El objetivo de la GR es mejorar el rendimiento de la organización del servicio evitando efectos perjudiciales para el servicio acordado y promover mejoras estructurales en el mismo.

Los procesos GCT, CAM, GI y GO son los que se encargan de la interacción con el cliente y dan soporte a la facilidad. La parte interesada de estos procesos es el cliente. El proceso GR tiene como parte interesada al proveedor de servicios y sirve un propósito diferente.

Por tanto, la parte interesada directa de la GR no es el cliente, sino la propia organización de servicios. El objetivo de la GR es optimizar la entrega del servicio. En última instancia, esto también puede redundar en beneficio del cliente, pero sólo el director de la organización de servicios actúa aquí como cliente interno del proceso. Por lo tanto, el cliente externo de la organización de servicios no tiene ningún vínculo directo con la GR, ni siquiera si son un equipo de la misma organización. Aparte de eso, la organización de servicios es, por supuesto, libre de ofrecer al cliente "un vistazo a la cocina", si eso beneficia la relación con el cliente.

Un riesgo es una situación con un efecto determinado que puede ocurrir con cierta probabilidad.

El efecto de un riesgo puede ser tanto positivo como negativo. La GR suele considerarse una actividad para hacer frente a las amenazas, pero se aplica igualmente a las situaciones que pueden provocar una mejora estructural: las innovaciones. Por tanto, la innovación también entra en el ámbito de la GR. Un riesgo en sí mismo no tiene tiempo de no disponibilidad. El tiempo de no disponibilidad es un aspecto de los incidentes que puede asociarse a los riesgos, pero un riesgo sólo puede suscitar incidentes; un riesgo nunca será un incidente.

Por definición, los riesgos nunca se "resuelven" al 100%. El objetivo es aumentar las probabilidades de que se produzca una situación positiva o reducirlas para una situación negativa. Sin embargo, una probabilidad de cero no es realista. Por tanto, siempre hay un riesgo residual, incluso después de que el riesgo se haya "resuelto". La medida en que una organización acepta los riesgos (residuales) se denomina apetito de riesgo.

En la práctica, la gestión del riesgo suele referirse a aspectos de la calidad del servicio como la capacidad, la continuidad, la seguridad, la disponibilidad y, por supuesto, la innovación. En TI, el riesgo suele asociarse a la "gestión de problemas", pero la gestión de riesgos tiene un alcance mucho más amplio. Para hacerlo correctamente, GR analiza continuamente las fuentes internas, que van desde la base de datos de conocimiento integral hasta los registros de supervisión, y las fuentes externas, como las revistas especializadas, los servicios de noticias, la información de los proveedores, los compañeros de otras organizaciones y los servicios públicos.

El término "caso de negocio" desempeña un rol fundamental en la gestión del riesgo. Los riesgos son asuntos internos de  proveedor de servicios. Desde una perspectiva empresarial, los ingresos deben superar los costes.

El proceso GR es un proceso proactivo. En consecuencia, GR no participa activamente en el restablecimiento de los fallos. En el mejor de los casos, la GR puede crear información sobre la mejor resolución de una amenaza en paralelo a las actividades de recuperación de los fallos, determinando la causa raíz y las medidas aplicables para la mitigación del efecto de dicha amenaza.

El proceso GR se centra en mejorar el rendimiento de la entrega de servicios ayudando a mejorar el rendimiento de los demás procesos. Por lo tanto, los requisitos para la GR difieren de los de los demás procesos. Además, los efectos de la GR están fuertemente influenciados por los recursos disponibles y por los casos de negocio de las medidas encontradas. La madurez de la organización, la convicción del valor añadido de los buenos casos empresariales y los recursos disponibles determinan los requisitos de la GR.

6.5.1 Actividades

El proceso GR comprende siete pasos (Figura 6.7):

  1. Identificar los riesgos
  2. Clasificar
  3. Determinar la causa
  4. Seleccionar la medida
  5. Desplegar la medida
  6. Revisar la entrega y retroalimentación
  7. Evaluar y cerrar

Figura 6.7 Las etapas del proceso de RIE

Esta sección ofrece una descripción detallada de las actividades por paso, con la excepción de las actividades y artefactos generales que ya se han descrito en las secciones 5.5 y 5.6.

Identificar los riesgos

Registrar el riesgo. Vincule esto con el servicio y la infraestructura gestionada a la que se refiere el riesgo y posiblemente con otros riesgos que aún se manejan.

A diferencia de las llamadas de otros procesos, todos los empleados de la organización de servicios están autorizados a presentar un riesgo. Un gestor es incluso libre de pedir a los miembros de su equipo que presenten un número mínimo de riesgos al mes como parte de una estrategia de evaluación.

Los riesgos no sólo se esperan, también se "buscan" activamente. Esto significa que, en este primer paso, una organización de servicios re-examina periódicamente los riesgos existentes (búsqueda de riesgos), examina las áreas potencialmente vulnerables de la prestación de servicios en busca de nuevas amenazas y examina los sectores potencialmente prometedores en busca de oportunidades de mejora con innovaciones (inventarios de riesgos). Por ello, se buscan oportunidades de mejora en los datos internos de rendimiento del servicio (datos de seguimiento, datos de incidentes, etc.) pero también se exploran todo tipo de fuentes externas (bibliografía, conferencias, medios sociales, etc.). Estos escaneos e inventarios tienen en cuenta la importancia de las partes de la prestación de servicios. Esto significa un rol clave para el aseguramiento de componentes cruciales y para el potencial de innovación. Todos los riesgos se gestionan en función de la liberación.

Registre al solicitante (la persona que ha detectado y presentado el riesgo) para recibir posteriormente información sobre su gestión.

Utilice los siguientes artefactos en este paso:

  • un formulario de riesgo para informar de un riesgo
  • una base de datos RIE: el registro de todos los riesgos y documentos asociados
  • un análisis de riesgos: un análisis de un riesgo para determinar el impacto del riesgo y la probabilidad de que se produzca.
  • flujo de trabajo tipo 6, 7 y 8

Clasificar

Clasificar y priorizar el riesgo.

Este paso incluye las siguientes actividades:

  • Clasificar la llamada según las normas estándar.
  • Priorizar la llamada según las normas estándar.

La gestión proactiva de los riesgos la realizan los mismos operadores que la gestión de los otros procesos más reactivos del modelo de procesos de USM. Por tanto, la asignación de recursos a la gestión de riesgos compite con la asignación de recursos a las demás tareas de gestión. Para permitir la priorización de las tareas para esos operadores, se aplican a la GR las mismas reglas de impacto, urgencia y priorización.

Una organización reactiva tendrá menos probabilidades de asignar recursos a la GR.

Los conceptos de impacto y urgencia tienen lógicamente un carácter proactivo en el proceso de GR proactivo: al fin y al cabo, un riesgo es por definición sólo un impacto potencial. Un riesgo indica una causa y no un efecto (el incidente o la mejora que puede resultar de esa causa).

El impacto de un riesgo también se denomina en términos de gestión de riesgos por el factor efecto (consecuencia, 'gravedad'). La urgencia de un deseo, cambio, incidente o solicitud de servicio se traduce en el factor "probabilidad de que se produzca el efecto" o probabilidad. Por analogía: cuanto mayor sea la probabilidad del efecto, mayor será la urgencia.

En la GR, la tabla de prioridades (cuadro 5.5) adopta la forma de una matriz de riesgo, un "mapa de calor" (cuadro 6.1). Las clases de efecto y probabilidad conducen a una prioridad de forma muy similar a la de los otros procesos de USM, pero ahora con los factores efecto y probabilidad.

Prioridad Efecto
 

Probabilidad

 

 

GrandeMedianoPequeñoNulo
Alta  BajaCríticaAltaMediaBaja
MediaAltaMediaBajaMínima
BajaMediaBajaMínimaAlguna vez

Cuadro 6.1 Matriz de riesgos (mapa de calor): el cuadro de prioridades de los riesgos

Las clases de prioridad se determinan ahora por la probabilidad de que se produzca el efecto, de acuerdo con la tabla de clases de prioridad (cuadro 5.5). Una probabilidad es entonces un número entre 0 y 1.

Ejemplo. Por ejemplo, 'alta' puede ser de 0,8 a 1,0, y 'baja' <0,1. El efecto suele expresarse en términos de daños o beneficios, cuantificados en euros. "Grande" es entonces, por ejemplo (según la organización), una cantidad >100.000 euros, y "pequeño" una cantidad <1.000 euros.

 

Existen diferentes técnicas para determinar el efecto (potencial), en el sentido de las partes más vulnerables del servicio. Un enfoque frecuentemente utilizado es el siguiente:

  • Utilizar un análisis de impacto en el negocio para determinar el impacto en caso de fallo del servicio y la velocidad a la que se manifiesta el daño. La combinación de estos factores determina los sistemas más vulnerables.
  • Determinar el perfil de riesgo de la organización con un análisis de dependencias y vulnerabilidades, especificando los tipos de amenazas a los que se enfrenta la organización (sólo riesgos negativos).
  • Cuantificar los riesgos identificados mediante la combinación de probabilidad y efecto, en una matriz de riesgos.

Este enfoque se aplica no sólo a las amenazas, sino también a las oportunidades de mejora que dan lugar a innovaciones. Al expresar la evaluación de una amenaza en la misma escala que la evaluación de una oportunidad de mejora, la organización puede hacer una evaluación inequívoca de los intereses del cliente. De este modo, la organización da contenido a un enfoque orientado al cliente con la USM.

El efecto puede expresarse en múltiples dimensiones. Un proveedor de servicios evalúa estas dimensiones de forma diferente, por ejemplo, en función de los factores de coste, tiempo, reputación y calidad. La combinación de estos factores en una única ponderación suele ser una tarea local: cada proveedor de servicios decide por sí misma cómo pondera los factores evaluados. Por lo tanto, al priorizar los riesgos, un proveedor de servicios hace su propia elección del peso de los factores.

En este paso se utilizan los siguientes artefactos

  • un esquema de categorización
  • una matriz de riesgos (mapa de calor, tabla de prioridades) basada en la probabilidad y el efecto

Determinar la causa

Para mitigar o fomentar un riesgo, primero hay que determinar la causa. Existen muchas técnicas para determinar las causas (análisis de la causa raíz, ACR):

  • Análisis cronológico: la lógica de la "cadena de acontecimientos" conduce a la visión que se busca.
  • Kepner-Tregoe: análisis paso a paso de los problemas.
  • Lluvia de ideas: discusión del problema por un grupo de expertos.
  • 5-Whys: repetición de la pregunta "cómo" o "por qué" hacia la causa subyacente.
  • Aislamiento de fallos: eliminación de posibles fuentes en la reproducción del efecto hasta el aislamiento del factor causante.
  • Mapeo de afinidades: ordenar los efectos, las preguntas y las ideas para conocer mejor la causa.
  • Pruebas de hipótesis: comprobación de las posibles causas para encontrar una coincidencia.
  • Seguimiento: atención a las situaciones en las que se produce el efecto, durante un periodo de tiempo más largo.
  • Diagramas de Ishikawa: reproducción estructurada del riesgo para profundizar en la causa (también llamado "diagrama de causa y efecto" (C&E); "diagrama de espina de pescado", véase la figura 6.8).
  • Análisis de Pareto: separación de los factores que contribuyen al riesgo según la regla del 80/20.

En cuanto se determina la causa de un riesgo negativo, su estado cambia a error conocido.

Seleccione la medida

En caso de amenaza: identificar las posibles medidas para reducir el efecto del riesgo, una vez identificada la causa. Limitar ese efecto se llama mitigar. En caso de una innovación, buscar las posibilidades de fomentar (estimular) el efecto previsto.

Para la mayoría de los riesgos, se pueden idear varias medidas, con diferentes efectos, probabilidades de ese efecto y costes. Algunas medidas son posibles en teoría, pero en la práctica las normas y directrices, la aceptabilidad o la alineación con la cultura, a veces bloquean el despliegue.

La medida seleccionada no tiene que resolver completamente el riesgo, en términos de reducir la probabilidad de una amenaza a cero, o realizar la innovación para el 100%. El alcance de la medida puede estar influenciado por el apetito de riesgo de la organización.

Una medida que sólo resuelve el riesgo durante un periodo limitado se llama solución temporal.

Todos estos factores son los ingredientes del caso de negocio de la medida. La organización elige la medida con el mejor caso de negocio.

Dependiendo de la medida seleccionada, el procesamiento continúa según uno de los siguientes flujos de trabajo:

  • Flujo de trabajo de tipo 6: ajustar el acuerdo de servicio a través de GCT - CAM - GO para que los efectos del riesgo ya no conduzcan a una desviación del servicio acordado.
  • Flujo de trabajo de tipo 7: modificar la infraestructura gestionada a través de CAM- GO
  • Flujo de trabajo de tipo 8: ejecutar una actividad a través de GO sin modificar la infraestructura gestionada

Seleccione el flujo de trabajo y prepare la solicitud correspondiente.

Figura 6.8 Ejemplo de diagrama de Ishikawa (según Six Sigma for IT Management, Sven den Boer et al, 2006, ISBN: 9789077212301

Desplegar la medida

Desplegar la medida a través de un deseo, un cambio o una solicitud de servicio. La gestión de contratos, la gestión de cambios o la gestión de operaciones despliegan la medida y confirman el despliegue.

Envíe la solicitud correspondiente.

Utilice los siguientes artefactos en este paso

  • un formulario de requisitos para la especificación del deseo
  • una plantilla SC para presentar solicitudes de cambio
  • una plantilla de solicitud de servicio para presentar solicitudes de servicio

Revisar la entrega y los comentarios

Verificar que el riesgo ha sido mitigado o fomentado. Verifíquelo con el solicitante. Además, notifique también los riesgos asociados que estén listos.

Una vez aprobada la mitigación o el fomento, el riesgo se ha gestionado formalmente.

La tramitación que tiene lugar después de este paso termina en los informes del proceso interno, como actividad administrativa.

Evaluar y cerrar

Evaluar la convocatoria, completar la administración, presentar propuestas de mejora y cerrar la convocatoria administrativamente.

El solicitante no es el único que debe evaluar si el riesgo se ha tratado correctamente. La parte interesada de la GR no es el cliente, sino el gestor de la organización del servicio. Esta parte interesada es, en última instancia, la responsable del servicio y, por tanto, también del riesgo residual aceptable que queda tras la mitigación o fomento. En la práctica, esta responsabilidad puede delegarse en el gestor o gestores del servicio implicados.

Una vez completada la medida elegida, el operador de riesgos vuelve a determinar la probabilidad y el efecto del riesgo. Así, vuelve a determinar la prioridad del riesgo. El operador administra esta nueva y lógicamente menor prioridad en la base de datos de riesgos. Asigna un estado correspondiente, por ejemplo, "gestionado de la mejor manera posible" con una indicación del riesgo residual

6.5.2 Control del proceso

Ajuste de la ejecución

Tomar medidas para garantizar la correcta ejecución del proceso.

Informes sobre el proceso

Informar sobre la ejecución del proceso.

El gestor de procesos GR no informa al servicio integral de informes para el cliente, porque los riesgos son asuntos internos de la organización del servicio. Los tres flujos de trabajo diferentes que son posibles desde GR sólo terminan en el informe de gestión interna. Distinguir según el estado de los riesgos. También para la parte interesada interna, la reducción o fomentando de los efectos reales de los riesgos es más importante que la gestión administrativa final tras el despliegue de la medida elegida.

Por supuesto, un gestor de procesos GR puede informar al gestor de servicios sobre los esfuerzos (en el sentido de la prevención) que han llevado a que los servicios se presten de acuerdo con el rendimiento medido. Un gestor de servicios puede utilizar esa información para convencer a un cliente de la calidad de la organización de servicios. De este modo, puede fomentar la confianza en la organización de servicios, por ejemplo, tras un periodo de bajo rendimiento.

Ejemplo. Adquirir confianza dejando que un cliente "mire dentro de la cocina" se da en la práctica en los restaurantes. Si los clientes pueden ver desde sus asientos cómo trabajan los cocineros en la cocina y cómo se preparan los platos, se fomenta la confianza en la preparación cuidadosa e higiénica de sus comidas. Los cocineros de esa cocina saben con seguridad que todo está cuidado hasta el último detalle.
Del mismo modo, los proveedores muestran a sus clientes los resultados de las auditorías realizadas por supervisores externos o muestran sus certificaciones. De este modo, el acceso regular a la base de datos de riesgos y al progreso de la gestión de los mismos puede fomentar la confianza del cliente. En una prestación de servicios orientada al cliente, en la que se aplica eficazmente la co-creación, los clientes y los proveedores pueden incluso trabajar juntos para resolver los riesgos, porque, al final, suele interesar a ambas partes.

 

6.5.3 Artefactos

Formulario de riesgo

El solicitante utiliza una plantilla de riesgo para informar del mismo.

Base de datos de riesgos

La base de datos de riesgos (base de datos GR) es un registro de todos los riesgos que se han registrado. Una amenaza no desaparece de esa base de datos, aunque se hayan tomado muchas medidas para contrarrestar sus efectos.

En cuanto se determina la causa de un riesgo negativo, su estado cambia a error conocido. Esto significa que los errores conocidos son riesgos que se registran en la base de datos de riesgos, con un estado específico. La base de datos de riesgos también contiene riesgos positivos, las oportunidades de mejora. Esto también puede interpretarse como una "oportunidad conocida".

Exploraciones e inventarios de riesgos

Un riesgo existente se examina con un escáner de riesgos. Esta exploración analiza el efecto (potencial) del riesgo y la probabilidad de que se produzca: ambos pueden cambiar con el tiempo, bajo la influencia de factores internos y externos. Ese efecto depende de la importancia del servicio.

Para identificar nuevos riesgos, la organización busca activamente información que pueda conducir a la identificación de un riesgo (inventarios de riesgos), de forma regular. Para ello, la organización puede utilizar un calendario en el que se consultan fuentes calificadas y se examinan los servicios e infraestructuras existentes en función de la información recogida.

El proveedor de servicios realiza escaneos e inventarios de riesgo sistemáticos para los servicios más importantes (basados en los SAs).

Tipos de flujos de trabajo

El riesgo se gestiona según el tipo de flujo de trabajo 6, 7 u 8. Los flujos de trabajo de riesgo sólo se inician en GR. Los tres flujos de trabajo tienen una primera parte común: sólo se dividen cuando se selecciona la medida: un deseo, una SC o una solicitud de servicio. Los flujos de trabajo normalizados siguen la plantilla correspondiente.

Esquema de categorización

La convocatoria se clasifica según la naturaleza del riesgo.

Tablas de prioridades

La GR utiliza las tablas comunes de impacto y urgencia, en este caso, basadas en el efecto y la probabilidad, y la prioridad (véanse las tablas 5.3 a 5.6), elaboradas en GCT para GCT, CAM, GI y GO.

Formulario de deseos

La disposición en facilidades y soporte, funcionalidad y funcionamiento, sirve de base para la especificación del deseo. Añada las condiciones previas para cada una, para obtener una imagen concreta del deseo. Si esto se automatiza en la herramienta de administración de flujo de trabajo, se puede omitir el formulario en sí; el siguiente paso en el flujo de trabajo 6 es el paso 1 de la marca comunitaria.

Formulario de Solicitud de Cambio (SC)

El operador utiliza un formulario spara registrar la SC, véase el proceso CAM. Si esto se automatiza en la herramienta de administración de flujo de trabajo, el formulario en sí puede omitirse; el siguiente paso en el flujo de trabajo 7 es el paso 1 de CAM.

Formulario de solicitud de servicio

Para presentar la solicitud de despliegue, el operador utiliza el formulario de solicitud de servicio. Si esto se automatiza en la herramienta de administración de flujo de trabajo, el formulario en sí puede omitirse; el siguiente paso en el flujo de trabajo 8 es el paso 1 de GO.

6.5.4 Perfiles

Gestión de procesos

El gestor de procesos GI se ocupa de los acuerdos sobre el proceso GR, no del manejo de los riesgos.

Gestión de línea

Dependiendo del tamaño y la complejidad de la organización de servicios, la gestión de línea puede incluir los siguientes perfiles:

  • gestor de riesgos
  • analista de riesgos

La sección 4.8 y la sección 7.15.1 explican por qué debe evitarse, en la medida de lo posible, la combinación del perfil de gestión de procesos con el de gestión de líneas.

6.5.5 Métricas

Ejemplos de métricas para el proceso GR son:

  • KRIs como el volumen de negocio adicional originado por las innovaciones.
  • KPIs como el número de riesgos con más de 1 millón de euros de daños potenciales que se han solucionado en el último periodo.
  • Indicadores de rendimiento, como el número de errores conocidos encontrados.

6.5.6 Relación con las prácticas y técnicas populares

Entre las prácticas y técnicas populares que pueden desempeñar un rol en el proceso de GR se incluyen:

  • La gestión de la capacidad y el rendimiento, la gestión de la disponibilidad, la gestión de la continuidad, la gestión de la seguridad y otras practicas desempeñan un rol importante en la GR. Todos los riesgos de estos aspectos de calidad son riesgos de servicio y, por tanto, relevantes para la gestión de la información. Los perfiles encargados de las tareas relacionadas participan intensamente en el tratamiento de las amenazas y las innovaciones. En la práctica, estos perfiles suelen ser los solicitantes de los riesgos en cuestión. Un gestor de la capacidad que elabora un plan de gestión de la capacidad, por ejemplo, elabora un plan sobre cómo puede tratarse de forma planificada la amenaza "poca capacidad", o la oportunidad de mejora "mejor uso de la escasa capacidad". Esta planificación suele dar lugar a una serie de SC para ajustar la capacidad de la infraestructura. Un gestor de seguridad se ocupa principalmente de identificar a tiempo las amenazas y planificar a tiempo las contramedidas.
  • La gestión de recursos y la administración del RIG son prácticas o tareas que aportan información muy importante para la planificación y ejecución de las solicitudes de servicio.
  • Arquitectura - En el caso de los riesgos, los cambios en los servicios y la infraestructura deben adherirse a los acuerdos establecidos en la arquitectura. Esto se aplica a todas las partes de la arquitectura de gestión de servicios empresariales. Los riesgos que pueden ser rastreados hasta las deficiencias u oportunidades de mejora en esa arquitectura pueden llevar a solicitar la adaptación de la misma.
  • La forma proactiva de la práctica de la gestión de problemas está totalmente cubierta por la GR. La forma reactiva de la gestión de problemas entra dentro de GI: sólo hay un proceso que se ocupa de la gestión de los fallos, independientemente del impacto de ese fallo.

6.5.7 Palabras clave

Los siguientes conceptos juegan un rol importante en el proceso GR:

  • riesgo
  • efecto, impacto, gravedad
  • probabilidad
  • riesgo residual
  • apetito de riesgo
  • caso de negocio
  • búsqueda de riesgos
  • inventario de riesgos
  • perfil de riesgo
  • matriz de riesgos, mapa de calor
  • amenaza, oportunidad de mejora
  • causa
  • análisis de la causa raíz (ACR)
  • medida
  • mitigación, fomento
  • base de datos de riesgos
  • error conocido
  • gestor de riesgos
  • analista de riesgos