendario
• Costo
• Calidad
• Alcance
PLAN DE TRATAMIENTO DEL RIESGOS
7
En la Tabla 3. Riesgos aceptables e inaceptables nos permite conocer los umbrales para los riesgos, en que categoría caen como riesgos aceptables o inaceptables.
Puntuación Aceptable/Inaceptable Registro Acción
0.05 a .10 Aceptable Registrar como bajo
Normal riesgos que pueden ser gestionados a nivel local por procedimientos de rutina
.20 Inaceptable Registrar como moderado
Revisados por el administrador y las acciones propuestas se debe revisar por el comité competente
0.40 a .080 o mas
Inaceptable Registrar como alto
Notificación inmediata al líder del proyecto y todos los integrantes del proyecto.
Tabla 3. Riesgos aceptables e inaceptables Todos los riesgos identificados se analizarán para separar los riesgos aceptables de los riesgos inaceptables. No es posible eliminar todos los riesgos del proyecto y por lo tanto el equipo tendrá que aceptar que algunos riesgos se consideren aceptables. Riesgos aceptables son aquellos que entran en la categoría baja y cuentan con mecanismos de control adecuados en el lugar, los que se pueden gestionar por procedimientos de rutina. Los riesgos aceptables serán monitoreados y revisados para asegurarse de que permanezcan aceptables para el Ministerio. Cuando no sea posible eliminar completamente el riesgo, todas las medidas necesarias serán tomadas para controlar la frecuencia y la gravedad del riesgo. Cada riesgo mayor (de los comprendidos en las zonas de color rojo y amarillo) se le asignará a un miembro del equipo del proyecto para efectos de control con el objetivo de garantizar que el riesgo no se salga de control. Para cada riesgo importante, unos de los siguientes criterios serán seleccionados para hacerle frente:
• Evitar: Eliminar la amenaza mediante la eliminación de la causa
• Mitigar: Identificar las formas de reducir la probabilidad o el impacto del riesgo
• Aceptar: No se hará nada
• Transferir: Hacer otra parte responsable por el riesgo (comprar un seguro, la subcontratación, etc.)
Para cada riesgo que se mitigará, el equipo del proyecto identificara maneras de prevenir el
riesgo de que ocurran o reducir su impacto o la probabilidad de que ocurra.
13. CRITERIOS DE SELECCIÓN
En la tabla que se presenta a continuación se pueden observar ejemplos de criterios de impacto. De igual forma es factible hacer con los criterios de probabilidad
Criterios de impacto de un riesgo en los objetivos del proyecto
Objetivo del
Proyecto
Muy bajo
0.05
Bajo
.10
Intermedio
.20
Alto
.40
Muy Alto
.80 o más
Alcance
Disminución
en el alcance
muy pequeño
Pocas áreas
en el alcance
afectadas
Bastantes
áreas en el
alcance
afectadas
Reducción en
el alcance es
inaceptable
por parte del
Directivo
Encargado
El proyecto
se considera
que ya no
sirve
Tiempo Aumento Aumento Aumento Aumento Aumento
PLAN DE TRATAMIENTO DEL RIESGOS
8
insignificante
del tiempo
menor del 5% entre el 5 y el
10%
entre el 10 y
el 20%
mayor al 20%
Costo
Aumento
insignificante
del costo
Aumento
menor del
10%
Aumento
entre el 10 y
el 20%
Aumento
entre el 20 y
el 40%
Aumento
mayor al 40%
Los valores de impacto y probabilidad deben establecerse dentro de una matriz con el eje vertical, bien sea impacto o probabilidad, y el eje horizontal, bien sea probabilidad o impacto. Con esta matriz se establecen los valores esperados (impacto por probabilidad) y se determina la densidad de cada riesgo representado en un punto.
PLAN DE TRATAMIENTO DEL RIESGOS
9
14. MATRIZ DE PROBABILIDAD E IMPACTO
Probabilidad Amenazas Oportunidades
0,90 0,05 0,09 0,18 0,36 0,72 0,72 0,36 0,18 0,09 0,05
0,70 0,04 0,07 0,14 0,28 0,56 0,56 0,28 0,14 0,07 0,04
0,50 0,03 0,05 0,10 0,20 0,40 0,40 0,20 0,10 0,05 0,03
0,30 0,02 0,03 0,06 0,12 0,24 0,24 0,12 0,06 0,03 0,02
0,10 0,01 0,01 0,02 0,04 0,08 0,08 0,04 0,02 0,01 0,01
0,05 / Muy bajo
0,10 / Bajo
0,20 / Mo
derado
0,40 /
Alto
0,80 /
Muy Alto
0,80 / Muy Alto
0,40 / Alto
0,20 / Mo
derado
0,10 / Bajo
0,05 / Muy bajo
Impacto (escala numérica) sobre un objetivo (p.ej., costo, tiempo, alcance o calidad)
Cada riesgo es calificado de acuerdo con su probabilidad de ocurrencia y el impacto sobre un objetivo
En caso de que ocurra. Los umbrales de la organización para riesgos bajos, moderados o altos se muestran en la matriz y determinan si el riesgo es calificado como alto, moderado o bajo para ese
objetivo
Tomado del PMBOK™ Five Edition, página 330.
A continuación, se presentan los riesgos que podrían presentarse en el proyecto BPM-SIPI
Riesgos de Calendario
• Atrasos en entregas: no se cumple con el calendario de actividades
• Estimaciones incorrectas: las estimaciones de tiempo son incorrectas
Riesgos de Rendimiento
• Desempeño inferior del personal
• Mala planeación
• Defectuosa ejecución
• Deficiente control.
• Ausencias inesperadas
• Demora en la firma de contratos del personal encargado del proyecto
• Falta de compromiso del staff
• Disponibilidad de tiempo del staff
• Procesos lentos de decisión.
• Procedimientos burocráticos.
• El contratista entregue los bienes o preste los servicios a los que se refiere el contrato
sin las condiciones de calidad requeridas.
• Plataforma Tecnológica que soporta la solución de modelización no funcione o se
parametrice adecuadamente
• Que el proyecto no cuente con el personal que tenga la destreza requerida por la
tecnología integrada en esta solución, en la cantidad y con la disponibilidad
Riesgos del Alcance
• Requerimientos incompletos: los requerimientos no están cubiertos en su totalidad
PLAN DE TRATAMIENTO DEL RIESGOS
10
• El contratista incumpla las obligaciones legales o contractuales que le corresponden.
• Identificación/Generación de nuevos requerimientos por parte del usuario fuera de los
tiempos establecidos en las entrevistas.
PLAN DE TRATAMIENTO DEL RIESGOS
11
15. MATRIZ DE RIESGO
NÚMERO
RIESGO
CATEGORÍA DEL RIESGO
DESCRIPCIÓN
CAUSA RAÍZ U
ORIGEN
CONSECUENCIA
IMPACTO
IMPACTO
MONETARIO
PROBABILIDA
D
VALOR ESPERAD
O
VALOR ESPERAD
O MONETAR
IO
ACCIONES A TOMAR
DUEÑO DEL
RIESGO
OBSERVACIONES
1 Calendario
Estimaciones incorrectas
Mal cálculo de los tiempos de ejecución
No cumplimento de los entregables
0,9 0,9 0,81
Se verificara que las estimaciones de tiempo se mantengan, en caso de ver modificaciones o atrasos en el cronograma, estas se deberán de analizar para encontrar el motivo, y si estas son críticas para tomar un plan de acción.
GP
Una entrega fuera de plazo sería un fracaso catastrófico en el desarrollo del proyecto.
PLAN DE TRATAMIENTO DEL RIESGOS
12
2 Alcance Requerimientos incompletos
No hubo un buen levantamiento del proceso
Queda funcionalidad sin automatizar
0,9 0,9 0,81
Con el fin de evitar que esto suceda, las reuniones (formales e informales) se llevaran a cabo con el cliente en una actividad cotidiana. Esto asegura que el producto que está produciendo, y los requisitos del usuario son equivalentes.
LP
Las reuniones con el
usuario deben
asegurar que el
usuario y el equipo
que está levantando
los requerimientos
entienden los
requisitos para el
producto.
3 Rendimiento
Mala Planeación
No se dio a conocer las metas o hitos a los integrantes del equipo
No se cumple con las fechas prometidas al usuario
0,9 0,9 0,81
Se realizará por parte del Gerente de Proyecto re planeación. La re planeación ayuda al Gerente a analizar éxitos, fracasos, avances y retrocesos, para que una vez hecho esto, se implementen nuevas estrategias basadas en las experiencias pasadas.
GP
Los objetivos y metas
que están en el
cronograma debe ser
conocido por los
integrantes del equipo
que está levantando la
información,
haciéndolos participes
en la elaboración de
cada uno de ellos, de
esta forma todo el
equipo está enterado
y las estrategias
planteadas podrán
llevarse a cabo.
PLAN DE TRATAMIENTO DEL RIESGOS
13
4 Rendimiento
Defectuosa Ejecución
Diseño del proceso en la herramienta quedo defectuoso
El rendimiento no es el esperado
0,9 0,9 0,81
Se debe buscar la causa raíz de la desviación en lugar de sólo la causa superficial, se debe seguir midiendo a lo largo de todo el proyecto, tendiendo un plan realista contra el cual medir y si el proyecto esta desviado recomendar una acción correctiva de inmediato.
GP
El Gerente del Proyecto debe asegurarse aumentar la eficiencia tomando acciones correctivas para alinear el futuro rendimiento esperado del proyecto con el plan establecido para la dirección del proyecto.
5 Rendimiento
Deficiente control
No se efectúan reuniones de seguimiento
No se conoce el estado del proyecto ni se sabe si el objetivo sigue siendo valido
0,9 0,9 0,81
Reuniones planificadas y frecuentes con el usuario para ganar la aceptación formal de los entregables durante el seguimiento y control del proyecto.
GP
A través de estas revisiones periódicas se averigua si la información de los primeros pasos del proceso de planeación y los objetivos siguen siendo válidos, o si requieren modificaciones.
PLAN DE TRATAMIENTO DEL RIESGOS
14
6 Alcance
El contratista incumpla las obligaciones legales o contractuales que le corresponden.
El contratista no entrega las tareas asignadas
No se cumple con el cronograma propuesto
0,9 0,9 0,81
Para mitigar el problema se agendarán en el calendario inspecciones y revisiones de las tareas asignadas, las cuales se llevarán a cabo de manera continua.
AD
El Ministerio del Interior designará un supervisor, para que vigile y controle el cabal cumplimiento del objeto del contrato
7 Rendimiento
El contratista entregue los bienes o preste los servicios a los que se refiere el contrato sin las condiciones de calidad requeridas.
No se realizan las pruebas suficientes para detectar errores y corregirlos
El usuario no aceptara ni dará el visto bueno sobre el proceso automatizado
0,9 0,9 0,81
Se calendarizaran inspecciones y revisiones, las cuales se llevaran a cabo de manera continua en el ciclo de vida del proyecto.
AD
Si el equipo de desarrollo ha llegado a la conclusión de que se tiene un alto grado de defectos, se deberá de llevar a cabo una reunión entre el equipo del proyecto para discutir posibles soluciones o alternativas.
8 Rendimiento
Plataforma Tecnológica que soporta la solución de automatización no funcione
No se tenga la experiencia suficiente para el manejo de la plataforma
El proceso a automatizar no cumple con las expectativas del usuario
0,9 0,9 0,81
Reuniones periódicas con la alta gerencia para colocar la alarma en el caso que se presente retraso del recurso interno encargado del tema.
AD
Mantener informada a la alta gerencia del avance del proyecto y administrar de cerca.
PLAN DE TRATAMIENTO DEL RIESGOS
15
9 Rendimiento
Falta de compromiso del staff.
El staff no está enterado de la importancia del proyecto
El proyecto no tendría el apoyo que se necesita para ser aceptado por las diferentes dependencias con las que interactúa
0,3 0,2 0,6
Al iniciar el proyecto desarrollar reuniones que permitan entender la posición de la alta gerencia con respecto al proyecto.
GP
Mantener informada a la alta gerencia del avance del proyecto y administrar de cerca.
10 Rendimiento
Procesos lentos de decisión
Las diferentes políticas que existen al interior de la organización no ayudan a tener procesos agiles
Las decisiones o contrataciones no se dan en un tiempo prudencial
0,3 0,2 0,6
Definir claramente responsabilidades y organigrama donde quede especificado los tiempos máximos para la toma de decisiones.
GP
La planeación tiene que prever desde un principio caminos alternos y completamente estructurados precisamente para asegurar el logro del objetivo principal.
11 Rendimiento
Procedimientos Morosos
Procesos no agiles dentro del ministerio
Demoras en contrataciones y en toma de decisiones
0,3 0,2 0,6
Se debe capacitar a los miembros del proyecto en los procedimientos que tiene definidos la compañía e interiorizar los tiempos que estadísticamente se requiere para realizar un trámite para que las solicitudes se hagan con tiempo suficiente.
AD
Para poder comparar lo planeado con el logro real, deben preverse revisiones periódicas en el mismo sistema de planeación. Estas sirven tanto para el control de la ejecución de lo planeado como para sus cambios y para la re determinación de la planeación.
PLAN DE TRATAMIENTO DEL RIESGOS
16
12 Alcance Inflación de requerimientos
La etapa de levantamiento no cubrió todas las necesidades funcionales de las áreas con las que interactúa el proceso
En la etapa de automatización y pruebas con el usuario faltan funcionalidades
0,3 0,2 0,6
Con el fin de evitar que esto suceda, las reuniones (formales e informales) se llevaran a cabo con el usuario en una actividad cotidiana. Esto asegura que el producto que están produciendo cumple con lo que espera el Ministerio.
LP
En caso de que suceda se volverá a dar una revisión de los requerimientos y en caso de ser necesario se verificaran nuevamente con el usuario con el fin de tenerlos completos.
13 Rendimiento
Desempeño inferior del personal
El personal contratado de planta no es experto en el uso de la herramienta
No se cumple con las fechas de entrega que se encuentran en el cronograma
0,3 0,2 0,6
Seguimiento de los resultados de cada miembro del proyecto frente a los objetivos propuestos y las metas alcanzadas que permita incorporar actividades de formación en todas las actividades del proyecto.
GP
Cualquier forma de capacitación o apoyo que necesiten los miembros del equipo con el propósito de rendir en el proyecto o de mejorar su desempeño, esta capacitación o apoyo debe ser dado internamente por alguno de los miembros con más experiencia.
PLAN DE TRATAMIENTO DEL RIESGOS
17
14 Administración
Ausencias inesperadas
Los miembros del equipo no están enterados de sus obligaciones y fecha de entrega de tareas
Incumplimiento de los hitos del cronograma
0,2 0,2 0,4
Los miembros del equipo deben tener la posibilidad de aportar al proyecto, incluso respecto al trabajo que tienen que llevar a cabo, sin importar el momento en que a ellos les toque empezar el trabajo.
GP
Se debe realizar un plan de asignación de personal en donde se informe cuando son requeridos los recursos en el proyecto.
15 Alcance
Identificación / Generación de nuevos requerimientos por parte del usuario fuera de los tiempos establecidos.
Durante la etapa de levantamiento de información los usuarios no brindaron toda la información
Se impacta el cronograma o los recursos para poder cumplir con la fecha de entrega
0,2 0,2 0,4
Las reuniones con el usuario deben asegurar que el usuario y el equipo que realiza la automatización del proceso se encuentran seguros que los requerimientos levantados son los necesarios para automatizar el proceso
LP
Si el equipo que hace el la automatización ha llegado a la conclusión de que no se tiene una idea completa de los requisitos del modelo, el usuario debe ser inmediatamente notificado y todas las medidas necesarias para corregir este problema deben ser tomadas.
PLAN DE TRATAMIENTO DEL RIESGOS
18
16 Rendimiento
Los datos o servicios solicitados (internos o externos) no son suministrados en las fechas requeridas.
Los requerimientos hechos por el equipo de automatización a otras áreas o usuarios no se cumplen en las fechas establecidas
Impacto en el cronograma
0,2 0,2 0,4
Definir claramente responsabilidades y organigrama donde quede especificado los tiempos máximos para la toma de decisiones.
GP
Para poder comparar lo planeado con el logro real, deben preverse revisiones periódicas.
17 Rendimiento
Que el proyecto no cuente con el personal que tenga la destreza requerida por la tecnología integrada en esta solución, en la cantidad y con la disponibilidad esperada
El personal contratado o interno no cuenta con la experiencia necesaria en el manejo de la herramienta o tienen otras tareas asignadas
Impacto en el cronograma en las fechas de entrega
0,2 0,2 0,4
Cualquier forma de capacitación o apoyo que necesiten los miembros del equipo con el propósito de rendir en el proyecto o de mejorar su desempeño, esta capacitación o apoyo debe ser dado internamente por alguno de los miembros con más experiencia
GP
Seguimiento de los resultados de cada miembro del proyecto frente a los objetivos propuestos y las metas alcanzadas que permita incorporar actividades de formación en todas las actividades del proyecto
PLAN DE TRATAMIENTO DEL RIESGOS
19
18 Rendimiento
Disponibilidad de tiempo del staff
La alta gerencia tiene demasiados compromisos por los cargos que ocupan
No tienen tiempo de asistir a las reuniones programadas
0,3 0,1 0,3
Adecuar cronograma de actividades para que las reuniones se puedan programar de acuerdo al tiempo de los directivos que participan en el proyecto.
GP
En el plan de comunicaciones tener informado a los directivos de las próximas reuniones y agendarlos para que tengan presente cuando realizar los seguimientos.
19
Alcance Especificación incompleta
No se realizó un adecuado levantamiento de requerimientos
La automatización del proceso queda incompleta y no satisface las necesidades del usuario
Con el fin de evitar que esto suceda, el usuario debe revisarlos contra los requerimientos que realizo en las reuniones de levantamiento de información. Esto asegura que el modelo que se está produciendo, y los requisitos del usuario son equivalentes. En caso de que suceda se volverá a dar una revisión de los requerimientos contra los casos de con el fin de tenerlos completos
GP
Con el fin de evitar que esto suceda, el usuario debe revisarlos contra los requerimientos que ha realizado en las reuniones de levantamiento de información.
PLAN DE TRATAMIENTO DEL RIESGOS
20
20 Alcance
Las interfaces de usuario diseñadas resultan inadecuadas o no cumplen con lo esperado por el Ministerio, o que la interface diseñada le parezca al usuario "no amigable" y no la autorice por percibirla complicada.
No se consulta con el usuario los campos a mostrar en cada una de las pantallas que se utilizaran en la automatización del proceso
El usuario no da el visto bueno sobre las partes del proceso que se le están entregando
Con el fin de evitar que esto suceda, se le estará presentado al usuario borradores de cómo quedara el modelo. Esto asegura que las pantallas que se producirán, y los requisitos del usuario son equivalentes. En caso de que suceda se volverá a dar una revisión del diseño conjuntamente.
DS
Las revisiones con el usuario deben asegurar que el usuario y el equipo que automatizan el proceso entienden la funcionalidad a plasmar en cada una de las pantallas, se le solicitara al usuario la firma de un acta donde acepte el diseño, navegabilidad y usabilidad del sistema.
PLAN DE TRATAMIENTO DEL RIESGOS
21
16. FORMATO PLAN DE ACCIÓN (RESPUESTA)
PLAN DE ACCIÓN (RESPUESTA) AL RIESGO
NOMBRE DEL RIESGO:
FECHA DEL SEGUIMIENTO Y CONTROL:
1. ACCIÓN O ACCIONES DE CADA RIESGO
✓ Acción 1 ✓ Acción 2 ✓
2. ACTIVIDADES A DESARROLLAR POR CADA ACCIÓN
✓ Acción 1
Actividad 1
3. RECURSOS NECESARIOS (FÍSICOS Y HUMANOS)
✓ Actividad 1 Recurso 1
4. DUEÑO DEL RIESGO
5. RESPONSABLE DE LAS ACCIONES
✓ Acción 1 Responsable 1
6. CRONOGRAMA DE LAS ACCIONES Nota: Estas acciones se deben incluir dentro del cronograma del proyecto de ser necesario.
PLAN DE TRATAMIENTO DEL RIESGOS
22
17. FORMATO DE SEGUIMIENTO Y CONTROL
FORMATO DE SEGUIMIENTO Y CONTROL DEL RIESGO
NOMBRE DEL RIESGO: ________________________________________________________
FECHA DEL CONTROL: _________________________________________________________
RIESGO ESPECÍFICO RESIDUAL
SECUNDARIO
POSIBLES ACCIONES FRENTE AL
RIESGO
ANÁLISIS COSTO -
BENEFICIO DE CADA ACCIÓN
ACCIÓN ESCOGID
A
PERSONA DUEÑA
DEL RIESGO
PERSONA
RESPONSABLE DE LA ACCIÓN
DURACIÓN
COSTO
DEL RIESGO
ESTADO DEL RIESGO
(Abierto – Cerrado)
¿CAMBIO
REQUERIDO?
PLAN DE TRATAMIENTO DEL RIESGOS
23
PLAN DE TRATAMIENTO DEL RIESGOS
24
Nota: El riesgo secundario se debe tratar como riesgo NUEVO y debe pasar por todo el proceso que se cubre para un riesgo adicional.