Análisis probabilístico para la estimación del riesgo
en proyectos de software
Leonardo Maggini 1, Cristian Bossolasco 2
Universidad Abierta Interamericana
Buenos Aires, Argentina
1
leonardo.maggini@gmail.com
2
cristian.bossolasco@gmail.com
Abstract— El análisis probabilístico consiste en calcular
estimadores de tendencia central y de dispersión para una
determinada variable aleatoria de un proyecto de software a
través de su función de distribución de probabilidades. Es por lo
tanto, una herramienta de gran aplicación en el análisis
cuantitativo del riesgo de un proyecto. Este trabajo presenta una
introducción al análisis de riesgo y un resumen de las técnicas
comúnmente utilizadas en el análisis cuantitativo de los mismos.
I. INTRODUCCIÓN
En su libro sobre Ingeniería del Software, Roger S.
Pressman [1], presenta algunas consideraciones sobre lo que
es el análisis y gestión del riesgo en un proyecto de software:
El análisis y la administración del riesgo son acciones que
ayudan al equipo de software a entender y manejar la
incertidumbre. Muchos problemas pueden plagar un proyecto
de software: Un riesgo es un problema potencial. Puede
ocurrir, o no, pero cualquiera sea el resultado, es una buena
idea contemplarlo, valorar su probabilidad de ocurrencia,
estimar su impacto y establecer un plan de contingencia para
el caso de que el problema realmente ocurra.
Este artículo contiene una descripción de los conceptos y
estrategias comúnmente utilizadas en el análisis y gestión del
riesgo, y las herramientas matemáticas que se utilizan para su
estimación cuantitativa.
II. RIESGOS DE SOFTWARE
Existe un acuerdo general en que los riesgos siempre
involucran dos características; incertidumbre (el riesgo puede
o no ocurrir, por cuanto no hay riesgos 100% probables), y
pérdida (si el riesgo finalmente se vuelve realidad, ocurrirán
pérdidas no deseadas). De allí la importancia de cuantificar
adecuadamente el grado de incertidumbre y pérdida que se
asocian a los riesgos.
Así, se pueden definir distintas categorías de riesgo:
 Riesgos del proyecto
 Riesgos técnicos
 Riesgos de negocio
Riesgos del proyecto: Amenazan el plan del proyecto.
Riesgos técnicos: Amenazan la calidad del software.
Riesgos de negocio: Amenazan la viabilidad del software.
La clasificación de los riesgos no siempre funciona, ya que
algunos son impredecibles, de allí que se tienen riesgos
predecibles y riesgos impredecibles.
 Riesgos predecibles son aquellos que se pueden
identificar en base a la experiencia en proyectos
anteriores.
 Riesgos impredecibles son aquellos que pueden, y de
hecho ocurren, durante el desarrollo de un proyecto,
y por lo general son difíciles de identificar.
III. IDENTIFICACIÓN DE RIESGOS
Se trata de identificar y especificar las amenazas al plan del
proyecto. Este es un proceso iterativo ya que pueden ir
descubriéndose nuevos riesgos a medida que el proyecto
evoluciona.
Es un criterio proactivo que intenta identificar posibles
factores de riesgo y tomar medidas de aseguramiento o planes
de contingencia para contrarrestarlos a ellos y a sus efectos.
Existen métodos para identificar riesgos uno de ellos es el
de crear una lista de verificación de riesgos.
Con esta lista podemos identificar riesgos y enfocarnos en
algún subconjunto de riesgos que sean conocidos y
predecibles.
Ejemplo:
Tamaño del producto
Impacto del negocio
Características del cliente
Definición del proceso
Entorno de desarrollo
Tecnología que construir
Conocimientos y Experiencia del equipo de
desarrollo
El administrador del proyecto da un primer paso para
evitarlos cuando es posible y a controlarlos cuando es
necesario.
Se han identificado dos tipos de riesgos:
Riesgos genéricos: Amenaza potencial para el proyecto
de software.
Riesgos específicos: Se los puede identificar teniendo un
claro conocimiento de la tecnología, el personal.
 Componentes y controladores del riesgo TABLA 1
TABLA DE GESTIÓN DE RIESGOS
Es otro criterio, que ha desarrollado la Fuerza Aérea
Riesgo Categoría Probabilidad Impacto
Estadounidense [1] en la que se identifica cuatro componentes
a tener en cuenta para la estimación del riesgo en desarrollo de Tamaño estimado demasiado Proyecto 40% 2
pequeño
software y son: Mayor número de usuario de lo Proyecto 30% 3
Riesgo de desempeño: es el que permite medir el grado de planificado
incertidumbre de que el producto satisfaga los requisitos. Cliente cambia los Proyecto 80% 2
Riesgo de costo: permite medir el grado de incertidumbre requerimientos
sobre el presupuesto del proyecto. Falta de experiencia en Entorno 80% 3
herramientas
Riesgo de soporte: mide el grado de incertidumbre de que el
Rotación de personal demasiada Equipo 60% 2
software resulte fácil de corregir, adaptar y mejorar. alta
Riesgo de calendarización: permite tener un grado de
incertidumbre de que el producto se entregue a tiempo. La probabilidad del riesgo puede determinarse al hacer
estimaciones individuales y luego desarrollar un solo valor de
consenso. Aunque este enfoque es posible, se han desarrollado
IV. PROYECCIÓN DEL RIESGO técnicas más sofisticadas para determinar la probabilidad del
riesgo [3]. Los factores de riesgo pueden valorarse sobre una
Lo que se intenta con la proyección del riesgo es hacer una escala de probabilidad cualitativa que tenga los siguientes
medición de los riesgos en función de la probabilidad o valores: imposible, improbable, probable y frecuente.
posibilidad de que el riesgo sea real o llegara a ocurrir y así Puede entonces asociarse probabilidad matemática con cada
como también las consecuencias que causaría al momento de valor cualitativo, así una probabilidad de 0.7 a 0.99, por
que ocurriese el imprevisto ejemplo, implica un riesgo enormemente probable.
Para la proyección del riesgo se realizan cuatro pasos: El uso del cálculo de estimadores de tendencia central y de
dispersión de las variables aleatorias de un proyecto se conoce
1. Establecer una escala que refleje la posibilidad como análisis probabilístico y consiste en analizar el riesgo a
percibida de un riesgo. través de su función de distribución de probabilidades.
2. Definir las consecuencias del riesgo.
3. Estimar el impacto del riesgo en el proyecto y el
producto. V. BREVE REPASO DE PROBABILIDADES
4. Tener una exactitud general en la proyección del
riesgo para así evitar confusiones. Si se tiene una variable aleatoria continua llamada X, con
Estos pasos van a permitir establecer prioridades. función densidad f(X), entonces su valor esperado o esperanza
Desarrollo de una tabla de riesgos es[4]:

Ofrece al administrador del proyecto una técnica simple para ( ) ∫ ( )

la proyección de riesgos. Con X variando en todo su espacio muestral. Si X es
La construcción de esta tabla se comienza listando todos discreta entonces:
los riesgos sin importar cuán remotos sean.
Realizar una clasificación de cada uno de los riesgos. ( ) ∑ ( )
Determinar la probabilidad de ocurrencia.
Establecer y valorar el impacto que tendrá cada riesgo, así
como establecer categorías de impacto, las cuales son: Donde la varianza de una distribución de probabilidad se
1 - Catastrófico calcula:
2 - Crítico
3 - Marginal ∑[ ( )] ( )
4 - Despreciable
Se ordenan de acuerdo a la probabilidad y al impacto,
quedando los de más alta valoración en la cima de la tabla. Donde = i-ésimo resultado de la variable aleatoria
Se establece una línea de corte a partir de la cual se discreta X y P( )= probabilidad del i-ésimo resultado de X
establece que eventos serán de verdadera atención y control.
Se establece un plan RSGR que es un Plan de Y su desviación estándar es:
Reducción, Supervisión y gestión de riesgo.
√∑[ ( )] ( )
 En el análisis de la distribución de la variable aleatoria de
un proyecto, es fundamental el Teorema central del límite, que
plantea:
“Si una variable aleatoria X puede ser expresada como la
suma de n variables aleatorias independientes, entonces para
un n grande, la variabla aleatoria X sigue aproximadamente
una distribución normal”.(Joiron, 2004)
VI. VALORACIÓN DE IMPACTO DE RIESGO
Regresando una vez más al enfoque de análisis de riesgos
propuestos por la Fuerza aérea norteamericana [3], pueden
aplicarse los siguientes pasos para determinar el impacto
global de un riesgo.
 Determinar la probabilidad promedio de
ocurrencia para cada componente de riesgo.
 Completar la tabla de riesgos (TABLA 1) y
analizar los resultados.
A esto se lo conoce como exposición al riesgo global, ER, y
se determina usando la siguiente relación:
Donde P es la probabilidad de ocurrencia para un riesgo dado
y C es el costo (en $) para el proyecto si ocurre el riesgo.
VII. CUANTIFICACIÓN DE LOS RIESGOS
Para cuantificar la incertidumbre de los riesgos
identificados, se utiliza la construcción de modelos y
simulación como herramientas de análisis. La función de
distribución de probabilidad de cada una de las variables
identificadas se determina a partir de la experiencia y
conocimiento del equipo de trabajo, generalmente usando
datos de proyectos de características similares desarrollados
anteriormente (es decir, se utiliza información estadística para
determinar el comportamiento esperado de una determinada
variable aleatoria).
Por ejemplo, tomando la fecha de finalización del proyecto
como una de las variables aleatorias de salida cuya
probabilidad de terminar en un determinado momento desea
estimarse, podemos obtener un histograma, resultado del
proceso de simulación, que nos permitirá establecer con un
determinado nivel de confianza, los valores que podrán ser
alcanzados por la variable(probabilidad de ocurrencia
asociada al valor) luego por medio de la función de
acumulación, se puede determinar cuál es la probabilidad de
ocurrencia de terminar en una determinada fecha.
Fecha de terminacion del proyecto
1,2
Probabilidad de ocurrencia
1
0,8
0,6
0,4
0,2
0
VIII. CONCLUSIONES
El tiempo que se emplea en identificar, analizar y
administrar el riesgo reduce la probabilidad de ocurrencia de
los mismos a la vez que permite mayor capacidad de
monitorear y controlar el proyecto ante problemas que se
puedan presentar durante la ejecución.
La estimación usando rangos en vez de valores puntuales es
una tarea que se realiza diariamente en todos los ámbitos de la
vida. Estos reflejan que existe un conocimiento más acabado
de la realidad.
Un plan de administración de riesgos realista reconoce la
incertidumbre y el riesgo como variables que se expresan
mejor como rangos de valores más que estimadores puntuales.
Un plan determinístico asigna puntos de estimación únicos
para la compleción de cada tarea, desconociendo las
componentes de incertidumbre inherentes a todo plan. [5]
Los estimadores calculados como rangos pueden ser aplicados
a cualquier elemento dentro del proyecto (duración del
proyecto, costos, asignación de recursos, recursos humanos)
REFERENCIAS
[1] R. S. Pressman, “Ingeniería de Software, un enfoque práctico, séptima
edición”, McGraw Hill, 2010, p. 640-654.
[2] Cumbicos Fernando, Cuenca Macas Luis “Gestión del Riesgo”,
Escuela de ciencias de computación, UTPL
[3] Software Risk Abatement, AFCS/ AFLC Pamphlet 800-845, U.S. Air
Force, 1988
[4] David Levine, Timothy Krehbiel, Mark Berenson, “Estadística para
admnistración”, cuarta edición Pearson, Prentice Hall, 2006, p. 155-
157
[5] ORACLE, “The benefits of Risk Assessment for projects, portfolios
and bussinesses, 2009