Gestión de riesgos de requisitos: ¿qué es y cómo gestionarla?

He aquí una realidad de la gestión de requisitos de la que nadie habla: el 66 % de las organizaciones señalan retrasos en los proyectos debido a requisitos poco claros o imprecisos (uno de los riesgos más comunes asociados a los requisitos).

Además, un estudio académico reciente realizado sobre 99 proyectos reveló que el 78 % de los proyectos sufrió retrasos y el 58 % sobrecostes.

¿Cuál es el verdadero culpable? Los riesgos derivados de una gestión deficiente de los requisitos que nadie vio venir.

La gestión de riesgos de los requisitos cambia por completo esta perspectiva. Ayuda a identificar y abordar los problemas y riesgos antes de que lo echen todo por tierra. Incluso la encuesta global sobre riesgos de PWC afirma que las organizaciones que implementan la gestión de riesgos tienen cinco veces más probabilidades de ganarse la confianza de las partes interesadas y de obtener resultados empresariales. 

Analicemos la gestión de riesgos en la ingeniería de requisitos, un proceso paso a paso, los diferentes tipos de riesgos relacionados con los requisitos y cómo las herramientas modernas pueden ayudar en este ámbito.

¿Qué significa la gestión de riesgos de los requisitos?

El análisis o la gestión de riesgos de los requisitos es la disciplina que consiste en identificar, evaluar y mitigar los riesgos asociados a los requisitos existentes que pueden afectar negativamente al proyecto. Detecta los problemas ocultos en los requisitos antes de que se extiendan al diseño, al código y a las pruebas.

Este enfoque se centra en identificar los requisitos poco claros, ausentes, contradictorios o poco realistas, y en evaluar sus posibles consecuencias para el proyecto. Además, obliga a los equipos a desarrollar y aplicar controles de medición de riesgos para mitigarlos.

Considera los requisitos como fuentes de riesgo, no solo como datos de entrada del proyecto. Los equipos cuestionan las hipótesis, comprueban la claridad, evalúan la viabilidad y se aseguran de que cada necesidad pueda verificarse realmente.

El objetivo es sencillo: reducir las repeticiones del trabajo, mejorar la toma de decisiones, evitar sorpresas de última hora y mantener la estabilidad de las operaciones solucionando los problemas desde el principio.

En resumen, la gestión de riesgos de los requisitos permite controlar de forma temprana la incertidumbre inherente a los requisitos.

Tipos habituales de riesgos relacionados con los requisitos y formas de gestionarlos

Antes de abordar el proceso de gestión de riesgos de los requisitos, veamos cuáles son los tipos más comunes de riesgos de los requisitos y cómo mitigarlos:

1. Requisitos incompletos o faltantes

Cuando el documento de requisitos del producto describe una situación ideal para la implementación del sistema, pero pasa por alto los casos extremos, los escenarios de error o los puntos de integración.

• Ejemplo: Un sistema de pago de un sitio de comercio electrónico tiene requisitos detallados para implementar una pasarela de pago, pero no sabe cómo gestionar las transacciones fallidas ni los reembolsos parciales.

Consejo para mitigar riesgos: Organiza sesiones de simulación de escenarios hipotéticos con tu equipo. Analiza cada requisito planteando posibles situaciones de fallo. Utiliza listas de verificación de la exhaustividad de los requisitos que te obliguen a abordar desde el principio cuestiones como la seguridad, el rendimiento, la gestión de errores y los casos extremos.

2. Requisitos imprecisos o imposibles de comprobar

Si los requisitos están redactados en un lenguaje impreciso que cada miembro del equipo interpreta de forma diferente, se habla de requisitos vagos.

• Ejemplo: El sistema debería cargarse rápidamente.

No da ninguna pista sobre cuántos segundos debe tardar el sistema en cargarse ni menciona ninguna condición. La versión completa del requisito anterior podría ser:

• El sistema debería cargarse en 3 segundos.

Consejo para evitar este problema: Indica al equipo que evite por completo el uso de términos subjetivos. Sustituye cualquier descripción imprecisa por criterios cuantificables.

3. Riesgos relacionados con las dependencias externas

Cuando una función depende de una API de terceros que cambia sin previo aviso, se generan riesgos relacionados con las dependencias externas.

Para mitigar los riesgos derivados de la dependencia externa, hay que hacer un seguimiento de ellos como elementos de riesgo y contar con alternativas de respaldo.

4. Riesgos normativos y de cumplimiento

Cuando los requisitos no se ajustan a las directrices normativas, se generan riesgos de incumplimiento que pueden acarrear sanciones cuantiosas y la suspensión de la licencia.

Para evitar riesgos de cumplimiento normativo, recurre a expertos en la materia desde el principio y vincula directamente la normativa con los requisitos. Además, utiliza herramientas de inteligencia artificial para realizar un seguimiento continuo de las actualizaciones de las normas reguladoras e implementarlas cada vez que se produzcan cambios.

5. Requisitos desincronizados

Cuando el documento de requisitos establece una cosa, las historias de usuario la explican de otra manera y los casos de prueba siguen pasos distintos, los equipos trabajan basándose en interpretaciones diferentes de la misma funcionalidad. Esto da lugar a revisiones posteriores que pueden provocar sobrecostes y retrasos en el lanzamiento del proyecto.

Consejo para mitigarlo: Mantén una única fuente de información fiable y aplica un control de versiones. Los equipos pueden utilizar herramientas como Azure DevOps para la gestión de proyectos y requisitos. Utiliza enlaces de seguimiento entre los requisitos, el diseño y los artefactos de prueba para que las actualizaciones se mantengan sincronizadas en todos los activos del proyecto. Las revisiones periódicas ayudan a detectar discrepancias en una fase temprana.

El proceso de gestión de riesgos de los requisitos

Después de leer la sección anterior, ya sabes qué tipos de riesgos relacionados con los requisitos habituales pueden surgir y cómo evitarlos. 

Además, la gestión de riesgos es un ciclo continuo que discurre en paralelo a todo el ciclo de vida del proyecto, por lo que es importante comprender el proceso paso a paso:

1. Identificar los riesgos relacionados con los requisitos

El primer paso consiste en evaluar la calidad de los requisitos y los riesgos asociados a ellos. Los equipos deben identificar las formulaciones poco claras, las necesidades de los usuarios que no se hayan tenido en cuenta, las limitaciones técnicas o las normas externas que puedan afectar a la entrega.

Para ello, puedes reunir equipos multidisciplinares y organizar sesiones de lluvia de ideas. Algunas preguntas concretas que se podrían plantear son: ¿Qué supuestos estamos dando por sentados? ¿Con qué partes interesadas aún no hemos hablado? ¿Dónde hay lagunas de conocimiento?

Sin embargo, realizar esta evaluación de riesgos de forma manual puede resultar complicado y llevar mucho tiempo. Los equipos pueden utilizar herramientas de IA como Copilot4DevOps, que funciona dentro de ADO y les permite analizar los requisitos en función de diferentes marcos de trabajo, como INVEST, MoSCoW, los criterios PABLO, etc., y sugerir una puntuación de calidad junto con mejoras recomendadas.

2. Analizar y priorizar los riesgos

Una vez identificados los riesgos y las mejoras necesarias, los equipos deben enumerar el impacto de cada tarea.

A continuación, prioriza y resuelve primero los riesgos de alto impacto. Los riesgos de bajo impacto se pueden abordar más adelante.

3. Planificar y aplicar medidas de respuesta ante los riesgos

Cada riesgo importante requiere un plan de acción claro. Esto puede implicar reformular el requisito, añadir criterios de aceptación, llevar a cabo una validación técnica o aclarar las expectativas de las partes interesadas.

Cada acción debe tener un responsable y un plazo. Sin responsabilidad, los riesgos siguen sin resolverse.

4. Supervisar y revisar de forma continua

A medida que avanza el proyecto, los requisitos van cambiando y surgen nuevos riesgos. Por eso, es muy importante supervisar y revisar los requisitos de forma continua.

Las revisiones periódicas mantienen actualizada la lista de riesgos. Los equipos comprueban si las medidas tomadas anteriormente han surtido efecto y realizan los ajustes necesarios.

5. Mantener la trazabilidad

Cada riesgo, requisito y medida de mitigación debe estar interrelacionado. Esto aporta transparencia y ayuda a los equipos a demostrar el control, especialmente en entornos regulados. Además, la trazabilidad garantiza que no se pierda con el tiempo ningún esfuerzo realizado en la gestión de riesgos.

Por qué la gestión de riesgos de los requisitos necesita la herramienta adecuada

• El seguimiento manual falla a gran escala: si los equipos se basan en hojas de cálculo, correos electrónicos y documentos dispersos para la gestión de riesgos, el sistema se colapsa cuando el proyecto crece y no puede seguir el ritmo de los frecuentes cambios en los requisitos.
• Falta de trazabilidad clara: sin vínculos entre los requisitos, los riesgos y las pruebas, los equipos no pueden apreciar el impacto del riesgo. Además, un solo cambio puede afectar a muchas áreas.
• El elevado coste de detectar los riesgos en una fase tardía: cuando se detectan riesgos relacionados con los requisitos durante las pruebas o tras el lanzamiento, las correcciones requieren un gran volumen de trabajo adicional tanto en el diseño como en el desarrollo. Esto puede provocar un exceso de gastos o el fracaso del proyecto.
• Dificultades para demostrar el cumplimiento normativo: en los proyectos regulados, la falta de registros históricos y de autorizaciones genera estrés durante las auditorías. Los equipos se ven obligados a demostrar a toda prisa lo que se decidió anteriormente.

Cómo los requisitos modernos para DevOps refuerzan la gestión de riesgos de los requisitos

Modern Requirements4DevOps refuerza la gestión de riesgos de los requisitos al integrar la estructura directamente en el flujo de trabajo diario del equipo. En lugar de gestionar los riesgos en herramientas independientes, todo permanece conectado dentro de Azure DevOps, lo que reduce las lagunas y la confusión.

Las funciones de evaluación del impacto de los cambios de Modern Requirements4DevOps permiten a los equipos evaluar cómo los cambios podrían afectar a otros requisitos del proyecto. De este modo, los equipos pueden abordar los riesgos asociados antes de realizar cualquier cambio.

Además, con la función Smart Docs, los equipos pueden crear documentos de requisitos dinámicos que se actualizan cada vez que se modifica un requisito. De este modo, los documentos se mantienen siempre actualizados y se evitan los riesgos asociados a los documentos obsoletos.

Además, Modern Requirements4DevOps permite crear matrices de trazabilidad horizontales y de intersección, que proporcionan visibilidad entre los requisitos, las tareas relacionadas con los riesgos y los casos de prueba. La función de gestión de revisiones permite realizar revisiones de requisitos con firma electrónica dentro de Azure DevOps. Esto resulta muy útil a la hora de preparar informes de auditoría en sectores regulados.

En resumen, cuando una herramienta de gestión de riesgos de requisitos se utiliza de forma eficaz, reduce la necesidad de volver a realizar el trabajo, agiliza las auditorías y permite obtener resultados de entrega más predecibles.