Mapeamento do Gerenciamento de Riscos no PMBOK, CMMI-SW e RUP

Transcrição

1 Mapeamento do Gerenciamento de Riscos no PMBOK, CMMI-SW e RUP Pascale Correia Rocha, Arnaldo Dias Belchior Universidade de Fortaleza - Mestrado de Informática Aplicada (UNIFOR) Av. Washington Soares, 1321 CEP Fortaleza CE Brasil pascale.mia@unifor.br, belchior@unifor.br Abstract. Software development is a complex activity, involving several factors which are sometimes unpredictable and hard to control. This complexity causes schedule delays, cost overruns, quality problems and missing functionality. In this context, an effective management is fundamental to the success of software projects. As the uncertainty is inherent to this kind of problem, risk management has become more notable in this knowledge area. This paper presents a risk management map in three models: PMBOK, CMMI e RUP, with the objective of investigate the similarities and differences among them to software projects in order to make the software development more robust. Keywords: PMBOK, CMMI, RUP, risk management, software quality. Resumo. O desenvolvimento de software é uma atividade complexa, envolvendo inúmeros fatores, muitas vezes imprevisíveis e difíceis de controlar. Esta complexidade faz com que grande parte dos projetos de software exceda o prazo e o orçamento previstos, além de não atender às expectativas do cliente em termos de funcionalidade e qualidade. Neste contexto, um gerenciamento eficaz é fundamental para o sucesso de projetos de software. Como a incerteza é inerente a este tipo de projeto, o gerenciamento de riscos vem-se tornando cada vez mais relevante nesta área de conhecimento. Este trabalho apresenta um mapeamento do gerenciamento de riscos descritos em três modelos: PMBOK, CMMI e RUP, objetivando investigar as similaridades e as divergências entre as abordagens desses modelos para projetos de software, no sentido de robustecer o processo de desenvolvimento software. Palavras-chave: PMBOK, CMMI, RUP, gerenciamento de riscos, qualidade de software. 1. Introdução O desenvolvimento de software é uma atividade complexa, envolvendo inúmeros fatores que não raro são imprevisíveis e de difícil controle, como inovações tecnológicas e mudanças constantes nos requisitos do cliente, dentre muitos outros. Esta complexidade faz com que grande parte dos projetos de desenvolvimento de software exceda o prazo e o orçamento previstos, além de não atender às expectativas do cliente em termos de funcionalidades e qualidade. Diante deste cenário, um gerenciamento eficaz tem-se evidenciado como de fundamental importância para o sucesso de projetos de software. Uma vez que a incerteza é 279

2 inerente a este tipo de projeto, o gerenciamento de riscos vem se tornando cada vez mais relevante neste contexto. O gerenciamento de riscos trabalha justamente com a incerteza, visando a identificação de problemas potenciais e de oportunidades antes que ocorram com o objetivo de eliminar ou reduzir a probabilidade de ocorrência e o impacto de eventos negativos para os objetivos do projeto, além de potencializar os efeitos da ocorrência de eventos positivos. O gerenciamento de riscos é abordado por vários modelos dentre os quais o PMBOK (2000), o CMMI (2002), e o RUP (2003). O PMBOK (A Guide to the Project Management Body of Knowledge) trata do gerenciamento de projetos de uma forma ampla, não sendo específico para software. O CMMI (Capability Maturity Model Integration for Software) provê um framework para a implantação e melhoria do processo de software das organizações. O RUP (Rational Unified Process) é um processo baseado em melhores práticas de engenharia de software. Este trabalho apresenta um mapeamento do gerenciamento de riscos a partir dos três modelos citados, objetivando investigar as similaridades e as divergências entre as abordagens dos mesmos para projetos de software, no sentido de robustecer e melhorar o processo de desenvolvimento software. Este trabalho está organizado como se segue. Na seção 2, é apresentada a gerência de risco do PMBOK; na seção 3, é mostrada a gerência de risco do CMMI; na seção 4, é delineada a abordagem de gerenciamento de riscos do RUP. Na seção 5, é elaborado o mapeamento do processo de gerenciamento de risco do PMBOK, CMMI e RUP. Na seção 6, apresenta-se a conclusão do trabalho. 2. O Gerenciamento de Riscos no PMBOK O PMBOK (2000) descreve o conhecimento e as melhores práticas em gerenciamento de projetos. De acordo com o PMBOK, o conhecimento necessário para gerenciar projetos está dividido em nove áreas: Gerência de Integração, Gerência de Escopo, Gerência de Tempo, Gerência de Custo, Gerência de Qualidade, Gerência de Recursos Humanos, Gerência de Comunicação, Gerência de Riscos e Gerência de Aquisições. A gerência de riscos do projeto inclui os processos referentes ao planejamento da gerência de riscos, à identificação, à análise, ao planejamento das respostas e ao controle e à monitoração dos riscos em um projeto. Esses processos interagem entre si e com os processos das outras áreas do conhecimento. Os objetivos da gerência de risco são aumentar a probabilidade de ocorrência e os impactos de eventos positivos e diminuir a probabilidade e os impactos dos eventos adversos aos objetivos do projeto. Os processos da gerência de risco são [PMBOK, 2000]: Planejamento da gerência de riscos: planejar as atividades de gerência de risco a serem realizadas para o projeto. Identificação dos riscos: identificar os riscos que podem afetar o projeto, documentando suas características. Análise qualitativa dos riscos: analisar qualitativamente os riscos, priorizando seus efeitos no projeto. 280

3 Análise quantitativa dos riscos: mensurar a probabilidade de ocorrência dos riscos e suas conseqüências e estimar as implicações no projeto. Planejamento da resposta aos riscos: gerar procedimentos e técnicas para avaliar oportunidades, objetivando mitigar as ameaças no projeto. Monitoração e controle dos riscos: monitorar os riscos residuais, identificar novos riscos, executar os planos de mitigação de riscos e avaliar sua efetividade durante todo o cliclo de vida do projeto. 3. O Gerenciamento de Riscos no CMMI-SW O CMMI-SW (Capability Maturity Model Integration for Software) foi criado para integrar os diversos modelos CMM, que atendem às várias atividades relacionadas ao desenvolvimento de software, e ainda torná-lo compatível com a ISO/IEC (2003). O propósito desta integração é guiar a avaliação e a melhoria dos processos das organizações e a habilidade para gerenciar o desenvolvimento, a aquisição e a manutenção de produtos ou serviços. O CMMI-SW contém duas representações: (i) por estágios, e (ii) contínua. A representação por estágios, objeto deste trabalho, trata do nível de maturidade da organização como um todo, contendo cinco níveis de maturidade: inicial, gerenciado, definido, gerenciado quantitativam ente e em otimização. Cada nível é constituído por um conjunto de áreas de processos, compostas por objetivos específicos e objetivos genéricos. Cada objetivo específico pode ser composto por um conjunto de práticas específicas. Um objetivo específico (SG) descreve as características que devem estar presentes para satisfazer uma área de processo. Uma prática específica (SP) é a descrição de uma atividade que é considerada importante para se alcançar o objetivo específico a ela associado. A problemática do risco é abordada nas áreas de processo Planejamento do Projeto, Monitoração e Controle do Projeto, e Gerência de Risco. As duas primeiras áreas de processo estão no nível 2 e a última está no nível 3 do CMMI-SW. No Planejamento do Projeto, tem-se o SG Desenvolvimento do Plano do Projeto com a SP Identificar os Riscos do Projeto, que consiste na identificação e na análise dos riscos para se determinar o impacto, a probabilidade de ocorrência e o período em que podem ocorrer, para que os riscos possam ser priorizados. Na Monitoração e Controle do Projeto, tem-se o SG Monitorar o Projeto de Acordo com o Plano, onde está inserida a SP Monitorar os Riscos do Projeto. A Gerência de Risco tem por finalidade identificar potenciais problemas antes que ocorram, de forma que as atividades de administração desses riscos possam ser planejadas e realizadas, de acordo com suas necessidades, ao longo do ciclo de vida do produto ou projeto, para mitigar possíveis impactos adversos. A Tabela 1 apresenta o relacionamento dos objetivos específicos com suas respectivas práticas específicas para a Gerência de risco. 281

4 Tabela 1. Relacionamento das SG e SP da Gerência de Risco do CMMI-SW SG 1 SG 2 SG 3 Preparar-se para a Gerência de Riscos SP 1.1 Determinar Fontes e Categorias de Riscos SP 1.2 Definir Parâmetros de Riscos SP 1.3 Estabelecer uma Estratégia para a Gerência de Risco Identificar e Analisar Risco SP 2.1 Identificar Riscos SP 2.2 Avaliar, Categorizar, e Priorizar Riscos Mitigar Riscos SP 3.1 Desenvolver Planos de Mitigação de Riscos SP 3.2 Implementar Planos de Mitigação de Riscos As áreas de processo Planejamento do Projeto, e Monitoração e Controle do Projeto, nível 2, tratam o gerenciamento de riscos de uma forma reativa, focando simplesmente na identificação dos riscos para a conscientização, e reação à medida que ocorram. Já a área de processo Gerência de Risco, nível 3, trata o gerenciamento de riscos de uma forma proativa, descrevendo a evolução das práticas específicas para sistematicamente planejar, antecipar, e mitigar riscos com o objetivo de minimizar proativamente seu impacto no projeto. 4. O Gerenciamento de Riscos no RUP O RUP (2003) é um processo de engenharia de software baseado em melhores práticas de desenvolvimento e em princípios fundamentais, dentre os quais ser direcionado a casos de uso, centrado na arquitetura, direcionado a riscos e ser iterativo. Segundo o RUP (2003), os riscos devem ser identificados e atacados o quanto antes no ciclo de vida do projeto, sempre objetivando a garantia da produção de software de alta qualidade, de acordo com as necessidades dos usuários e produzidos no tempo e prazo previstos. Todo projeto tem um conjunto de riscos envolvidos e muitos deles não são descobertos até que a integração do sistema seja realizada. Riscos não identificados significam que se pode estar investindo em uma arquitetura falha ou em um conjunto não otimizado de requisitos. Além disto, a totalidade dos riscos envolvidos está diretamente relacionada à diferença entre a estimativa de quanto tempo vai demorar para que o projeto seja concluído. Para se obter estimativas acuradas é necessário identificar e tratar os riscos antecipadamente. O RUP possui duas dimensões. A primeira é a dimensão estática que representa a estrutura estática do processo, descrevendo como os elementos do processo são agrupados logicamente em disciplinas. Disciplinas são agrupamentos lógicos de papéis, atividades, artefatos e outros guias para a descrição de um processo, e são representadas por um fluxo de trabalho. A segunda é a dimensão dinâmica que é representada pelo tempo e expressa o processo por meio de ciclos, decompostos em fases, que são divididas em iterações com marcos de conclusão. O processo de desenvolvimento de software do RUP é iterativo, onde uma iteração incorpora um conjunto de atividades em modelagem de negócios, requisitos, análise e projeto, implementação, testes e implantação, em várias proporções, dependendo de onde a iteração esteja localizada no ciclo de desenvolvimento. Um dos principais benefícios da abordagem iterativa é a identificação e o tratamento dos principais riscos do projeto em tempo hábil. 282

5 O gerenciamento de riscos no RUP está inserido na disciplina de Gerenciamento de Projeto, que se propõe a balancear objetivos concorrentes, gerenciar riscos e restrições, para que a entrega do produto satisfaça a seus clientes e usuários. Essa disciplina provê um framework onde o projeto é criado e gerenciado. O gerenciamento de riscos está integrado ao processo de desenvolvimento, onde as iterações são planejadas e estão baseadas nos riscos de maior prioridade. Em uma abordagem iterativa, os riscos são mitigados mais cedo, porque os elementos são integrados progressivamente. Um vez que cada iteração exercita muitos aspectos do projeto, torna-se mais fácil descobrir até que ponto os riscos percebidos estão se materializando, como também descobrir novos e insuspeitos riscos, à medida que os riscos sejam mais fáceis serem localizados e os custos envolvidos são menores. No RUP, o ciclo de vida é iterativo e dividido em quatro fases, que enfocam a problemática do risco de uma maneira cooperativa: Concepção: foco no tratamento dos riscos relacionados aos casos de negócio. Elaboração: foco principalmente nos riscos técnicos, examinando-se os riscos de arquitetura e, se necessário, revisando-se o escopo do projeto à medida que seus requisitos tornam-se melhor compreendidos. Construção: foco nos riscos de logística e na obtenção da conclusão da maior parte do trabalho. Transição: foco nos riscos associados com a logística de entrega do produto a seu usuário. O papel envolvido com o gerenciamento de riscos no RUP é o do gerente do projeto, que executa as atividades Desenvolver o Plano de Gerenciamento de Riscos, Identificar e Avaliar Riscos, e Monitorar o Status do Projeto, que têm como entrada ou saída os artefatos Visão Geral (documento de requisitos), Planos de Gerenciamento de Riscos, e Lista de Riscos. 5. Mapeamento do Gerenciamento de Riscos no PMBOK, CMMI-SW e RUP Esta seção apresenta o mapeamento entre as abordagens de gerenciamento de riscos do PMBOK (2000), CMMI-SW (2002) e RUP (2003), tendo-se em vista o processo de desenvolvimento de software, conforme a Tabela 2. Este mapeamento também foi baseado em Gusmão et al. (2003) e Reinehr et al. (2003). Em seguida, será apresentada uma análise do relacionamento entre estes modelos. O PMBOK será usado como base para este mapeamento, através da área de conhecimento Gerência de Risco, por ser um modelo largamente utilizado, contendo as melhores práticas para gerenciamento de projetos em geral. Para o CMMI-SW, será utilizada a área de processo Gerência de Risco, nível 3, com seus objetivos específicos (SG) e práticas específicas (SP) correspondentes Para o RUP, serão utilizados fluxos de trabalho (workflows) detalhados (com suas atividades correspondes), pertencentes à disciplina Gerenciamento de Projeto. 283

6 Tabela 2. Processos de Gerenciamento de Riscos do PMBOK x CMMI-SW x RUP PMBOK CMMI-SW RUP Área: Gerência de Risco Área de Processo: Gerência de Risco Disciplina: Gerência de Projetos Planejamento da Gerência de Riscos Identificação dos Riscos Análise Qualitativa dos Riscos Análise Quantitativa dos Riscos Planejamento das Respostas aos Riscos Monitoração e Controle dos Riscos Preparar-se para a Gerência dos Riscos (SG 1): Determinar Fontes e Categorias de Riscos (SP 1.1) Definir Parâmetros de Riscos (SP 1.2) Estabelecer uma Estratégia para Gerência de Risco (SP 1.3) Identificar e Analisar Risco (SG 2) Identificar Riscos (SP 2.1) Identificar e Analisar Risco (SG 2) Avaliar, Categorizar e Priorizar Riscos (SP 2.2) Identificar e Analisar Risco (SG 2) Avaliar, Categorizar e Priorizar Riscos (SP 2.2) Mitigar Riscos (SG 3) Desenvolver Planos de Mitigação de Riscos (SP 3.1) Mitigar Riscos (SG 3) Implementar os Planos de Mitigação de Riscos (SP 3.2) 284 Planejamento do Projeto Desenvolver o Plano de Gerenciamento de Riscos Avaliar o Escopo do Projeto e os Riscos Identificar e Avaliar os Riscos Avaliar o Escopo do Projeto e os Riscos Identificar e Avaliar os Riscos Avaliar o Escopo do Projeto e os Riscos Identificar e Avaliar os Riscos Avaliar o Escopo do Projeto e os Riscos Identificar e Avaliar os Riscos Monitorar e Controlar o Projeto Monitorar o Status do Projeto 5.1. Planejamento da Gerência de Riscos O Planejamento da Gerência de Riscos no PMBOK é o processo de decidir como abordar e conduzir as atividades da gerência de riscos para um projeto. Isto é importante para assegurar que o nível, o tipo e a visibilidade da gerência de riscos sejam proporcionais ao risco e à importância do projeto para a organização. Isto garantirá também recursos e prazos suficientes para as atividades da gerência de risco, estabelecendo uma base consensual para a avaliação dos riscos. O resultado desse processo é o Plano de Gerenciamento de Riscos, que descreve como o gerenciamento deverá ser estruturado e executado no projeto. No CMMI-SW, a preparação para a Gerência de Riscos é conduzida através do estabelecimento e da manutenção de uma estratégia para identificar, analisar e mitigar riscos. Normalmente, isto é documentado em um Plano de Gerenciamento de Riscos. A estratégia da gerência de risco refere-se às ações específicas e à abordagem gerencial usadas para aplicar e controlar o programa da gerência de risco. Isto inclui identificar as fontes do risco, o esquema usado para categorizar riscos, e os parâmetros usados para avaliar, limitar e controlar riscos para uma manipulação eficaz. No RUP, o Plano de Gerenciamento de Riscos é um artefato de saída da atividade Desenvolver o Plano de Gerenciamento de Riscos, que pertence ao fluxo de trabalho detalhado Planejamento do Projeto. Essa atividade tem como objetivo criar um plano documentado para identificação, análise e priorização dos riscos e identificar as estratégias de gerenciamento para os riscos mais relevantes do projeto.

7 As três abordagens apontam para a necessidade de se planejar o gerenciamento dos riscos de forma semelhante. No entanto, o RUP trata o gerenciamento de riscos como essencial apenas para projetos maiores ou de alto risco, e o coloca como opcional para projetos menores, onde seria suficiente a apenas elaboração da Lista de Riscos Identificação dos Riscos A Identificação de Riscos no PMBOK envolve a determinação de quais riscos podem ocorrer em um projeto em particular, determinar quais deles podem afetar esse projeto e documentar suas características. Trata-se de um processo iterativo, porque novos riscos podem surgir durante o ciclo de vida do projeto. A freqüência das iterações e de quem deve participar de cada ciclo varia caso a caso. A equipe do projeto deve estar envolvida de forma a desenvolver um senso de responsabilidade pelos riscos e tomar as ações necessárias. O processo de Identificação de Riscos relaciona-se bastante com o processo de Análise Qualitativa dos Riscos. Alternativamente, esse processo pode-se relacionar diretamente com o processo de Análise Quantitativa dos Riscos, quando conduzido por um gerente com experiência em riscos. Em alguns casos a simples identificação do risco já sugere respostas a estes, e que devem ser registradas para posterior análise e implementação no processo de Planejamento das Respostas aos Riscos. Para o CMMI-SW, a identificação de potenciais situações, perigos, ameaças e vulnerabilidades, que poderiam afetar negativamente os esforços ou planos de trabalho, é a base para a gerência de risco bem sucedida. Os riscos devem ser identificados e documentados em uma linguagem concisa, que inclua o contexto, as condições e as conseqüências de sua ocorrência, para que possam ser analisados e controlados corretamente. O uso de categorias e parâmetros desenvolvidos na estratégia de gerenciamento dos riscos, juntamente com as fontes identificadas de risco, pode fornecer disciplina e otimização apropriadas à identificação do risco. Os riscos identificados formam uma base para o inicio das atividades de gerenciamento de riscos. A lista dos riscos deve ser revista periodicamente, para que se identifiquem novas possíveis fontes de riscos e de mudanças nos riscos identificados anteriormente, ou mesmo riscos que foram negligenciados ou não existiam quando a estratégia da gerência de risco foi elaborada. O produto da prática específica Identificar Riscos, pertencente ao objetivo específico Identificar e Analisar Risco, é a lista dos riscos identificados, incluindo o contexto, as condições e as conseqüências da ocorrência do risco. A atividade Identificar e Avaliar Riscos do RUP tem o propósito de identificar, analisar e priorizar os riscos para o projeto e determinar as estratégias apropriadas de gerenciamento de riscos. Os seguintes passos dessa atividade estão diretamente ligados com a identificação dos riscos: Identificar Riscos Potenciais: tem o objetivo de criar e manter atualizada a lista de riscos. Rever Riscos durante a Iteração: tem o objetivo de verificar o que mudou. Rever Riscos no Final de uma Iteração: objetiva eliminar riscos que tenham sido totalmente mitigados e introduzir riscos recentemente descobertos. A lista de Riscos, que é o produto da atividade Identificar e Avaliar Risco, é um artefato fundamental para o RUP, pois serve como um ponto focal para as atividades do 285

8 projeto e é a base em torno da qual as iterações são organizadas. O risco direciona os planos das iterações, que são voltadas para o tratamento de riscos específicos, tentando eliminá-los ou reduzi-los. A lista de riscos deve ser revista periodicamente, para avaliar a eficácia das estratégias de mitigação do risco, que, por sua vez, conduzem a revisões do plano do projeto e dos planos das iterações subseqüentes. Verifica-se que as três abordagens mantêm uma forte sintonia no que se refere ao processo de identificação dos riscos. Todas enfatizam que a identificação dos riscos deve ser feita de forma iterativa durante o ciclo de vida do projeto, que deve haver o envolvimento da equipe do projeto e que é um processo fundamental para o gerenciamento do projeto como um todo. A lista de risco é o produto do processo em todas as abordagens em questão, enfatizando a importância de mantê-la sempre atualizada Análise Qualitativa dos Riscos A Análise Qualitativa dos Riscos no PMBOK é geralmente um meio rápido de estabelecer prioridades para o planejamento da resposta do risco, além de fornecer a base para a análise quantitativa do risco, se esta for requerida. Esse processo avalia a prioridade dos riscos identificados, usando sua probabilidade de ocorrência e o impacto correspondente nos objetivos do projeto, se os riscos ocorrerem. As definições dos níveis de probabilidade e de impacto, as entrevistas com peritos e a avaliação da qualidade da informação disponível no projeto podem ajudar a corrigir as polarizações, que estão freqüentemente presentes nos dados usados neste processo. A análise qualitativa do risco deve ser revista durante o ciclo de vida do projeto, para ficar atualizada de acordo com as mudanças nos riscos do projeto. No CMMI-SW, a análise qualitativa dos riscos está especificada na prática específica Avaliar, Categorizar e Priorizar Riscos, que pertence ao objetivo específico Identificar e Analisar Risco. A avaliação e a categorização de cada risco identificado é feita utilizando-se as categorias e os parâmetros de riscos e, a seguir, sua prioridade é determinada. Os parâmetros de riscos definidos podem incluir a probabilidade, a conseqüência (severidade ou impacto) e os limites. Os valores de parâmetro atribuídos ao risco podem ser integrados para produzir medidas adicionais, tais como a exposição ao risco, que pode ser usada para priorizar os riscos. A avaliação dos riscos é necessária para se determinar a importância relativa de cada risco identificado, sendo usada na determinação de quando a atenção apropriada da gerência é requerida. O produto de trabalho desta prática é a lista de riscos com sua respectiva prioridade. A atividade Identificar e Avaliar Riscos do RUP tem o propósito de identificar, analisar e priorizar os riscos para o projeto e determinar as estratégias apropriadas de gerenciamento de riscos. Os seguintes passos dessa atividade estão diretamente ligados com a análise dos riscos: Analisar e Priorizar Riscos: consiste em combinar riscos similares (para reduzir o tamanho da Lista de riscos) e em classificá-los em termos de seu impacto no projeto. 286

9 Rever Riscos durante a Iteração: objetiva garantir que a lista de riscos é mantida atualizada no decorrer do projeto, inclusive no que se refere à priorização dos riscos. Rever Riscos no Final de uma Iteração: reavalia a magnitude e reordena os riscos após a eliminação dos riscos mitigados, e também introduz novos riscos à lista de riscos. Uma vez mais é verificado que as três abordagens mantêm uma alta sinergia no que se refere ao processo de Análise Qualitativa dos Riscos. Todas ressaltam a importância de se determinar a probabilidade e o impacto da ocorrência do risco, a categorização desses riscos e a atualização contínua da lista de riscos. Porém, deve-se observar que o PMBOK divide a análise dos riscos em análise qualitativa e análise quantitativa, enquanto as outras abordagens não fazem esta distinção. Sendo assim, o PMBOK dá um tratamento mais elaborado à análise de riscos Análise Quantitativa dos Riscos A Análise Quantitativa dos Riscos no PMBOK objetiva analisar numericamente a probabilidade de cada risco identificado e sua conseqüência para os objetivos do projeto. Apresenta também uma abordagem quantitativa para a tomada de decisões na presença da incerteza, utilizando técnicas tais como a análise da árvore de decisão e a simulação de Monte Carlo (PMBOK, 2000). Este processo geralmente segue-se à análise qualitativa dos riscos, embora gerentes com experiência em riscos tendem, às vezes, a executá-lo diretamente após a identificação do risco. Em alguns casos, a análise quantitativa do risco pode não ser requerida para desenvolver respostas efetivas ao risco. A disponibilidade de tempo e de orçamento e a necessidade de declarações qualitativa ou quantitativa sobre o risco e seus impactos determinarão quais métodos devem ser usados para um projeto particular. No CMMI-SW, a análise quantitativa dos riscos é referenciada na prática específica Avaliar, Categorizar e Priorizar Riscos, na subprática Avaliar os Riscos Identificados, utilizando os parâmetros definidos, que requerem que cada risco seja avaliado e receba uma atribuição de valores, segundo parâmetros definidos para o mesmo. Esses parâmetros podem ser agregados e produzirem medidas adicionais, tais como a exposição ao risco, que pode ser usada para priorizá-los. Geralmente, uma escala com três a cinco valores é usada para avaliar a probabilidade e a conseqüência do risco. Valores prováveis são usados freqüentemente para quantificar a probabilidade. As conseqüências são relacionadas geralmente ao custo, ao cronograma, ao impacto ambiental ou às medidas humanas (tais como as horas de trabalho perdidas e a severidade do dano). Esta avaliação é freqüentemente uma tarefa difícil, e que consome tempo. Especialidades ou técnicas específicas do grupo podem ser necessárias para avaliar os riscos e ganhar a confiança no momento de priorizá-los. No RUP, a análise quantitativa dos riscos é referenciada também na atividade Identificar e Avaliar Riscos onde é enfatizado que os riscos sejam priorizados de acordo com a exposição geral que o mesmo representa para o projeto de software. Para determinar a exposição de cada risco deve haver a estimativa das seguintes informações: 287

10 Impacto do risco: desvios do planejamento referentes a cronograma, esforço ou custos, caso o risco ocorra. Probabilidade de ocorrência: probabilidade de que o risco realmente ocorra (geralmente expressa como porcentagem) Exposição ao risco: produto do impacto pela probabilidade de ocorrência. No processo de Análise Qualitativa dos Riscos, nota-se que o PMBOK é mais completo, especificando vários itens a serem quantificados, ferramentas e técnicas a serem utilizadas, prevendo a atualização da lista de riscos contendo os seguintes itens: análise probabilística do projeto; probabilidade de alcançar os objetivos de custo e tempo; lista priorizada de riscos quantificados; tendências nos resultados da análise quantitativa dos riscos Planejamento das Respostas aos Riscos O Planejamento das Respostas aos Riscos é o processo de desenvolver opções e de determinar ações para ampliar oportunidades e reduzir ameaças aos objetivos do projeto. Segue os processos de Análise Qualitativa dos Riscos e Análise Quantitativa dos Riscos. Inclui a identificação e a atribuição dos indivíduos ou grupos que irão se responsabilizar por cada resposta ao risco planejada e insere recursos e tarefas no orçamento, no cronograma e no plano de gerenciamento do projeto, se necessário. Este processo deve ser apropriado à gravidade do risco, pesar os custos com relação aos desafios enfrentados, considerar a oportunidade de ter êxito, ser realístico dentro do contexto do projeto e ser aceito por todas as partes envolvidas. Às vezes, é necessário selecionar a melhor resposta ao risco de diversas opções disponíveis. Para o CMMI-SW, as etapas do tratamento de riscos incluem desenvolver opções de tratamento de riscos, monitoração de riscos e execução das atividades de tratamento, quando os limites definidos forem excedidos. Os planos de mitigação de riscos são desenvolvidos e executados, para que o impacto potencial da ocorrência dos riscos selecionados sejam proativamente reduzidos. Isto pode também incluir planos de contingência, para tratar do impacto dos riscos selecionados, que podem ocorrer apesar das tentativas de mitigá-los. Os parâmetros usados para disparar as atividades de tratamento do risco são definidos pela estratégia da gerência de risco. O plano de mitigação para um risco inclui técnicas e métodos usados para evitar, reduzir e controlar a probabilidade de sua ocorrência, e a extensão dos danos causados caso ocorra (plano de contingência). Os planos de mitigação e de contingência do risco freqüentemente são gerados somente para os riscos selecionados, onde as conseqüências dos riscos são determinadas como elevadas ou inaceitáveis. Outros riscos podem ser aceitos e simplesmente monitorados. As opções para o tratamento de riscos normalmente incluem alternativas como: Anulação de riscos: mudar ou baixar requisitos enquanto ainda atender as necessidades dos usuários. Controle de riscos: tomar atitudes para minimizar riscos. Transferência de riscos: rever os requisitos de projeto para baixar riscos. 288

11 Monitoração de riscos: periodicamente reavaliar os riscos para identificar possíveis mudanças nos parâmetros atribuídos aos riscos. A atividade Identificar e Avaliar Riscos no RUP tem o propósito de identificar, analisar e priorizar os riscos para o projeto e determinar as estratégias apropriadas de gerenciamento de riscos. Os seguintes passos dessa atividade estão diretamente ligados com o planejamento da resposta aos riscos: Identificar Estratégias para Evitar Riscos: tem o propósito de reorganizar o projeto para eliminar riscos. Identificar Estratégias para Mitigar Riscos: desenvolve planos de mitigação do risco para reduzir o impacto dos riscos. Identificar Estratégias de Contingência: gera planos alternativos, que devem conter o indicador do risco e ação a ser tomada caso ele ocorra. Todas as abordagens têm uma grande similaridade no que se refere ao processo de Planejamento das Respostas aos Riscos. Todas tratam das estratégias para lidar com o risco através de sua eliminação, aceitação ou transferência, da elaboração do plano de mitigação e do plano de contingência. Em todas as abordagens, há a atualização da lista de riscos com a inclusão dos planos, dos responsáveis pelo risco, dos sinais de aviso de que o risco irá ocorrer e a atualização do plano do projeto em função das respostas selecionadas Monitoração e Controle dos Riscos A Monitoração e Controle dos Riscos é o processo de identificar, analisar e planejar os novos riscos que surgem, acompanhando os riscos identificados e aqueles na lista de observação, monitorando as condições de disparo dos planos de contingência, monitorando riscos residuais e revendo a execução da resposta ao risco ao avaliar sua eficácia. Este processo aplica novas ferramentas, tais como a análise de variação e tendência, que requerem o uso de dados de desempenho gerados durante a execução do projeto. Este processo pode envolver a escolha de estratégias alternativas, a implementação de um plano de contingência ou emergência, a tomada de ações corretivas ou o replanejamento do projeto. Inclui também, a inclusão de lições aprendidas nas bases de dados do projeto e modelos da gerência de risco para o benefício dos projetos futuros. O CMMI-SW determina que para controlar e gerenciar eficazmente os riscos durante o esforço de trabalho, deve ser seguido um programa proativo para monitorar regularmente os riscos e o status, além dos resultados das ações de acompanhamento dos riscos. A estratégia da gerência de riscos define os intervalos em que o status do risco deve ser revisado. Isto pode resultar na descoberta de novos riscos ou de novas opções de manipulação, que podem requerer o re-planejamento e a reavaliação. Em ambos os eventos, os limites de aceitação associados com o risco devem ser comparados com o status, para determinar a necessidade de execução do plano de mitigação de riscos. A prática específica de que trata esta monitoração é Implementar Planos de Mitigação de Riscos. No RUP, a atividade Monitorar o Status do Projeto é composta dos seguintes passos: Capturar o Status do Trabalho: coleta informações de qualidade e progresso do projeto para avaliação do status atual. Derivar Indicadores de Progresso: avalia apropriadamente o progresso do projeto com relação aos planos. 289

12 Derivar Indicadores de Qualidade: usa métricas de qualidade. Avaliar Indicadores x Planos: compara o estado esperado do projeto de acordo com o que foi definido no Plano de Desenvolvimento e no Plano da Iteração. Todas as abordagens indicam fortemente que os riscos devem ser monitorados e controlados durante todo o ciclo de vida do projeto através da reavaliação dos riscos e do acompanhamento dos indicadores. 6. Conclusão Este trabalho apresentou um mapeamento do gerenciamento de riscos a partir do PMBOK, CMMI, e RUP, com o objetivo de investigar similaridades e divergências entre as abordagens dos mesmos para projetos de software. A partir desse mapeamento, verificou-se que o gerenciamento de riscos nesses modelos está em consonância em seus aspectos essenciais, não havendo nenhuma incompatibilidade fundamental entre eles. Isto comprova a importância da gerência de riscos para os projetos de software, particularmente por dar um tratamento adequado às incertezas, e promover a melhoria dos processos de software. Apenas o processo de Análise Quantitativa dos Riscos do PMBOK não é descrito separadamente no CMMI ou no RUP. Como no PMBOK esta prática é tratada como um processo, há uma maior clareza sobre como ela deve ser conduzida. Além disto, são sugeridos elementos a serem incluídos na lista de riscos, que não são considerados nos demais modelos. Como o foco do PMBOK é especificamente o gerenciamento de projetos, ele oferece um maior detalhamento no que se refere às descrições das entradas, ferramentas e técnicas sugeridas e saídas. Porém, como não se trata de um modelo específico para software, falta a ligação explícita com as especificidades ao longo do processo de desenvolvimento de software. Referências CMMI Product Team CMMI for Systems Engineering/Software Engineering, Version 1.1 Staged Representation (CMU/SEI-2002-TR-029, ESC-TR ). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University. Gusmão, C. M. G., Moura, P. H ISO, CMMI, and PMBOK Risk Management: a Comparative Analysis. The International Journal of Applied Management and Technology, Volume 1, Number 1. ISO/IEC Software Process Assessment. PMBOK PMI Standards Committee. A Guide to the Project Management Body of Knowledge, PMI Publishing Division, Philadelphia, USA. Reinehr, S.S., Balduino, R., Machado, C. A. F., Pessoa, M. S Implementing ISO/IEC Standard using Rational Unified Process. Software Engineering Research and Practice. RUP Rational Unified Process, Version , CD-ROM. Rational Software Corporation, Cupertino, California,