Gestión de riesgos en ingeniería del software - Proyección del riesgo

La proyección del riesgo, también denominada estimación del riesgo, intenta medir cada riesgo de dos maneras -la probabilidad de que el riesgo sea real y las consecuencias de los problemas asociados con el riesgo, si ocurriera. El jefe del proyecto, junto con otros gestores y personal técnico, realiza cuatro actividades de proyección del riesgo: (1) establecer una escala que refleje la probabilidad percibida del riesgo; (2) definir las consecuencias del riesgo; (3) estimar el impacto del riesgo en el proyecto y en el producto; y (4) apuntar la exactitud general de la proyección del riesgo de manera que no haya confusiones.

Desarrollo de una tabla de riesgo

Una tabla de riesgo le proporciona al jefe del proyecto una sencilla técnica para la proyección del riesgo'. En la Figura se ilustra una tabla de riesgo como ejemplo.

Un equipo de proyecto empieza por listar todos los riesgos (no importa lo remotos que sean) en la primera columna de la tabla. Se puede hacer con la ayuda de la lista de comprobación de elementos de riesgo presentada en la Sección 6.3.

Cada riesgo es categorizado en la segunda columna (p. ej.: PS implica un riesgo del tamaño del proyecto. BU implica un riesgo de negocio). La probabilidad de aparición de cada riesgo se introduce en. la siguiente columna de la tabla. El valor de la probabilidad de cada riesgo puede estimarse por cada miembro del equipo individualmente. De los valores individuales se obtiene la media para obtener una probabilidad consensuada. A continuación se valora el impacto de cada riesgo.

Cada componente de riesgo se valora usando la caracterización presentada en la primera figura, y se determina una categoría de impacto. Las categorías para cada uno de los cuatro componentes de riesgo -rendimiento, soporte, coste y planificación temporal- son promediados para determinar un valor general de impacto.

Una vez que se han completado las cuatro primeras columnas de la tabla de riesgo, la tabla es ordenada por probabilidad y por impacto. Los riesgos de alta probabilidad y de alto impacto pasan a lo alto de la tabla, y los riesgos de baja probabilidad caen a la parte de abajo. Esto consigue una priorización del riesgo de primer orden.

El jefe del proyecto estudia la tabla ordenada resultante y define una línea de corte. La línea de corte (dibujada horizontalmente)implica que sólo a los riesgos que quedan por encima de la línea se les prestará atención en adelante. Los riesgos que caen por debajo de la línea son reevaluados para conseguir una priorización de segundo orden.

El impacto del riesgo y la probabilidad tienen diferente influencia en la gestión como se ve en la siguiente figura. Un factor de riesgo que tenga un gran impacto pero muy poca probabilidad de que ocurra, no debería absorber una cantidad significativa de tiempo de gestión. Sin embargo, los riesgos de gran impacto con una probabilidad , moderada a alta y los riesgos de poco impacto pero de gran probabilidad deberían tenerse en cuenta en los procedimientos de gestión que se estudian a continuación.

Todos los riesgos que se encuentran por encima de la línea de corte deben ser considerados. La columna etiquetada RSGR contiene una referencia que apunta hacia un plan de reducción, supervisión y gestión del riesgo desarrollado para todos los que se encuentran por encima de la línea de corte.

La probabilidad de riesgo puede determinarse haciendo estimaciones individuales y desarrollando después un único valor de consenso. Aunque este enfoque es factible, se han desarrollado técnicas más sofisticadas para determinar la probabilidad de riesgo.

Los controladores de riesgo pueden valorarse en una escala de probabilidad cualitativa que tiene los siguientes valores: imposible, improbable, probable y frecuente. Después puede asociarse una probabilidad matemática con cada valor cualitativo (p. ej: una probabilidad del 0.7 al 1.0 implica un riesgo muy probable).

Evaluación del impacto del riesgo

Tres factores afectan a las consecuencias probables de un riesgo, si ocurre: su naturaleza, su alcance y cuando ocurre. La naturaleza del riesgo indica los problemas probables que aparecerán si ocurre. Por ejemplo, una interfaz externa mal definida para el hardware del cliente (un riesgo técnico) impedirá un diseño y pruebas tempranas y probablemente lleve a problemas de integración más adelante en el proyecto. El alcance de un riesgo combina la severidad (¿cómo de serio es el problema?) con su distribución general (¿qué proporción del proyecto se verá afectado y cuantos clientes se verán perjudicados?). Finalmente, la temporización de un riesgo considera cuándo y por cuánto tiempo se dejará sentir el impacto. En la mayoría de los casos, un jefe de proyecto prefiere las "malas noticias" cuanto antes, pero en algunos casos, cuanto más tarden, mejor.

Volviendo una vez más al enfoque del análisis de riesgo propuesto por las Fuerzas Aéreas de Estados Unidos, se recomiendan los siguientes pasos para determinar las consecuencias generales de un riesgo:

1. Determinar la probabilidad media de que ocurra un valor para cada componente de riesgo.

2. Empleando la figura anterior, determinar el impacto de cada componente basándose en los criterios mostrados.

3. Completar la tabla de riesgo y analizar los resultados como se describe en las secciones precedentes.

La proyección del riesgo y las técnicas de análisis descritas en las secciones 5.4.1 y 5.4.2 se aplican reiteradamente a medida que progresa el proyecto de software. El equipo del proyecto debería volver a la tabla de riesgo a intervalos regulares, volver a evaluar cada riesgo para determinar qué nuevas circunstancias hayan podido cambiar su impacto o probabilidad. Como consecuencia de esta actividad, puede ser necesario añadir nuevos riesgos a la tabla, quitar algunos que ya no sean relevantes y cambiar la posición relativa de otros.

Evaluación del riesgo

En este punto del proceso de gestión del riesgo, hemos establecido un conjunto de ternas de la forma:

[r_i,l_i,x_i]

donde r es el riesgo, l la probabilidad del riesgo y x el impacto del riesgo. Durante la evaluación del riesgo, se sigue examinando la exactitud de las estimaciones que fueron hechas durante la proyección del riesgo, se intenta dar prioridades a los riesgos que no se habían cubierto y se empieza a pensar las maneras de controlar y/o impedir los riesgos que sean más probables que aparezcan.

Para que sea útil la evaluación, se debe definir un nivel de referencia de riesgo. Para la mayoría de los proyectos, los componentes de riesgo estudiados anteriormente -rendimiento, coste, soporte y planificación temporal- también representan niveles de referencia de riesgos. Es decir, hay un nivel para la degradación del rendimiento, exceso de coste, dificultades de soporte o retrasos de la planificación temporal (o cualquier combinación de los cuatro) que provoquen que se termine el proyecto. Si una combinación de riesgos crea problemas de manera que uno o más de estos niveles de referencia se excedan, se parará el trabajo. En el contexto del análisis de riesgos del software, un nivel de referencia de riesgo tiene un solo punto, denominado punto de referencia o punto de ruptura, en el que la decisión de seguir con el proyecto o dejarlo (los problemas son demasiado graves) son igualmente aceptables.

La figura representa esta situación gráficamente. Si una combinación de riesgos lleva a problemas que provocan excesos de coste y retrasos de la planificación temporal, habrá un nivel representado por la curva en la figura que (cuando se exceda) provocará la terminación del proyecto (la región sombreada). En el punto de referencia, las decisiones de seguir o abandonar son igualmente válidas.

En realidad, el nivel de referencia puede raramente representarse como una línea nítida en el gráfico. En la mayoría de los casos es una región en la que hay áreas de incertidumbre (ej.: intentar predecir una decisión de gestión basándose en la combinación de valores de referencia es a menudo imposible).

Por tanto, durante la evaluación del riesgo, se realizan los siguientes pasos:

1. Definir los niveles de referencia de riesgo para el proyecto.

2. Intentar desarrollar una relación entre cada [r_i, l_i, x_i] y cada uno de los niveles de referencia.

3. Predecir el conjunto de puntos de referencia que definan la región de abandono, limitado por una curva o áreas de incertidumbre.

4. Intentar predecir como afectarán las combinaciones compuestas de riesgos a un nivel de referencia.