GESTIÓN DE RIESGO Fecha: 10-05-2011 Versión: 1.1.2 1 Ágora | Versión 1.1.2 Creado por: Carla Machado Durán Carmen Reyes Paulino María Pequeño Camarero Identificador: SRGR Versión: 1.1.2 Fecha: 10 - 05 -2011 Url: https://agora-ucm.googlecode.com/svn/tags/ Revisado: Revisión ok 2 Ágora | Versión 1.1.2 Tabla de versiones TABLA DE VERSIONES Nº Versión SRGS 1.1.1 SRGS 1.1.2 Cambio(s) Realizado(s) Comienzo del documento Introducir contenidos en el esquema Autor Finalidad Grupo Esquematizar partes del documento. Crear primera entrega del documento. María Pequeño 3 Ágora | Versión 1.1.2 Índice ÍNDICE 1 INTRODUCCIÓN ..............................................................................................................5 2 VALORACION DEL RIESGO ......................................................................................... 5 2.1 Identificación del riesgo ........................................................................................................ 5 2.2 Analisis del riesgo .................................................................................................................... 7 2.3 Priorización del riesgo ........................................................................................................... 8 3 CONTROL DEL RIESGO............................................................................................... 10 3.1 Planificación de la gestión del riesgo .............................................................................10 4 Ágora | Versión 1.1.2 Control del riesgo 1 INTRODUCCIÓN Se puede definir un riesgo como la contingencia o proximidad de que una circunstancia adversa ocurra. Los riesgos son una amenaza para el proyecto, para el software que se está desarrollando y para la organización. Por ello, con este documento, trataremos de aplicar una estrategia proactiva identificando los riesgos, analizándolos y proponiendo unos planes para mitigar sus efectos. A lo largo del proyecto este documento servirá de referencia cuando supervisemos los riesgos. “Si usted no ataca activamente los riesgos, ellos lo atacarán activamente" [Gilb-88]. 2 VALORACION DEL RIESGO 2.1 Identificación del riesgo Esta primera etapa comprende la identificación de los posibles riesgos del proyecto. En principio durante esta etapa no deberíamos valorar las prioridades de cada riesgo pero por motivos prácticos desecharemos directamente los riesgos con probabilidad muy baja. Siguiendo el método definido por Boehm utilizaremos una lista de comprobación de elementos de riesgo para identificar los riesgos. En concreto “Boehms Top 10 Software Risk Items ” que se puede ver a continuación: Elemento de riesgo Deficiencias del personal Planificaciones y presupuestos poco realistas Desarrollo de las funciones y propiedades erróneas Desarrollo erróneo del interfaz de usuario Chapado Técnica de control de riesgo Contratar gente con talento, asignación de trabajos, construcción de equipos, acuerdos entre personal clave, formación cruzada Estimación multifuente detallada de costes y planificación, diseñar en función del coste, desarrollo incremental, reutilización del software, fregado de requisitos Análisis de organización, análisis de la misión, revisiones del usuario y participación del usuario, prototipado, manuales de usuario preliminares, formulación de operaciones-concepto, análisis de rendimiento sin nombre, análisis de calidad-factor Prototipado, escenarios, análisis de tareas, participación del usuario Fregado de requisitos, prototipado, análisis de costes-beneficios, diseñar en Ágora | Versión 1.1.2 5 Valoración del riesgo Continua corriente de cambios en los requisitos Deficiencias en componentes proporcionados externamente Deficiencias en tareas desarrolladas externamente. Deficiencias en rendimiento en tiempo real Exprimir las capacidades informáticas función del coste Umbral de cambio alto, ocultación de información, desarrollo incremental Benchmarking, inspecciones, comprobaciones por referencia, análisis de la compatibilidad Comprobaciones por referencia, auditorias antes de los incentivos, contratos con incentivos, diseño o prototipado competitivo, construcción de equipo Simulación, benchmarking, modelado, prototipado, instrumentación, ajuste Análisis técnicos, análisis coste-beneficio, prototipado, comprobaciones por referencias. En el caso de Ágora podemos identificar estos riesgos: Elemento de riesgo Deficiencias del personal Planificaciones y presupuestos poco realistas. Desarrollo de las funciones y propiedades erróneas Desarrollo erróneo del interfaz de usuario Chapado Continua corriente de cambios en los requisitos Deficiencias en componentes proporcionados externamente Deficiencias en tareas desarrolladas externamente. Deficiencias en rendimiento en tiempo Causa 1. Un integrante del equipo ha avisado que por motivos personales puede tener que abandonar el proyecto. 2. No se puede construir un proyecto de esta envergadura en el tiempo inicialmente indicado. 3. El personal del que disponemos no tiene experiencia en aplicaciones de internet. 4. El interfaz de usuario ha sido vagamente definido para los distintos usuarios, con lo que podemos encontrar que el diseño no sea de su agrado. 5. El personal del que disponemos no tiene experiencia en aplicaciones según las recomendaciones del WAI > no accesible para el usuario ----6. El cliente ha incluido nuevos requisitos que afectarán a la estimación. 7. Se desconoce el formato en el que nos van a entregar los datos de los usuarios (¿papel, acceso a BD, CD?). --------- Ágora | Versión 1.1.2 6 Valoración del riesgo real Exprimir las capacidades informáticas 8. Los espacios de trabajo no siempre están libres para este proyecto. 9. No existen entornos de desarrollo adecuados para los lenguajes orientados a internet. 2.2 Analisis del riesgo Es el proceso de examinar los riesgos en detalle para determinar su extensión, sus interrelaciones y su importancia. Las actividades básicas son: Evaluación: mejor comprensión del riesgo. Se cuantifican, según lo posible, los siguientes conceptos: o Impacto: pérdida que ocasiona el riesgo. Consecuencias de los problemas asociados con el riesgo. Los factores que afectan al impacto son: La naturaleza: problemas potenciales que pueden producir en caso de ocurrir. Alcance: Combina la severidad con su distribución global. Duración: Combina el momento en el que se sentirá su impacto y la duración del mismo. o Probabilidad: probabilidad de que ocurra el riesgo. o Marco de tiempo: periodo de tiempo en el que es posible mitigar el riesgo. Clasificación: se clasifican los riesgos para entender su naturaleza y elaborar planes de mitigación. Haremos una clasificación de los riesgos según la siguiente lista: Probabilidad del riesgo: o Muy bajo (< 10%) o Bajo (10-25%) o Moderado (25-50%) o Alto (50-75%) o Muy alto (>75) Efectos del riesgo: o Catastrófico o Crítico o Serio o Bajo o Tolerable Estas etiquetas son subjetivas y se basan en nuestra experiencia individual en otros proyectos. Riesgo 1. Un integrante del equipo ha avisado que por motivos personales puede tener que abandonar el proyecto. 2. No se puede construir un proyecto de Probabilidad Muy Alto Muy Alto Efecto Serio Catastrófico Ágora | Versión 1.1.2 7 Valoración del riesgo esta envergadura en el tiempo inicialmente indicado. 3. El personal del que disponemos no tiene experiencia en aplicaciones de internet. 4. El interfaz de usuario ha sido vagamente definido para los distintos usuarios, con lo que podemos encontrar que el diseño no sea de su agrado. 5. El personal del que disponemos no tiene experiencia en aplicaciones según las recomendaciones del WAI > no accesible para el usuario 6. El cliente ha incluido nuevos requisitos que afectarán a la estimación. 7. Se desconoce el formato en el que nos van a entregar los datos de los usuarios (¿papel, acceso a BD, CD?). 8. Los espacios de trabajo no siempre están libres para este proyecto. 9. No existen entornos de desarrollo adecuados para los lenguajes orientados a internet. Muy Alto Crítico Moderado Bajo Alto Serio Alto Serio Muy Alto Crítico Moderado Serio Alto Crítico 2.3 Priorización del riesgo En la priorización de riesgo crearemos una lista ordenada de los riesgos que ya hemos analizado. Para definir esta lista nos basaremos en la tabla descrita en SQAS-SEI ya que, con el análisis que hemos hecho, pasar los datos a la tabla se convierte en una tarea trivial. 8 Ágora | Versión 1.1.2 Valoración del riesgo Efectos/Probabilidad Muy alta Alta Catastrófico Crítico Serio Bajo Tolerable 2 3,7 1 9 5,6 Moderada Baja Muy baja 8 4 Los niveles de riesgo son: T: Tolerable. Si sucede, no importa L: Bajo. Si sucede, los efectos son asumibles. M: Medio. Si sucede, afecta a los objetivos, costes o planificación. Debería controlarse. H: Alto. Si sucede tiene una grave trascendencia. Debería controlarse, supervisarse y tener planes de contingencia. IN: Intolerable. No puede obviarse su gestión bajo ningún concepto. Si ordenamos los riesgos de Ágora: 2. No se puede construir un proyecto de esta envergadura en el tiempo inicialmente indicado. 3. El personal del que disponemos no tiene experiencia en aplicaciones de internet. 7. Se desconoce el formato en el que nos van a entregar los datos de los usuarios (¿papel, acceso a BD, CD?). 9. No existen entornos de desarrollo adecuados para los lenguajes orientados a internet. 1. Un integrante del equipo ha avisado que por motivos personales puede tener que abandonar el proyecto. 5. El personal del que disponemos no tiene experiencia en aplicaciones según las recomendaciones del WAI > no accesible para el usuario 6. El cliente ha incluido nuevos requisitos que afectarán a la estimación. --------------------------------------------------------------------------------------------------------------: Como mínimo los riesgos por encima de esta línea deberían gestionarse 8. Los espacios de trabajo no siempre están libres para este proyecto. 4. El interfaz de usuario ha sido vagamente definido para los distintos usuarios, con lo que podemos encontrar que el diseño no sea de su agrado. 9 Ágora | Versión 1.1.2 Control del riesgo 3 CONTROL DEL RIESGO 3.1 Planificación de la gestión del riesgo En este apartado trataremos de considerar las estrategias para gestionar cada uno de los riesgos identificados. Estas estrategias se pueden dividir en cuatro grandes tipos: Evitar el riesgo: Elegir una alternativa de menor riesgo. Controlar el riesgo: Reducir/mitigar el riesgo Asumir el riesgo: Aceptamos que el riesgo ocurra. Transferir el riesgo: Reducir el riesgo compartiéndolo. Riesgo 2. No se puede construir un proyecto de esta envergadura en el tiempo inicialmente indicado. 3. El personal del que disponemos no tiene experiencia en aplicaciones de internet. 7. Se desconoce el formato en el que nos van a entregar los datos de los usuarios (¿papel, acceso a BD, CD?). 9. No existen entornos de desarrollo adecuados para los lenguajes orientados a internet. 1. Un integrante del equipo ha avisado que por motivos personales puede tener que abandonar el proyecto. Gestión propuesta Presentar al cliente una estimación detallada para explicarle la imposibilidad de terminar los nuevos requisitos en el tiempo planeado. Invertiremos parte del tiempo en una formación básica para el personal que disponemos. Alertar al cliente para que hable con sus técnicos explicándole que según el formato se puede retrasar el proyecto o se debe contratar a un grabador de datos. Investigar la posibilidad de utilizar entornos adecuados de software libre. Otros equipos han tenido el mismo problema por lo que una solución puede ser unificar 2 equipos con poco personal Formación inicial y 5. El personal del que revisiones continuas para disponemos no tiene comprobar que las funciones experiencia en aplicaciones que se realizan cumplen la según las recomendaciones del WAI > no accesible para triple A. el usuario Valorar el impacto de los 6. El cliente ha incluido Estrategia Evitar el riesgo Evitar el riesgo Evitar el riesgo Evitar el riesgo Controlar el riesgo Evitar y controlar el riesgo. 10 Controlar el riesgo Ágora | Versión 1.1.2 Control del riesgo nuevos requisitos que afectarán a la estimación. 8. Los espacios de trabajo no siempre están libres para este proyecto. 4. El interfaz de usuario ha sido vagamente definido para los distintos usuarios, con lo que podemos encontrar que el diseño no sea de su agrado. requerimientos, maximizar la información oculta en ellos. Reservar espacio de trabajo Mitigar el riesgo en la biblioteca con el préstamo de portátil. Asumimos este riesgo. Asumir el riesgo. 11 Ágora | Versión 1.1.2