PLAN DE GESTION DE LOS RIESGOS - PLATAFORMA INFORMÁTICA PARA

LA GESTIÓN Y RESOLUCIÓN DE CASOS DE LA PGN

DANIEL ANDRÉS BARRAZA PINILLA

YENNY ALEXANDRA CIFUENTES RODRÍGUEZ
TOMAS DAVID CASTILLO PRIETO

UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD DE CIENCIAS SOCIALES Y EMPRESARIALES
ESPECIALIZACIÓN EN GERENCIA DE PROYECTOS
BOGOTÁ D.C. SEGUNDO SEMESTRE - 2019
 Introducción

Mediante el siguiente informe se presentará el Plan de la Gestión de Riesgos para

la Implementación de la Plataforma Informática de Gestión de Incidentes de la
Procuraduría General de la Nación, de acuerdo a los lineamientos propuestos por
el PMI.
Para su elaboración se tendrá en cuenta la plantilla propuesta por el docente la cual
contiene todos los componentes recomendados para hacer el análisis de riesgos.
1.Presentación
La mesa de servicios de la Procuraduría General de la Nación se encuentra en un
estado de abstinencia al cambio por parte de los funcionarios ya que continúa con
el uso excesivo de papel para realizar la gran mayoría de los trámites. El presente
proyecto consiste en implementar un software para la Procuraduría General de la
Nación con el fin de optimizar la gestión de casos que llegan a la mesa de servicios
reduciendo al mínimo el uso del papel utilizando medios virtuales, llevando así un
control y seguimiento de los casos y mejorando la satisfacción de los usuarios con
respecto al servicio prestado.
El poder centralizar mediante una plataforma tecnología todas las solicitudes de los
usuarios permite que tengamos unos reportes con estadísticas confiables que
ayuden a diseñar unas métricas que garantizaran tiempos óptimos de respuesta de
acuerdo a los requerimientos, también ayudaran a determinar la productividad de
los asesores.
2. Acta de Constitución y EDT/WBS
2.1. Acta de constitución.
1. Descripción del proyecto (Qué, Quién, Cómo, Cuando y Donde)
Mediante este proyecto el área de TI de la Procuraduría General de la Nación (PGN) implementara un
Software para la creación y gestión de los incidentes, requerimiento o problemas que reporta el cliente
interno de la entidad, con base a la información estadística que proveerá el software se crearan unas
métricas que permitirán la medición de la correcta gestión de los casos, también se implementara un
árbol de categorización para estandarizar las soluciones de las causas raíz de los incidentes,
requerimientos o problemas reportados. Este proyecto se llevará a cabo en la mesa de ayuda de la PGN
seccional Bogotá ubicada en Cra. 5 #15-80. El proyecto se ejecutará desde diciembre de 2018 hasta
diciembre 2019.
2. Objetivos del proyecto
(Principalmente en términos de costo, tiempo, alcance y calidad)
Concepto Objetivos Métrica Indicador de éxito
a) Implementación del Implementación de un Satisfacción del
1. Alcance
software para usuario.
software para generar
seguimiento de casos
reportes incidentes y
requerimientos.
b) Documento de
diseño de árbol de
categorización
para los incidentes,
 requerimientos y
problemas,
parametrización
por parte del
proveedor en el
software.
c) Diseño e
implementación de
ANS.
d) Este proyecto se
ejecutará en la
PNG.
e) Diseño e
implementación de
Encuestas de
satisfacción.
La duración de este proyecto es Ejecutar las actividades Capacidad de
2. Tiempo
de Diciembre de 2018 hasta de acuerdo al anticipación al
Diciembre de 2019. cronograma cambio
establecido
El proyecto no puede superar el Elegir el software Aprobación de la
3. Costo
presupuesto estimado de adecuado que cumpla implementación
$255.684.725 los requisitos
Mejorar la calidad del servicio Capacitar a los agentes Experiencia del
4. Calidad
en servicio al cliente cliente
Mejorar el ISC Encuesta de Indicadores de
5. Satisfacció
Satisfacción satisfacción
n del positivos
cliente

3. Definición de requerimientos del proyecto

(Productos entregables intermedios o finales que se generar cada fase del proyecto)
Involucrado Necesidades, deseos, expectativas Entregable del proyecto
Mejora en los procesos de atención de cliente Presupuesto para el
Jefe de la Entidad interno, centralización de la información. proyecto.
Mejora en los procesos de atención de cliente Aprobación de la
Jefe de la Oficina interno, centralización de la información. implementación
 Poder medir los empleados a su cargo, mejorar la Cronograma de actividades
Coordinador de experiencia del cliente interno.
Área
Supervisores Poder medir los empleados a su cargo, Actas de seguimiento
mejorar la experiencia del cliente interno.
Poder garantizar la optimización de los
recursos.
4. Cronograma preliminar del proyecto

Figura 1. Cronograma
Fuente: Los autores
5. Hitos del proyecto
Hito Fecha del hito
Inicio del proyecto 2/12/2018
Inicio modelo a implementar 15/06/2019
Inicio de pruebas del software 10/09/2019
Software en producción 10/10/2019
Evaluación de puesta en marcha 2/12/2019
6. Riesgos de alto nivel
a) Abandono temporal de algún miembro del equipo de trabajo

b) Diferencias y/o conflictos entre los miembros del equipo de trabajo

c) Personal no capacitado

d) Daño de equipos de cómputo actuales

e) Trabajos No programados

f) Recortes de personal
 g) Proveedores no fiables
7. Presupuesto preliminar
Concepto Monto ($)
1. Personal $ 95.694.429
2. Materiales $163.824.000
3. Maquinaria $
4. Otros $ 36.176.000
5. Reserva de contingencia $10.000.000
Total Línea Base $305.694.430
6. Reserva de gestión $10.000.000
Total Presupuesto $ 315.694.430
8. Lista de interesados (stakeholders)
Clasificación
Nombre Rol
Interno / Externo Apoyo / Neutral / Opositor
Funcionarios de la Empleados Interno Neutral
PNG

Procurador General Jefe de la Entidad Interno Apoyo

Ingeniero 1 Jefe de oficina Interno Apoyo

Ingeniero 2 Coordinador Interno Apoyo

Ingeniero 3 Supervisor Interno Apoyo

Ingeniero 4 Supervisor Interno Apoyo

9. Niveles de autoridad
Área de autoridad Descripción del nivel de autoridad
Decisiones de personal (Staffing) Gerente de proyecto

Gestión de presupuesto y de sus variaciones Gerente General

Decisiones técnicas Gerente de Proyecto

Resolución de conflictos Gerente General

Ruta de escalamiento y limitaciones de autoridad Organigrama

10. Designación del director de proyecto

Nombre YENNY CIFUENTES NIVEL DE AUTORIDAD
Reporta a DANIEL BARRAZA TIENE AUTONOMÍA PARCIAL EN LAS
Supervisa a TOMAS CASTILLO DECISIONES DEL PROYECTO
11. Sponsor
Nombre DANIEL BARRAZA
Fuente: El autor.

2.2. EDT

3. Plan de gestión de los riesgos (de acuerdo con los entregables específicos
definidos en los parámetros para el trabajo final)
 Evaluación del contexto.
Facilitar y optimizar el servicio prestado en términos de:
- Satisfacción al cliente
- Mejores practicas
- Lograr un único punto de contacto para los servicios.
- Seguimiento y control de casos recurrentes.
- Mitigar posibles riesgos.
 Metodología de gestión de riesgos.
Por medio de antivirus, firewall y filtros de seguridad se puede proteger a los
sistemas de información utilizados actualmente para conservar la seguridad de
la información y mitigar los riesgos de hacking y otras amenazas.
La gestión de riesgo es la selección e implementación de salvaguardar para
conocer, prevenir, impedir, reducir o controlar todos los riesgos que han sido
identificados.
1.Contexto estratégico: Son las condiciones internas y del entorno, que
pueden generar eventos que originan oportunidades o afectan negativamente el
cumplimiento de la misión y objetivos de una institución. Las situaciones del
entorno o externas pueden ser de carácter social, cultural, económico,
tecnológico, político, ambiental y legal, bien sea internacional, nacional o
regional según sea el caso de análisis. Las situaciones internas están
relacionadas con la estructura, cultura organizacional, el modelo de operación,
el cumplimiento de los Planes, Programas y Proyectos, los sistemas de
información, los procesos y procedimientos y los recursos humanos y
económicos con los que cuenta una entidad, entre otros.
2.identificacion de riesgos: La identificación de los riesgos se realiza a nivel
del Componente de Direccionamiento Estratégico, identificando las causas con
base en los factores internos o externos a la entidad, que pueden ocasionar
riesgos que afecten el logro de los objetivos.
La identificación implica hacer un inventario de los riesgos, definiendo en primera
instancia sus causas con base en los factores de riesgo internos y externos
(contexto estratégico), presentando una descripción de cada uno de estos y
finalmente definiendo los posibles efectos (consecuencias).
3.Analisis y valoración del riesgo: El análisis del riesgo busca establecer la
probabilidad de ocurrencia del mismo y sus consecuencias; éste último aspecto
puede orientar la clasificación del riesgo con el fin de obtener información para
establecer el nivel de riesgo y las acciones que se van a implementar.
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos
identificados: Probabilidad e Impacto.
Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede
ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo:
número de veces en un tiempo determinado), o de Factibilidad teniendo en
cuenta la presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado.
Por Impacto se entienden las consecuencias que puede ocasionar a la
organización la materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes
aspectos: Calificación del riesgo y Evaluación del riesgo:

Calificación del riesgo: se logra a través de la estimación de la probabilidad de

su ocurrencia y el impacto que puede causar la materialización del riesgo.
Evaluación del Riesgo: permite comparar los resultados de la calificación del
riesgo, con los criterios definidos para establecer el grado de exposición de la
entidad al mismo; de esta forma es posible distinguir entre los riesgos
aceptables, tolerables, moderados, importantes o inaceptables y fijar las
prioridades de las acciones requeridas para su tratamiento.
4.Valoracion del riesgo: La valoración del riesgo es el producto de confrontar
los resultados de la evaluación del riesgo con los controles identificados, esto se
hace con el objetivo de establecer prioridades para su manejo y para la fijación
 de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre
los puntos de control existentes en los diferentes procesos, los cuales permiten
obtener información para efectos de tomar decisiones.

https://www.procuraduria.gov.co/portal/media/file/MAPA_DE_RIESGOS_DE_G
ESTION_2017_V_2.pdf
 Roles y responsabilidades de gestión de riesgos.

DEFINICIÓN DE LOS COMPONENTES

Posibilidad de ocurrencia de aquella situación que pueda
RIESGO entorpecer el normal desarrollo de las funciones de la
entidad y le impidan el logro de sus objetivos en cualquier
momento. Pueden ser externos e internos.
DESCRIPCIÓN Se refiere a las características generales o las formas en
DEL RIESGO que se observa o manifiesta el riesgo identificado.
QUE
GENERA EL Es la descripción de la consecuencia que me genera el
RIESGO riesgo al no mitigarlo.
Jefe de la entidad o sponsor: Proporciona los recursos necesarios para poder
implementar las acciones dentro del proceso de gestión de riesgos del proyecto,
supervisar al director del proyecto o jefe de dependencia en este caso para
definir los criterios a nivel de los objetivos del proyecto evaluando riesgos y
acciones a tomar.
Director del proyecto o jefe de dependencia: Planifica y ejecuta la gestión de los
riesgos, definir los roles y asignarlos a las personas implicadas, dirigir y seguir
el proceso aprobado paras la gestión de los riesgos, integrar la gestión de
riesgos dentro del plan de trabajo, resolución de conflictos para no afectar la
continuidad del servicio.
Gerente de proyectos: líder en los procesos de identificación y gestión de
riesgos, dar soporte a los miembros del equipo del proyecto implicados en la
gestión del riesgo, llevar le registro de riesgos y gestionar los recursos y el
presupuesto asignado a la gestión de riesgos.
Supervisor: Ayuda en la definición de las acciones a tomar frente al riesgo,
implementar y controlar las acciones definidas para el riesgo, evaluar y reportar
la evolución de las acciones y el riesgo a lo largo del proyecto.
Especialista: Aportar conocimiento y experiencia para soportar la identificación
y evaluación del riesgo en su área de conocimiento, dar soporte y participar en
la implementación de acciones para mitigar le riesgo.
 Usuarios o funcionarios: Aunque no participan directamente en el proyecto
pueden identificar otros riegos no contemplados según su punto de vista.
Proveedor: Aportar la base de conocimiento en eventos ocurridos anteriormente
en otros proyectos.
 Estructura de desglose de riesgos (categorías).

Proyecto

Externo Organizacional Dirección de

Técnico
proyectos

Obsolescencia Proveedores Falta de Planificación

de equipos recursos
Estudio de Estimación
Capacidad del mercado Priorización en
servidor
otros proyectos Control
Ley de Garantías
Compatibilidad Comunicación
No aprobación
de la plataforma

https://slideplayer.es/slide/1068346/
 Definición de los estados de riesgos que se usarán en el proceso.
Bajo: No afecta la continuidad del servicio puede seguir laborando normal.
Seguimiento por parte de los supervisores
 Moderado: Afecta la labor parcialmente mas no la continuidad del servicio.
Seguimiento del gerente de proyectos
Alto: Genera un gran impacto en las actividades del usuario, afecta la
continuidad del servicio. Seguimiento por parte del jefe de dependencia
Extremo: Importante impacto en la entidad no hay servicio. Seguimiento por
parte del jefe de la entidad.
 Tolerancia y actitud de los interesados hacia el riesgo.
la actitud frente al riesgo de una persona u organización, está en función de esos
tres factores (apetito, tolerancia y umbral), a partir de lo cual cada persona u
organización selecciona respuestas o toma actitudes diferentes al riesgo. En
cierta forma la actitud hacia el riesgo de una empresa depende también del
sector en donde se desempeñe, de su madurez, del mercado en el que opera y
de la actitud hacia el riesgo de las personas que componen el cuerpo directivo.
Apetito de riesgo, que es el grado de incertidumbre que una entidad está
dispuesta a aceptar, con miras a una recompensa, en este proyecto se evidencia
el apetito de riesgo ya que si no se utiliza el presupuesto dado por el estado en
el tiempo establecido este se ira para otros proyectos de otras dependencias.
Tolerancia al riesgo, que es el grado, cantidad o volumen de riesgo que podrá
resistir una organización o individuo. Para el proyecto actual se ven los limitantes
que se proponen en las fichas técnicas para evitar proveedores de baja calidad.
Umbral de riesgo, que se refiere a la medida del nivel de incertidumbre o el nivel
de impacto en el que un interesado pueda tener particular interés. Por debajo de
ese umbral de riesgo, la organización aceptará el riesgo. Por encima de ese
umbral de riesgo, la organización no tolerará el riesgo, para el proyecto se
identifica la competencia de los proveedores al generar ciertos descuentos para
poder ganar la licitación sin embargo hay un umbral en el cual ambas partes no
pueden ceder.

https://articulospm.files.wordpress.com/2014/10/la-actitud-frente-al-riesgo.pdf
 Definiciones de impacto de los riesgos.
Las categorías a definir con el impacto son:
Insignificante Remota, riesgo que puede tener un pequeño o nulo efecto en la
entidad
Moderado inusual, daño que se puede corregir en un corto tiempo y no afecta la
continuidad del servicio
 Seria: Posible, causaría una pérdida importante, problemas operativos, afecta
el tiempo de trabajo
Grave Probable, Grave Daño en elemento de trabajo, pérdida de tiempo
significativa mientras se logra reparar o reemplazar el elemento.
Catastrófico Recurrente, influye en la continuidad del servicio, perdida de datos,
afecta otros servicios de la organización.

https://prezi.com/jehryi4ul7uv/analisis-impacto-y-probabilidad-de-riesgo-lhol/
 Definición de la evaluación cualitativa de probabilidad y urgencia.

El análisis cualitativo de riesgos incluye los métodos para priorizar los riesgos
identificados. Así como para realizar otras acciones, como el análisis cuantitativo de
riesgos o planificación de la respuesta a los riesgos. De este modo, las
organizaciones pueden mejorar el rendimiento del Proyecto de manera efectiva.
Pudiendo así, centrándose en los riesgos de alta prioridad.

El análisis cualitativo requiere datos exactos. Esto implica, examinar el grado de

entendimiento del riesgo y la exactitud. Así como la fiabilidad e integridad de los
datos relacionados con el riesgo.

https://www.gladysgbegnedji.com/realizar-el-analisis-cualitativo-de-riesgos/

 Matrices de evaluación (mapas de calor).

PROBABILIDA Insignificant Moderad Seria Grave Catastrófic
D e o o
BAJO BAJO MODER ALTO ALTO
Remota
ADO
BAJO BAJO MODER ALTO EXTREMO
Inusual
ADO
BAJO MODERA ALTO EXTRE EXTREMO
Posible
DO MO
MODERADO ALTO ALTO EXTRE EXTREMO
Probable
MO
ALTO ALTO EXTRE EXTRE EXTREMO
Recurrente
MO MO
 http://aplicaciondeseguridadinformatica.blogspot.com/2011/08/b-clasificacion-
de-los-principales.html
 Calendario de gestión de riesgos.
PROCESO EJECUCION PERIODICIDAD FECHA
Planificación de Al inicio del Plan del proyecto Una vez
gestión de proyecto
riesgos
Identificación de Al inicio del Plan del proyecto Semanal
riesgos proyecto
Reunión con altos
En cada reunión directivos
con el equipo del
proyecto
Análisis Al inicio del Plan del proyecto Semanal
cualitativo proyecto
Reunión altos
Reuniones con el directivos
equipo del
proyecto
Planificar Al inicio del Plan del proyecto Semanal
respuesta a proyecto
Reunión altos
riesgos
Reuniones con el directivos
equipo de trabajo
Seguimiento y En cada fase del Reunión altos Semanal
control de riesgos proyecto directivos

https://es.slideshare.net/sangablas/riesgos-del-proyecto
 Presupuesto de gestión de riesgos.
Actividad Ocurrencia Presupuesto
Gestión de Obsolescencia 1.000.000.000
riesgos equipos
Capacidad 300.000.000
servidor
Compatibilidad 100.000.000
 Mas 80.000.000
licenciamiento
Repuestos 50.000.000
Back up base de 10.000.000
datos
Total 1.540.000.000

 Formatos de gestión de riesgos.

No poder mantener la disponibilidad de los servicios
Riesgo informáticos de la PGN Referencia

1. Falta presupuesto de inversión y de funcionamiento.

Causa 2. Falta de personal con el perfil requerido.
3. Falta de planeación.
1. No suscribir los contratos que cubran la totalidad de
Consecuen las necesidades de Plataforma Tecnológica.
cia 2. No poder administrar oportunamente los
componentes de la plataforma tecnológica.

Valoración Nivel Prometió del

del del Riesgos - Exposición Riesgo (
Riesgo Riesgo con Residual )
- Controles
(Inhere (Residual)
nte)

Probabilid Impacto Nivel de Riesgo

ad
Severidad:
Riesgos
sin control
Severidad.
Riesgo con
control

Control 1. Legal Referencia

Clav No Estado Presente Eficacia Bueno Cobertur
e a
 Descripció
n Plan estratégico de la entidad.
El PETI. Banco de proyectos de
inversión. Plan anual de
adquisiciones.
Los estudios previos.
El decreto 262 del 2000.
Manual de contratación de la
PGN. Manual de funciones por
competencia. Aprobación
presupuesto Congreso.
Decreto 10/09.
Control 2. Dependencia Referencia
Clav No Estado No Eficacia Bueno Cobertur
e Presente a
Descripció Ficha BPIN.
Cuadro de proyectos anuales.
n Cronograma de planeación a la contratación.
Control 3. Funcionario Referencia
Clav No Estado Presente Eficacia Insatisfacto Cobertur
e rio a
Descripció Ficha BPIN.
n
Cuadro de proyectos anuales.
Cronograma de planeación a la contratación.
https://www.procuraduria.gov.co/portal/media/file/MAPA_DE_RIESGOS_DE_G
ESTION_2017_V_2.pdf

 Trazabilidad de gestión de riesgos.

Hacia atrás En proceso Hacia adelante
Verificación de los Los módulos están Hasta que fecha va el
proveedores funcionando contrato
correctamente
Que software fue el que La renovación es más
se recibió El servidor está en económica para la
óptimas condiciones próxima vigencia
Quien realizó el estudio
previo Se tiene la última Que modificaciones o
actualización liberada mejoras se pueden
Como se hizo el estudio
del software. implementar.
de mercado
Actas o informes de Se cubrirá la demanda
Cumplía con el
seguimiento y control a futuro con las
presupuesto estimado
del contrato licencias actuales
Cumplía los requisitos
estipulados en la ficha
técnica
 Plan de gestión de incidentes.

Los objetivos del modelo son garantizar que:

Definir roles y responsabilidades dentro de la Organización como eje puntual
para evaluar los riesgos y permita mantener la operación, la continuidad y la
disponibilidad del servicio.
Permitir identificar los incidentes para ser evaluados y dar respuesta de la
manera más eficiente y adecuada.
Minimizar los impactos adversos de los incidentes en la organización y sus
operaciones de negocios mediante las salvaguardas adecuadas como parte de
la respuesta a tal incidente.
Consolidar las lecciones aprendidas que dejan los incidentes y su gestión para
aprender rápidamente. Esto tiene como objeto incrementar las oportunidades de
prevenir la ocurrencia de futuros incidentes, mejorar la implementación y el uso
de las salvaguardas y mejorar el esquema global de la gestión de incidentes.
Definir los mecanismos que permitan cuantificar y monitorear los tipos,
volúmenes y costos de los incidentes de, a través de una base de conocimiento
y registro de incidentes y a través de los indicadores del sistema de gestión.
Definir los procedimientos formales de reporte y escalada de los incidentes.
Establecer variables de posible riesgo, en efecto, es la posible valoración de
aspectos sensibles en los sistemas de información.
Detección y análisis.
Contención, erradicación y recuperación.
Actividades Post-Incidente.

https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf
 4. Referencias

Lledo, Pablo. (2017). Administración de Proyectos, El ABC para un Directos de Proyectos Exitoso.
Sexta Edición.

Project Management Institute, Inc. (2017). Guía de los Fundamentos para la Dirección de Proyectos.
Sexta Edición.