Proyectos informaticos

Sesión: 10

Administración de proyectos de tecnologías de información

Índice del contenido:

¿Qué es un Proyecto?

Problemas con el Software.

¿Qué son los riesgos?

¿Qué deberíamos hacer?

Marco Conceptual de Administración de Riesgos

Proceso de la Administrando Riesgos de TI

Administración de proyectos

Es un proceso temporal que tiene un inicio y fin.

Su resultado es un producto o servicio único.

Esta constituido por un conjunto de actividades

interrelacionadas que se desarrollan por una sola vez, que

constituyen una inversión para el negocio

Tiene objetivos, alcances y productos entregables específicos y

un programa y presupuesto definidos.

¿Qué es un proyecto?

Costos Tiempos

Calidad

Existen proyectos De Tecnologías de la Información y de e-Business, Desarrollo interno, Desarrollo por terceros, Evaluación e implantación de paquetes, De Soporte Técnico, Adquisición e instalación de hardware/software, Redes y/o comunicaciones

Se controla :

¿Qué es un proyecto?, continua...

Alarmante Problema

• Solución– Enfoque integral del

ciclo de vida– Técnicas formales y

herramientas– Ingeniería de software

71% de todos los proyectos fallan, ya sea que se han excedido el presupuesto o empiezan a funcionar después del plazo original. Cada año, 75 millones de dólares se pierden por fallas de los proyectos en los Estados Unidos

Fuente: The Standish Group 2001Fuente: The Standish Group 2001

• Demanda insatisfecha– Plazos y costos excedidos– Insuficiente productividad– Calidad inadecuada

• Causas– Naturaleza del software– Inadecuado enfoque

gerencial– Carencia de tecnología

• Demanda insatisfecha– Plazos y costos excedidos– Insuficiente productividad– Calidad inadecuada

• Causas– Naturaleza del software– Inadecuado enfoque

gerencial– Carencia de tecnología

¿Por qué fracasa el proyecto?

Como lo explicó el

cliente

Como lo entendió el

líder del proyecto

Como lo diseñó el analista

Como lo escribió el

programador

Como lo recibieron los probadores

beta

Como lo describió el Consultor de

Negocios

Como se documentó

Las operaciones instaladas

Lo que se le cobró al Cliente

El soporte que se le

dio

Como se comercializó

Lo que el cliente realmente necesitaba

¿Por qué fracasa el proyecto?, continua...

Lo que el cliente realmente necesitaba

No se comprendieron las necesidades del usuario

No se previó el impacto de los requerimientos de cambios

Se descubrieron muy tarde falencias graves en el Proyecto

Hay módulos que no se pueden integrar

Interferencias entre los miembros del equipo

No cumplen sus objetivos Se exceden considerablemente en el

tiempo Se exceden de su presupuesto

¿Por qué fracasó?

¿Qué es un riesgo del proyecto?

Cualquier factor que puede interferir en terminación exitosa del proyecto

Es reconocer que un problema puede suceder

Fases del análisis del riesgo

Identificación del riesgo

Análisis y cuantificación Plan de mitigación Asignar responsables

Análisis de Riesgo

• Estimación del riesgo Establecer una escala que refleje la probabilidad observada de

riesgo.– Bastante improbable– Improbable– Moderado– Probable– Bastante probable

• Impacto (pesos) Estimación del impacto de riesgo en el proyecto

• Cálculo de riesgo

Considerar (riesgo, probabilidad de riesgo, impacto)

¿Qué se debería hacer?

Defina el alcance del proyecto.

Gestione los riesgos con anticipación.

Use una metodología probada.

Modele las amenazas de su proyecto.

Use herramientas de verificación de

código.

Haga pruebas exhaustivas.

¿En qué consiste la Administración de Riesgos?

Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales.

Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.

Administración de Riesgos

Beneficios para la Organización:

Facilita el logro de los objetivos de la organización.

Hace a la organización más segura y consciente de sus riesgos.

Mejoramiento continuo del Sistema de Control Interno.

Optimiza la asignación de recursos.

Aprovechamiento de oportunidades de negocio.

Fortalece la cultura de autocontrol.

Mayor estabilidad ante cambios del entorno.

Administración de Riesgos

Beneficios para el Dpto. de Auditoría:

Soporta el logro de los objetivos de la auditoría.

Estandarización en el método de trabajo.

Integración del concepto de control en las políticas

organizacionales.

Mayor efectividad en la planeación general de auditoría.

Evaluaciones enfocadas en riesgos.

Mayor cobertura de la administración de riesgos.

Auditorías más efectivas y con mayor valor agregado.

Proceso de administración de Riesgos (PAR)

1. Establecer Marco General

2. Identificar Riesgos

3. Análisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Monitorear y Revisar

Monitorear y Revisar

PAR. 1. Establecer un marco general:

1.1. Establecer el Contexto EstratégicoDefinir la relación entre la organización y el ambiente en el que opera.

1.2. Establecer el Contexto OrganizacionalEntender la organización, sus capacidades y habilidadesConocer sus objetivos y estrategias.

1.3. Identificar Objetos CríticosEntendiendo por objeto, el área, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organización y sobre el cual se pueda efectuar administración de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro.

Este paso del proceso es importante para evaluar y priorizar los riesgos posteriormente en el paso No. 4

1. Establecer Marco General

1.1. Establecer el Contexto EstratégicoAspectos financieros, operacionales, competitivos, políticos, imagen, sociales, clientes, culturales y legales, Stakeholders -Organización, propietarios, personal, clientes, proveedores, comunidad local y sociedad-.

1.2. Establecer el Contexto OrganizacionalObjetivos del negocio:Apoyados en COSO (de operaciones, de Información Financiera y de cumplimiento legal).Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad.

¿Cómo hacerlo?¿Cómo hacerlo?

PAR. 1. Establecer un marco general, continua...

1.3. Identificar Objetos CríticosDefiniendo los criterios Pérdida Financiera, Pérdida de Imagen, Incumplimiento de la misión, etc., que nos permitan elaborar una clasificación de las áreas, proyectos, procesos, sistemas o actividades sobre los cuales se llevará a cabo la administración de riesgos.


PAR. 1. Establecer un marco general, continua...

2.1. Establecer un marco específico de administración de riesgosEntender la actividad o parte de la organización para la cual se aplicará el proceso de administración de riesgos.

2.2. Desarrollar criterios de evaluación de riesgosDefinir e identificar los criterios de análisis y el nivel de aceptación de los riesgos

2.3. Identificar la estructuraSeparar la actividad o proyecto en un conjunto de elementos que facilite su comprensión y análisis.


PAR. 2. Administración de riesgos, continua...

2. Identificar Riesgos2.4. Identificar riesgos

Responder ¿qué puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el numeral 2.3.

2.5. Identificar causas¿Cómo y por qué pueden ocurrir los eventos identificados como riesgos? Identificar lo que motiva, dispara o genera los eventos y los escenarios más significativos.



2.1. Establecer un marco de administración de riesgosDefiniendo los objetivos, estrategias, alcance y parámetros de la evaluación de riesgos a realizar.

2.2. Desarrollar criterios de evaluación de riesgosDefiniendo los aspectos en los cuales va a centrar su atención durante la evaluación – operativos, técnicos, legales, sociales, financieros, humanos.

2.3. Identificar estructuraDescomponer el todo en sus partes, de tal manera que le facilite entender el objeto de análisis y le brinde un marco lógico de acción.



2.3. Identificar estructuraPor ejemplo:

• Basado en procesos (para TI, Cobit nos propone 34 procesos).

• Basado en Sistemas de Información (aplicaciones, programas, archivos, proceso, comunicaciones, entradas, salidas).

• Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administración, etapas, entregables).

• Basado en recursos (para TI, Cobit nos propone: Datos, Aplicaciones, Tecnología, Instalaciones y Recurso Humano).



2.4. Identificar riesgosLo común en las definiciones de riesgo son algunas palabras claves como: eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc.

Riesgo: son incidentes o situaciones, que ocurren en un sitio concreto durante un intervalo de tiempo determinado, con consecuencias positivas o negativas que podrían afectar el cumplimiento de los objetivos.




2.5. Identificar causasFactores que podrían materializar el riesgo, es importante establecer relaciones con otros riesgos una causa pude generar uno o más riesgos y un riesgo puede ser generado por una o más causas.

Por lo tanto exprese los riesgos en términos de consecuencia y considere las causas que pueden generarlo. Ejemplo:

Pérdida de confidencialidad debida a interceptación de la línea de comunicación.



3.1. Valorar el riesgo inherenteAsignar valor al evento de materialización del riesgo propio del objeto de análisis.

3.2. Determinar Controles ExistentesIdentificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes.

3.3. Identificar Nivel de ExposiciónResultante de aplicar la fórmula:Nivel de Exposición = Riesgo inherente - Controles

3. Análisis de Riesgos

PAR. 3. Análisis de riesgos:

3.1. Valorar el riesgo inherenteRequiere que se defina una escala de valoración:Cualitativa: Alto, Medio, BajoCuantitativa: Escala numérica Semicuantitativa: asigna rangos numéricos a las características Alto, Medio, Bajo

La valoración se puede hacer mediante el uso de históricos para los métodos cuantitativos, utilizando la fórmula Riesgo= Impacto X Probabilidad y mediante las técnicas de valoración en grupos de trabajo (delphy) para métodos cualitativos

3. Análisis de Riesgos¿Cómo hacerlo?¿Cómo hacerlo?

PAR. 3. Análisis de riesgos, continua...

3.2. Determinar Controles ExistentesSe requiere conocer que control es una propiedad emergente del Sistema de Control Interno, que son los mecanismos (dispositivos y procedimientos) implementados para prevenir, detectar o corregir la materialización de los riesgos.¡Tenga presente que la negación del control no es el riesgo!

3.3. Identificar Nivel de ExposiciónNivel de Exposición = Riesgo inherente - Controles

3. Análisis de Riesgos¿Cómo hacerlo?¿Cómo hacerlo?

PAR. 3. Análisis de riesgos, continua...

4.1. Comparar contra Criterios y Definir prioridades de riesgoComparar el resultado del análisis de riesgo realizado contra los criterios establecidos en el numeral 1. Marco general de referencia.

Las comparaciones de análisis de riesgo realizadas sobre diferentes áreas de la organización o sobre los diferentes procesos le permitirán priorizar los riesgos sobre los cuales ha de centrar la atención para definir una opción de tratamiento.

PAR. 4. Evaluar y priorizar riesgos:

4.1. Comparar contra Criterios y Definir prioridades de riesgo

Elabore una lista ordenada de mayor a menor, por la valoración del nivel de exposición.

Esto le permitirá definir los riesgos de mayor grado de importancia sobre los cuales deberá definir las opciones de tratamiento.

Centre su atención en lo crítico, de acuerdo a los niveles de aceptación que tenga definidos

4. Evaluar y Priorizar Riesgos¿Cómo hacerlo?¿Cómo hacerlo?

PAR. 4. Evaluar y priorizar riesgos, continua...

5.1. Identificar opciones de tratamientoPara la actividad o componente al cual aplicó el proceso de administración de riesgos, determine las posibles formas de reducir o mitigar el riesgo.

5.2. Evaluar opciones de tratamientoBajo las consideraciones del marco de referencia definido, establecer cuáles de las opciones de tratamiento identificadas se ajustan a la organización y reducen el riesgo a un nivel de exposición aceptable.

5.3. Preparar planes de tratamientoElaborar los planes que le permitan poner en práctica las opciones de tratamiento del riesgo seleccionadas.

5.4. Implementar Plan de tratamientoPoner en marcha el plan definido.


PAR. 5. Tratamiento del riesgo:

5.1. Identificar opciones de tratamientoExisten las siguientes:

Evitar: Se reduce la probabilidad de pérdida al mínimo; dejar de ejercer la actividad o proceso.

Reducir: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la probabilidad de ocurrencia o el impacto.

Atomizar: Distribuir la localización del riesgo, segmentando el objeto sobre el cual se puede materializar el riesgo.

5. Tratamiento del Riesgo¿Cómo hacerlo?¿Cómo hacerlo?

PAR. 5. Tratamiento del riesgo, continua...

5.1. Identificar opciones de tratamientoExisten las siguientes:

Asumir: Se acepta la pérdida residual probable, con la aceptación del riesgo las estrategias de prevención se vuelven esenciales.



5.2. Evaluar opciones de tratamientoLas opciones de tratamiento deben evaluarse con base en el alcance de la reducción de riesgo (de su probabilidad o de su impacto), la evaluación debe extenderse a los beneficios u oportunidades que la opción de tratamiento pueda crear.Tenga presente considerar varias opciones y que éstas pueden aplicarse individualmente o de manera combinada.Considere los siguientes factores al momento de evaluar las opciones de tratamiento

Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos

Factibilidad: La probabilidad de aceptar la opción propuesta

Eficiencia : Uso óptimo de los recursos ,Costo efectividad de la opción




Costo

Implementar medidas de reducción

Usar Juicio

Antieconómico

Nivel Total de Riesgos

Para seleccionar la opción más apropiada se requiere balancear el costo de implementación contra los beneficios derivados.



5.3. Preparar planes de tratamientoDocumentando cómo se implementarán las opciones elegidas:

• Identificando responsabilidades• Programas, resultados esperados, presupuesto• Medir el desempeño y la revisión del proceso en su

conjunto.

El plan debería incluir también un mecanismo para evaluar la implementación de las opciones contra criterios de desempeño y responsabilidades individuales y otros objetivos, y para controlar hitos críticos de implementación.



5.4. Implementar el planIdealmente, la responsabilidad para el tratamiento de riesgo debería ser ejercida por los mejor capacitados de controlar el riesgo. Las responsabilidades de implementación se conciertan según la disponibilidad de tiempo de las partes.

La implementación exitosa del plan de tratamiento de riesgo requiere de un sistema efectivo de gestión:

• Que especifique los métodos elegidos• Asignación de responsabilidades, acciones individuales• Controles contra criterios específicos.



Administración de proyectos


Ambiente del Proyecto

Ambiente del proyecto

Plan EstrategicoDe Sistemas

Administracióndel

Proyecto

Metodología Tecnología

Plan Estratégico de Sistemas

Plan EstrategicoDe Sistemas

Integración alNegocio

PolíticasGenerales

Evaluación yAjuste de la

Cartera de Aplic.

Evaluación deRiesgos

Administración del Proyecto

AdministraciónDel Proyecto

PresupuestoFunciones

Recursos Humanos

Metodología Empleada

Metodología

Formalizacióny Aplicación

AspectosDe Calidad

Documentación

Nivel Tecnológico

Nivel Tecnológico

Inventario

Analisis de Tendencias

Tecnológicas

Plan deIncorporaciónde Tecnología

Impacto en el NegocioT

amañ

o de

l Pro

yect

o

Impacto en el proceso de Negocios

Bajo Alto

Am

plio Riesgo Alto

Peligra la supervivencia

Riesgo Moderado

Problemas de adminisración

Riesgo Bajo

Mala utilización de recursos

Riesgo Medio

Demora en la implementación de negociosR

educ

ido

Impacto Funcional

Impacto funcional

Bajo Alto

Riesgo Alto

Viabilidad del Proyecto

Riesgo Moderado

Problemas de Administración

Riesgo BajoRiesgo

Moderado

Adaptación operativa

Tam

año

del P

roye

cto

Red

ucid

oA

mpl

io

Impacto Tecnológico

Impacto tecnológico

Bajo Alto

Riesgo Alto

Posible fracaso del proyecto

Riesgo Moderado

Problemas de administración

Riesgo Bajo

Riesgo Moderado

Posibles demoras

Tam

año

del P

roye

cto

Red

ucid

oA

mpl

io

Administración de Proyectos

Definición:

Es el proceso de planificar el proyecto, definir el equipo de trabajo y monitorear, controlar y reportar las distintas etapas y “deliverables”.

Porque los proyectos fallan?

• Pobre definición de los objetivos • Falta de recursos• Pobre organización• Especificaciones y requerimientos incompletos• Pruebas inadecuadas• Presupuestos mal definidos • Inadecuada administración de los costos• Sub-utilización o mal uso de metodologías• Infraestructura tecnológica pobre o deficiente

Administración de Proyectos, continua...

Riesgos:

• Falta de claridad en la definición de los objetivos (estratégico)

• Impacto en el negocio y/o clientes (imagen)

• Relación con otros ambientes/sistemas (transaccional)

• Complejidad de los requerimientos (estratégico)

• Tecnología utilizada (estratégico)

• Experiencia y conocimientos de los integrantes del equipo de trabajo (estratégico)

• Presupuestos, “target dates” (cumplimiento/transaccional)


Modelo de la Administración de Proyectos

Estudio de factibilidadBusiness case

Aprobación

Planificación del proyecto

Revisión y seguimiento

Reporte del estado del proyecto

Requerimiento inicial


Falta de Trabajo en

Equipo

Objetivos ambiciosos o no definidos

Mal manejo del riesgo

Planeación de proyecto no efectiva

Pobre administración

de la calidad

Pobre administración

de los proveedores

Reporte de progreso poco confiable

Pobre dirección del programa

Liderazgo Ineficaz

¿Porqué fallan los proyectos?¿Porqué fallan los proyectos?


La solución:

Se requiere un proceso que le permita a la gerencia la administración efectiva de todo el portafolio de proyectos :

¿Qué proyectos debo realizar? ¿Qué estructura y controles son apropiados? ¿Cuando debería la gerencia involucrarse? ¿Qué información debería ser suministrada? ¿Que aspectos básicos debo tener en cuenta ?


CapabilityMaturityModelCMM

CapabilityMaturityModelCMM

Nivel 1Nivel 1 Inestable – Uso esporádico de PMInestable – Uso esporádico de PMNivel 1Nivel 1 Inestable – Uso esporádico de PMInestable – Uso esporádico de PM

Nivel 2Nivel 2 Informal – Procesos básicos sin Metodología estándarInformal – Procesos básicos sin Metodología estándarNivel 2Nivel 2 Informal – Procesos básicos sin Metodología estándarInformal – Procesos básicos sin Metodología estándar

Nivel 3Nivel 3 Estandarizado – Metodologías y Estándares utilizadosEstandarizado – Metodologías y Estándares utilizadosNivel 3Nivel 3 Estandarizado – Metodologías y Estándares utilizadosEstandarizado – Metodologías y Estándares utilizados

Nivel 4Nivel 4 Monitoreado – los proyectos estánSoportando la estrategia del negocioMonitoreado – los proyectos estánSoportando la estrategia del negocioNivel 4Nivel 4 Monitoreado – los proyectos estánSoportando la estrategia del negocioMonitoreado – los proyectos estánSoportando la estrategia del negocio

Nivel 5Nivel 5 Optimizado – La gerencia está enfocadaen la mejora continua del proceso de PMOptimizado – La gerencia está enfocadaen la mejora continua del proceso de PMNivel 5Nivel 5 Optimizado – La gerencia está enfocadaen la mejora continua del proceso de PMOptimizado – La gerencia está enfocadaen la mejora continua del proceso de PM

Nivel de M

adurezNivel de Madurez en Gerencia de Proyectos

Nivel de Madurez en Gerencia de Proyectos

Project Management Matutiry

Nivel 1 – Procesos no confiables

• No hay reglas. Poco soporte organizacional. El éxito de los proyectos depende en las habilidades de individuos y no de un equipo.

Nivel 2 – Procesos Informales

• Falta de estándares. La implementación difiere de proyecto a proyecto.

Nivel de Madurez en Gerencia de Proyectos

Project Management Matutiry

Nivel 3 – Procesos Estandarizados

• Existencia de lineamientos y metodología de project management. En la gran mayoría de los proyectos se utilizan los lineamientos y metodología. Apoyo de la gerencia.

Nivel 4 – Seguimiento y Monitoreo de Procesos

• Integración del ciclo de vida de los proyectos. La metodología es usada por toda la compañía. La gerencia controla los proyectos.

Nivel 5 – Optimización de procesos

• Análisis regular y optimización de las practicas de project management. Los proyectos soportan el plan estratégico de la compañía.

Fin de la sesión: 10

Administración de proyectos de tecnologías de información

Mg. Marcos Álvarez Rivera

Proyectos informaticos

Documents

Transcript of Proyectos informaticos