CMMI-SVC-ESP - ORIGINAL

CMMI para Servicios, Versión 1.3

SP 1.4 Mantener la trazabilidad bidireccional entre los requisitos

Mantener la trazabilidad bidireccional entre los requisitos y los
productos de trabajo.

Con esta práctica específica se intenta mantener la trazabilidad
bidireccional entre los requisitos (véase la definición de “trazabilidad
bidireccional” en el glosario). Cuando los requisitos se gestionan bien, se
puede establecer la trazabilidad desde un requisito fuente hasta sus
requisitos de más bajo nivel y de vuelta desde estos requisitos de más bajo
nivel hasta sus requisitos fuente. Esta trazabilidad bidireccional ayuda a
determinar si todos los requisitos fuente se han abordado por completo y si
todos los requisitos de menor nivel pueden trazarse hasta una fuente
válida.

La trazabilidad de los requisitos también cubre las relaciones con otras
entidades tales como productos de trabajo intermedios y finales, cambios
en la documentación de diseño, y planes de pruebas. La trazabilidad puede
cubrir relaciones horizontales, tales como relaciones entre interfaces, así
como relaciones verticales. La trazabilidad es particularmente necesaria al
evaluar el impacto que los cambios a los requisitos tienen sobre los
trabajos y productos de trabajo.

En un entorno de servicios, debería poder trazar los requisitos de las partes
interesadas hasta los elementos del servicio prestado y del sistema de
servicio que lo soporta que fueron desarrollados a partir de dichos
requisitos o de otros requisitos derivados de los requisitos de las partes
interesadas. A la inversa, los elementos del servicio prestado y del sistema
de servicio que lo soporta deberían ser trazables hacia atrás hasta los
requisitos de las partes interesadas que éstos satisfacen.

Algunos ejemplos de aspectos a considerar sobre la trazabilidad son:
 Alcance de la trazabilidad: los límites dentro de los cuales es necesaria la trazabilidad.
 Definición de trazabilidad: los elementos que necesitan relaciones lógicas.
 Tipo de trazabilidad: cuándo se necesita trazabilidad horizontal y vertical.
 Entorno de servicio integrado: El alcance de la trazabilidad aplicada a una organización

en la que los productos o elementos de producto tangibles son elementos integrales de
los servicios y los servicios son el elemento primordial de la organización.

La trazabilidad bidireccional no siempre está automatizada. Ésta se puede
llevar a cabo manualmente utilizando hojas de cálculo, bases de datos, u
otras herramientas comunes.

Ejemplos de productos de trabajo

1. Matriz de trazabilidad de los requisitos.

2. Sistema de seguimiento de los requisitos.

Subprácticas

1. Mantener la trazabilidad de los requisitos para asegurar que se
documenta la fuente de los requisitos de menor nivel (esto es,
derivados).

Gestión de Requisitos (REQM) 333

CMMI para Servicios, Versión 1.3

SP 1.5 2. Mantener la trazabilidad de los requisitos desde un requisito hasta sus
requisitos derivados y a sus productos de trabajo asignados.

Los productos de trabajo para los cuales se puede mantener la trazabilidad incluyen la
arquitectura del sistema de servicio, los componentes de sistema de servicio, las
iteraciones (o incrementos) del desarrollo, las funciones, las interfaces, los objetos, las
personas, los procesos, y otros productos de trabajo.

3. Generar una matriz de trazabilidad de requisitos.

Una matriz de trazabilidad puede tener en un eje la lista de los requisitos de las partes
interesadas y los requisitos derivados. El otro eje puede listar todos los componentes
de sistema de servicio, incluyendo las personas y los consumibles. Las intersecciones
entre filas y columnas indicarían a qué partes del sistema de servicio aplica un
requisito concreto.

Asegurar que los productos de trabajo y los requisitos estén alineados

Asegurar que los planes y los productos de trabajo permanezcan
alineados con los requisitos

Esta práctica específica detecta inconsistencias entre los requisitos y los
planes de trabajo y productos de trabajo y emprende las acciones
correctivas para resolverlas.

Ejemplos de productos de trabajo

1. Documentación sobre inconsistencias entre los requisitos y los planes
de trabajo y productos de trabajo, incluyendo las fuentes y
condiciones.

2. Acciones correctivas.

Subprácticas

1. Revisar si los planes de trabajo, las actividades, y los productos de
trabajo son consistentes con los requisitos y los cambios que éstos
han tenido.

2. Identificar la fuente de las inconsistencias (si existieran).

3. Identificar cualquier cambio que debiera realizarse en los planes y
productos de trabajo como resultado de cambiar la línea base de los
requisitos.

4. Iniciar cualquier acción correctiva que se necesite.

334 Gestión de Requisitos (REQM)

CMMI para Servicios, Versión 1.3

GESTIÓN DE RIESGOS

Un área de proceso de Gestión de Proyectos y Trabajos en el nivel de madurez 3

Propósito

El propósito de Gestión de Riesgos (RSKM) es identificar problemas
potenciales antes de que ocurran de modo que, a lo largo de la vida del
producto o trabajo, se puedan planificar e invocar actividades de manejo de
riesgos según se necesite para mitigar los impactos adversos sobre el
logro de objetivos.

Notas introductorias

La gestión de riesgos es un proceso continuo y orientado hacia el futuro
que constituye una parte importante de la gestión de trabajos. La gestión
de riesgos debería abordar los problemas que podrían poner en peligro que
se logren los objetivos críticos. Un enfoque de gestión continua de riesgos
anticipa y mitiga de forma eficaz los riesgos cuyos impactos sobre el
trabajo pudieran ser críticos.

Una gestión de riesgos eficaz incluye identificar los riesgos temprana y
enérgicamente por medio de colaborar e involucrar a las partes interesadas
relevantes según se describe en el plan de involucración de las partes
interesadas descrito en el área de proceso Planificación de Trabajos. Se
necesita un fuerte liderazgo entre todas las partes interesadas relevantes
para establecer un entorno en el que se puedan divulgar y discutir los
riesgos libre y abiertamente.

La gestión de riesgos debería considerar fuentes de riesgo tanto internas
como externas, así como técnicas y no técnicas relacionadas con costes,
plazos, rendimiento, y otros aspectos. Es importante detectar los riesgos
temprana y enérgicamente porque habitualmente es más fácil, menos
costoso, y menos perjudicial hacer cambios y corregir tareas durante las
fases iniciales del ciclo de vida, en lugar de hacerlo en las fases
posteriores.

Por ejemplo, las decisiones relacionadas con la arquitectura del sistema de
servicio a menudo se toman de forma temprana antes de conocer por
completo el impacto que éstas puedan tener, y por tanto se deberían
considerar de forma minuciosa las implicaciones del riesgo que tienen tales
opciones.

Los estándares de la industria pueden ayudar en el momento de
determinar el modo de prevenir o mitigar los riesgos específicos
comúnmente encontrados en una industria concreta. Ciertos riesgos
pueden gestionarse o mitigarse proactivamente revisando las buenas
prácticas y lecciones aprendidas de la industria.

La gestión de riesgos se puede dividir en las siguientes partes:

Gestión de Riesgos (RSKM) 335

CMMI para Servicios, Versión 1.3

 Definir una estrategia de gestión de riesgos.
 Identificar y analizar los riesgos.
 Manejar los riegos identificados, incluyendo implementar planes de

mitigación de riesgos según se necesite.
Según se presenta en las áreas de proceso Planificación de Trabajos y
Monitorización y Control de Trabajos, las organizaciones se pueden centrar
inicialmente en identificar los riesgos para ser conscientes de los mismos y
reaccionar a medida que se materialicen. El área de proceso Gestión de
Riesgos describe la evolución de estas prácticas específicas hasta la
planificación, prevención, y mitigación sistemática de los riesgos a fin de
minimizar proactivamente los impactos que tienen sobre el trabajo.
Aunque el énfasis principal del área de proceso Gestión de Riesgos es el
grupo de trabajo, estos conceptos también se pueden aplicar para
gestionar los riesgos organizativos.

Áreas de proceso relacionadas

Para más información sobre establecer y mantener planes para asegurar la
continuidad del servicio durante y después de una alteración significativa
en la operativa ordinaria, consúltese el área de proceso Continuidad del
Servicio.
Para más información sobre analizar posibles decisiones utilizando un
proceso de evaluación formal que evalúe las alternativas identificadas con
respecto a criterios establecidos, consúltese el área de proceso Análisis de
Decisiones y Resolución.
Para más información sobre monitorizar riesgos, consúltese el área de
proceso Monitorización y Control de Trabajos.
Para más información sobre identificar riesgos y planificar la involucración
de las partes interesadas, consúltese el área de proceso Planificación de
Trabajos.
Resumen de Metas y Prácticas Específicas

SG 1 Preparar la gestión de riesgos
SP 1.1 Determinar fuentes y categorías de riesgo
SP 1.2 Definir parámetros de riesgo
SP 1.3 Establecer una estrategia de gestión de riesgos

SG 2 Identificar y analizar riesgos
SP 2.1 Identificar riesgos
SP 2.2 Evaluar, categorizar, y priorizar los riesgos

SG 3 Mitigar riesgos
SP 3.1 Desarrollar planes de mitigación de riesgos
SP 3.2 Implementar planes de mitigación de riesgos

336 Gestión de Riesgos (RSKM)

CMMI para Servicios, Versión 1.3

Prácticas específicas por meta

SG 1 Preparar la gestión de riesgos

Se lleva a cabo la preparación para gestionar los riesgos.

Prepararse para gestionar los riesgos por medio de establecer y mantener
una estrategia para identificar, analizar, y mitigar los riesgos.
Habitualmente esta estrategia se documenta en un plan de gestión de
riesgos. La estrategia de gestión de riesgos aborda las acciones
específicas y el enfoque de gestión que se utilizan para aplicar y controlar
el programa de gestión de riesgos. La estrategia habitualmente incluye
identificar las fuentes de riesgo, el esquema que se utiliza para categorizar
los riesgos, y los parámetros que se utilizan para evaluar, restringir, y
controlar los riesgos para manejarlos eficazmente.

SP 1.1 Determinar fuentes y categorías de riesgo

Determinar las fuentes y las categorías de riesgo.

Identificar las fuentes de riesgo proporciona una base para examinar de
forma sistemática las situaciones que cambian a lo largo del tiempo con el
fin de descubrir circunstancias que afecten a la capacidad del grupo de
trabajo de lograr sus objetivos. Las fuentes de riesgo son tanto internas
como externas al trabajo. A medida que el trabajo avanza, se pueden
identificar fuentes de riesgo adicionales. Establecer categorías para los
riesgos proporciona un mecanismo para recopilarlos y organizarlos,
además de asegurar que los gerentes escruten y presten atención de
forma apropiada a los riesgos que pudieran tener consecuencias serias
sobre el logro de los objetivos del trabajo.

Ejemplos de productos de trabajo

1. Listas de fuentes de riesgo (externas e internas).

2. Lista de categorías de riesgo.

Subprácticas

1. Determinar las fuentes de riesgo.

Las fuentes de riesgo son los factores fundamentales que causan riesgos en los
trabajos o la organización. Hay muchas fuentes de riesgo, tanto internas como
externas al grupo de trabajo. Las fuentes de riesgo identifican dónde pueden
originarse los riesgos.

Gestión de Riesgos (RSKM) 337

CMMI para Servicios, Versión 1.3

SP 1.2 Algunas fuentes de riesgo internas y externas habituales son:
 Requisitos inciertos.
 Labores sin precedentes (p. ej., estimaciones no disponibles).
 Diseño no factible.
 Requisitos de atributos de calidad contrapuestos que afecten a la selección y al

diseño de la solución del sistema de servicio.
 Decisiones de arquitectura que afecten a los requisitos de atributos de calidad (p.

ej. de capacidad y disponibilidad) del sistema de servicio, o a los objetivos de
negocio.
 Tecnología no disponible.
 Estimaciones de plazos o asignaciones no realistas.
 Personal y habilidades inadecuados.
 Problemas de costes o de financiación.
 Subcontratistas cuya capacidad sea incierta o inadecuada.
 Suministradores cuya capacidad sea incierta o inadecuada.
 Comunicación inadecuada con los clientes reales o potenciales o con sus
representantes.
 Alteraciones en la continuidad de las operaciones.
 Restricciones reglamentarias (p. ej. seguridad, protección, medio ambiente)

Muchas de estas fuentes de riesgo son aceptadas sin planificarlo adecuadamente. La
identificación temprana de fuentes de riesgo tanto internas como externas puede
conducir a identificar riesgos de forma temprana. Los planes de mitigación de riesgos
se pueden implementar en etapas tempranas para prevenir que los riesgos ocurran o
para reducir las consecuencias cuando ocurren.

2. Determinar las categorías de riesgo.

Las categorías de riesgo son “botes” que se utilizan para recopilar y organizar los
riesgos. Identificar las categorías de riesgo ayuda a consolidar las futuras actividades
de los planes de mitigación de riesgos.

Al determinar las categorías de riesgo se pueden considerar los siguientes factores:
 Fases del ciclo de vida del trabajo.
 Tipos de proceso utilizados.
 Tipos de producto utilizados.
 Riesgos de gestión trabajos (p. ej., riesgos contractuales, riesgos de presupuesto,

riesgos de plazos, riesgos de recursos).
 Riesgos de desempeño técnico (p. ej. riesgos relacionados con atributos de

calidad, riesgos de soportabilidad).

Se puede utilizar una taxonomía de riesgos para proporcionar un marco de trabajo
para determinar las fuentes y las categorías de riesgo.

Definir parámetros de riesgo

Definir los parámetros que se utilizan para analizar y categorizar
los riesgos y para controlar la labor de gestión de riesgos.

338 Gestión de Riesgos (RSKM)

CMMI para Servicios, Versión 1.3

Algunos parámetros para evaluar, categorizar, y priorizar los riesgos son:

 Probabilidad del riesgo (esto es, probabilidad de que el riesgo ocurra).
 Consecuencia del riesgo (esto es, impacto y gravedad de que el riesgo

ocurra).
 Umbrales para desencadenar las actividades de gestión.

Los parámetros de riesgo se utilizan para proporcionar criterios comunes y
consistentes a fin de comparar los riesgos que se van a gestionar. Sin
estos parámetros es difícil medir la gravedad de un cambio no deseado
causado por un riesgo y priorizar las acciones requeridas para planificar la
mitigación del riesgo.

Los grupos de trabajo deberían documentar los parámetros que se utilizan
para analizar y categorizar los riesgos a fin de que estén disponibles como
referencia durante el trabajo, ya que las circunstancias cambian a lo largo
del tiempo. Al utilizar estos parámetros, los riesgos se pueden volver a
categorizar y analizar fácilmente cuando se producen cambios.

El grupo de trabajo puede utilizar técnicas como el análisis de modos y
efectos de fallos (FMEA) para examinar los riesgos de fallos potenciales en
el sistema de servicio o en los procesos de prestación de servicios
seleccionados. Estas técnicas pueden ayudar a proporcionar una disciplina
de trabajo con los parámetros de riesgo.

Ejemplos de productos de trabajo

1. Criterios de evaluación, categorización, y priorización de riesgos.

2. Requisitos de gestión de riesgos (p. ej. niveles de control y
aprobación, intervalos de revaluación).

Subprácticas

1. Definir criterios consistentes para evaluar y cuantificar los niveles de
probabilidad y gravedad de los riesgos.

El uso de criterios consistentes (p. ej., intervalos de probabilidades, niveles de
gravedad) permite que los impactos de los diferentes riesgos se entiendan de una
misma forma, que se escruten a un nivel apropiado, y que la gerencia les preste la
atención prestablecida. Al gestionar riesgos dispares (p. ej. seguridad del personal
frente a contaminación ambiental), es importante asegurar que el resultado final sea
consistente (por ejemplo, un riesgo de contaminación ambiental de impacto alto es
igual de importante que un riesgo de seguridad del personal de impacto alto). Una
forma de proporcionar una base común para comparar riesgos dispares es asignar
valores económicos a los riesgos (p.ej., mediante un proceso de valoración monetaria
de los riesgos).

2. Definir umbrales para cada categoría de riesgo.

Para cada categoría de riesgo se pueden establecer umbrales que determinen si los
riesgos son aceptables o no, las prioridades de los riesgos, o los niveles para
desencadenar las acciones para gestionarlos.

Gestión de Riesgos (RSKM) 339

CMMI para Servicios, Versión 1.3

SP 1.3 Algunos ejemplos de umbrales son:
 Se podrían establecer umbrales a fin de involucrar a la dirección cuando los

costes excedan un 10 por ciento del objetivo o cuando los índices de rendimiento
en costes (CPI) caigan por debajo de 0,95.
 Se podrían establecer umbrales para los plazos a fin de involucrar a la dirección
cuando los índices de rendimiento en plazos (SPI) caigan por debajo de 0,95.
 Podrían establecerse umbrales de rendimiento a fin de involucrar a la dirección
cuando los elementos clave especificados (p. ej., uso del procesador, tiempos
medios de respuesta) superen el 125 por ciento de lo previsto en el diseño.

3. Establecer límites para definir los umbrales que se aplican en las
categorías.

Apenas hay restricciones sobre qué riesgos se evalúan de forma cuantitativa o
cualitativa. Definir límites (o condiciones de frontera) se puede usar para ayudar a
definir el alcance de la labor de gestión de riesgos evitando que se empleen excesivos
recursos. Los límites pueden incluir que se excluya una fuente de riesgos de una
categoría. Estos límites también pueden excluir las condiciones que ocurran con una
frecuencia inferior a una dada.

Establecer una estrategia de gestión de riesgos

Establecer y mantener la estrategia que se utiliza para gestionar
los riesgos.

Una estrategia de gestión de riesgos exhaustiva aborda elementos tales
como:

 El alcance de la labor de gestión de riesgos.

 Los métodos y herramientas que se utilizan para identificar los riesgos,
analizarlos, mitigarlos, monitorizarlos, y comunicarlos.

 Las fuentes de riesgo específicas del trabajo.

 La forma en que los riesgos se van a organizar, categorizar, comparar,
y consolidar.

 Los parámetros que se utilizan para realizar acciones en los riesgos
identificados, incluyendo la probabilidad, la consecuencia, y los
umbrales.

 Las técnicas de mitigación de riesgos que se van a utilizar, tales como
prototipos, pilotos, simulación, diseños alternativos, o desarrollos
evolutivos.

 La definición de las medidas de riesgos que se utilizan para monitorizar
el estado de los riesgos.

 Los intervalos de tiempo para monitorizar o revaluar los riesgos.

La estrategia de gestión de riesgos debería estar guiada por una visión
común de qué es el éxito que describa qué resultados futuros del trabajo se
desean en términos de producto entregado, su coste, y su adecuación a la
tarea. La estrategia de gestión de riesgos a menudo está documentada en
un plan de gestión de riesgos de la organización o el grupo de trabajo. Esta

340 Gestión de Riesgos (RSKM)

CMMI para Servicios, Versión 1.3

estrategia se revisa con las partes interesadas relevantes para promover
que se comprometan y la entiendan.

Una estrategia de gestión de riesgos debería ser desarrollada en etapas
tempranas del ciclo de vida del trabajo a fin de que los riesgos relevantes
sean identificados y gestionados proactivamente. La temprana
identificación y evaluación de riesgos críticos permite que el grupo de
trabajo formule estrategias de manejo de riesgos y ajuste la definición del
trabajo y la asignación de recursos en base a los riesgos críticos.

Ejemplos de productos de trabajo

1. Estrategia de gestión de riesgos.

SG 2 Identificar y analizar riesgos

Los riesgos se identifican y analizan para determinar su importancia relativa.

El nivel de un riesgo afecta a los recursos que se asignan para manejarlo y
al momento en el que se requiere atención apropiada por parte de la
gerencia.

El análisis de riesgos implica identificar los riesgos a partir de las fuentes
internas y externas, y evaluar cada riesgo identificado para determinar su
probabilidad y sus consecuencias. Categorizar los riesgos, en base a
evaluarlos según las categorías de riesgo establecidas y los criterios
desarrollados en la estrategia de gestión de riesgos, proporciona la
información que se necesita para manejarlos. Los riesgos que están
relacionados se pueden agrupar para posibilitar que el manejo sea eficiente
y que los recursos de gestión de riesgos se usen eficazmente.

SP 2.1 Identificar riesgos

Identificar y documentar los riesgos.

Identificar los problemas potenciales, los peligros, las amenazas, y las
vulnerabilidades que podrían afectar negativamente a los trabajos o a los
planes es la base para una gestión de riesgos sólida y exitosa. Los riesgos
se deberían identificar y describir de forma comprensible antes de que se
puedan analizar y gestionar apropiadamente. Los riesgos se documentan
con una descripción concisa que incluya el contexto, las condiciones, y las
consecuencias de la ocurrencia del riesgo.

La identificación de riesgos se debería realizar mediante un enfoque
organizado y minucioso a fin de buscar riesgos de no lograr los objetivos
que sean probables o realistas. Para que sea eficaz, la identificación de
riesgos no debería intentar abordar cada posible suceso. El uso de las
categorías y parámetros desarrollados en la estrategia de gestión de
riesgos y las fuentes de riesgo identificadas puede proporcionar la
disciplina y agilidad que son apropiadas para la identificación de riesgos.
Los riesgos identificados constituyen una línea base para iniciar las
actividades de gestión de riesgos. Los riesgos se deberían revisar
periódicamente para reexaminar posibles fuentes de riesgo y condiciones
cambiantes a fin de descubrir fuentes y riesgos que se omitieron

Gestión de Riesgos (RSKM) 341

CMMI para Servicios, Versión 1.3

previamente o que no existían la última vez que la estrategia de gestión de
riesgos se actualizó.

La identificación de riesgos se centra en identificar riesgos, no en asignar
culpables. Los resultados de las actividades de identificación de riesgos
nunca deberían ser usados por la gerencia para evaluar el desempeño
individual.

Se utilizan muchos métodos para identificar riesgos. Algunos métodos habituales de
identificación son:
 Examinar cada elemento de la estructura de descomposición del trabajo.
 Llevar a cabo una evaluación de riesgos utilizando una taxonomía de riesgos.
 Entrevistar a expertos en la materia.
 Revisar las labores de gestión de riesgos de productos similares.
 Examinar los documentos o bases de datos de lecciones aprendidas.
 Examinar las especificaciones de diseño y los requisitos del acuerdo.

Ejemplos de productos de trabajo

1. Lista de riesgos identificados, incluyendo el contexto, las condiciones,
y las consecuencias de la ocurrencia de los riesgos.

Subprácticas

1. Identificar los riesgos asociados con los costes, los plazos, y el
rendimiento.

Los riesgos asociados con los costes, los plazos, el rendimiento, y los otros objetivos
de negocio se deberían examinar para entender el efecto que producen sobre los
objetivos del trabajo. Se pueden descubrir riesgos candidatos que estén fuera del
alcance de los objetivos del trabajo pero que sean vitales para los intereses del
cliente. Por ejemplo, los riesgos de costes de desarrollo, costes de adquisición de
productos, costes de productos de repuesto (o de sustitución), y costes de retirada (o
de eliminación) de productos tienen implicaciones en el diseño.

El cliente puede no haber considerado el coste total de mantener un producto
operativo o de utilizar el servicio que se le presta. El cliente debería estar informado
de este tipo de riesgos, aunque puede que no sea necesario gestionarlos de forma
activa. Los mecanismos para tomar estas decisiones se deberían examinar a nivel de
trabajo y de organización y poner en práctica si se considera apropiado,
especialmente para los riesgos que afecten a la capacidad del grupo de trabajo de
verificar y validar el producto.

Además de los riesgos de costes identificados previamente, se pueden incluir otros
riesgos de costes asociados con los niveles de financiación, las estimaciones de
financiación, y los presupuestos distribuidos.

También se deberían considerar los riesgos asociados con los acuerdos de servicio,
tales como las dependencias de suministro, los procesos del cliente, y los niveles de
servicio no realistas.

Los riesgos de plazos pueden incluir los riesgos asociados con las actividades
planificadas, los eventos clave, y los hitos.

342 Gestión de Riesgos (RSKM)