Predicción y clasificación del nivel de riesgo en proyectos de sistemas de información
- Alba González-Fanjul, Carlos
- Vicente Rodríguez Montequín Director
- Francisco Ortega Fernández Director
Universidade de defensa: Universidad de Oviedo
Fecha de defensa: 17 de outubro de 2008
- Joaquín Cascón López Presidente/a
- José Valeriano Álvarez Cabal Secretario
- María Teresa Rodríguez Montequín Vogal
- Nicolás de Abajo Martínez Vogal
- Ramiro Concepción Suárez Vogal
Tipo: Tese
Resumo
La mayoría de los estudios realizados con anterioridad coinciden en que la industria del software obtiene productos con gran número de deficiencias y de forma generalizada, con desviaciones en tiempo y coste respecto a lo planificado, Debido principalmente a la ocultación de estos defectos en los proyectos software y a la ausencia en muchos de los casos de intentar aprender del pasado mediante lecciones aprendidas, la evolución o posible mejora es realmente lenta e insuficiente. Conocer, prevenir e intentar mitigar cualquier riesgo al que pueda estar sometido un proyecto software es probablemente, una tarea inabordable, debido principalmente a la enorme cantidad de amenazas y diversas naturalezas de las mismas presentes desde antes del comienzo del proyecto. No obstante lo anterior, la realización de un modelo que permita a los directores de proyectos software conocer los principales riesgos a los que puede estar sometido el proyecto, así como la gravedad de los mismos, desde antes del comienzo del proyecto en función de cierta información básica y en la mayor parte de los casos, disponible, permitiría emplear los pocos recursos normalmente asignados a la gestión de riesgos en los problemas potenciales con mayor probabilidad de ocurrencia teniendo en consideración a su vez la gravedad de los mismos. Una reciente investigación sobre técnicas y procedimientos que la organización debe conocer para predecir el coste que conlleva el desarrollo de un proyecto de sistemas de información fue la tesis presentada en el año 2005 #Estimación de costes y plazos en proyectos de sistemas de información# [Villanueva 2005] en la Universidad de Oviedo. Como línea de investigación derivada de esa tesis, surgió el aspecto del riesgo, que se intenta cubrir en este trabajo. Esta Tesis Doctoral centra sus esfuerzos en la predicción y clasificación de los riesgos a los que estará sometido un proyecto de sistemas de información y cómo pueden afectar los mismos a la calidad del producto obtenido en forma de número de fallos y gravedad de los mismos, sin olvidar en ningún momento las posibles desviaciones en plazo que puedan llegar a tener lugar. La dirección del riesgo en los proyectos software destacaba tradicionalmente por su ausencia, limitándose a acciones correctoras cuando un hecho adverso tenía lugar. La dirección de riesgos en proyectos, y de forma particular, en los proyectos software ha explosionado en los últimos años debido a que los directores de proyecto, y más importante todavía, la alta dirección, se han dado cuenta de que es positivo para las organizaciones invertir dinero a priori intentando evitar que los riesgos se produzcan, dando lugar a acciones preventivas en vez de correctivas. A lo largo de las últimas décadas, el enfoque de la dirección de riesgos ha cambiado también los objetivos. Mientras que se comenzó con un enfoque dirigido exclusivamente a cumplir con la planificación de costes, plazos y calidad, los riesgos derivados de un equipo inexperto, con malas relaciones interpersonales o con falta de comunicación empiezan a verse como riesgos muy importantes, influyendo de forma directa en los resultados del proyecto acorde al resto de factores. La percepción del riesgo y de los criterios de éxito de los proyectos software varían enormemente en función del punto de vista desde el que se mire, bien desde la propia organización y en particular desde el equipo de proyecto, o bien desde el punto de vista del usuario. Un proyecto que cumpla en coste, plazo y calidad con la planificación realizada puede ser considerado exitoso de forma interna mientras que si no cumple con alguno de los requisitos esperados por el cliente, éste verá al proyecto como un auténtico fracaso. De forma inversa, un proyecto que cumpla con todos los requisitos esperados por el cliente, aún significando un sobrecoste o entrega fuera de plazo, será visto a los ojos del usuario final como un éxito. Las técnicas empleadas desde hace tiempo para la dirección del riesgo, en particular para la estimación a la hora de planificar se basan principalmente en el conocimiento experto y modelos de analogías. Técnicas más complejas basadas en datos, modelos probabilísticos o modelos basados en inteligencia artificial son usados desde hace muy poco tiempo, siendo un campo de investigación en auge como reflejan las fechas de una gran parte de los artículos referenciados. Se utiliza para la realización del estudio una base de datos acreditada y ya construida con un elevado número de proyectos muy diversos y distribuidos a escala internacional debido a que conformar una base de datos propia procedente del cierre de proyectos sería una tarea con demasiada duración, inviable para el desarrollo de este trabajo. La utilización de los registros contenidos en esta base de datos no se puede realizar de forma directa, sino que es necesario tener en cuenta la calidad de los mismos y el tipo de proyecto que representan en relación a diversos parámetros, por ejemplo el tamaño y la forma de medirlos. Es necesario comparar proyectos cuyos atributos han sido medidos bajo los mismos criterios y utilizando las mismas métricas. Los modelos a desarrollar están limitados por las características de los proyectos contenidos en la base, especialmente en cuanto a tamaño y tiempos de desarrollo se refiere, si bien este rango es suficientemente amplio para la mayoría de los proyectos desarrollados de forma habitual por las empresas de TI. Para abordar con éxito cualquier trabajo de investigación, se hace imprescindible una metodología que permita seguir unos pasos preestablecidos y garantice las máximas posibilidades de éxito. La metodología adoptada en este trabajo de investigación se basa en la metodología CRISP-DM. Así, el trabajo se ha estructurado en diferentes fases, que marcan las líneas generales de investigación, subdivididas en tareas que constituyen un nivel de abstracción más específico. La metodología tiene en consideración la interacción entre las diferentes fases, de tal forma que se facilite la incorporación progresiva del nuevo conocimiento adquirido a la investigación. El seguimiento de una metodología estructurada facilita además la adaptación de los resultados. El resultado más significativo es que a partir de las variables aquí seleccionadas cuyas relaciones son analizadas, es posible concluir la existencia de un nivel de riesgos en el proyecto, es decir, se identifican los aspectos a controlar en la gestión del riesgo, R=f(xi), independientemente del tipo de función f que posteriormente se aplique. No obstante se completa la aproximación al riesgo determinando posibles funciones que aporten los mejores resultados, desde las regresiones lineales multivariantes hasta casos más complejos que han demostrado su mejor comportamiento. Los modelos aquí desarrollados son generalistas en el sentido de que no se aplican a datos homogéneos y, en consecuencia, se suponen las soluciones generalizables. Los datos proceden de empresas distintas y muy diversas, de campos distintos y de países distintos. Toda esa diversidad impide realizar un modelo aún mejor. La aplicación de estos modelos a una empresa de forma directa seguramente no aportará los mismos resultados, sino peores, aunque siempre mejores que la aproximación general de la experiencia. Las condiciones del entorno, las especificidades de la empresa, los tipos de trabajo desarrollados, etc. son factores que deben ser personalizados. Como los modelos están basados en datos, para su implantación dentro de una determinada organización se debe crear una base de datos local con información propia de la organización o, en su defecto, ir añadiendo a la ya existente los nuevos proyectos para ajustar la información y los modelos al comportamiento de la organización. Los modelos desarrollados se basan en información procedente de históricos de cierres de proyectos y para generar una estimación del número de defectos leves, medios y graves requieren información del principio del proyecto, es decir, se dispone de información limitada. Pero a medida que evoluciona el proyecto se dispondría de información más ajustada que puede hacer que los resultados de los modelos sean más correctos. La información sobre las variables más influyentes en los defectos encontrados como el esfuerzo normalizado o el esfuerzo en la fase de construcción no se conoce de forma precisa en las fases iniciales de un proyecto, pero sí se puede estimar con más precisión a medida que el proyecto avanza, lo que permitirá estimar las salidas de los modelos (defectos leves, medios y graves) de forma más precisa. En todo caso resulta perfectamente aplicable para realizar una estimación del riesgo a partir de las características principales del proyecto y, sobre todo, para realizar análisis de sensibilidad de las distintas variables sobre el resultado final.