GESTÃO DE RISCOS NO DESENVOLVIMENTO DE SIS- TEMAS Felipe Melcher dos Santos Universidade do Vale do Itajaí Gerência de Pesquisa e Pós Graduação Univali felipemelcher@gmail.com Abstract. This article is about Risk Management in software development. In the software development field, where a high level of uncertainty is inherent and where there are many professionals involved, manage risk variables has become a necessity. The effective Risk Management leads the software development projects to success and influences the results of the organization. Therefore, the Risk Management is becoming increasingly important in software development projects. The article aims to present through existing models a set with the main elements of each of the models studied to support the initial contact with the Risk Management in system development, addressing the reference models: PMBOK (2013), CMMI-DEV V.1.3 and MPS-SW (2012) and guide PMBOK (2013). Resumo. Este artigo trata de gestão de Riscos no desenvolvimento de softwares. No campo do desenvolvimento de software, uma área em que é inerente um alto grau de incerteza e onde há a participação de vários profissionais envolvidos, gerenciar variáveis de risco se tornou uma necessidade. A Gestão de Riscos eficaz conduz os projetos de desenvolvimento de software ao sucesso e influenciam os resultados da organização. Assim, a gestão de riscos está se tornando cada vez mais relevante em projetos de desenvolvimento de software. O artigo se propõe a apresentar através dos modelos existentes um conjunto com os principais elementos de cada um dos modelos estudados para apoiar o contato inicial com a Gestão dos riscos no desenvolvimento de sistemas, abordando os modelos de referência: CMMI-DEV V.1.3 e MPS-SW (2012). E o guia PMBOK (2013). Palavras-chave: Desenvolvimento de Software; Gestão de Riscos em Projetos de Software; Riscos em Projetos de Software; PMBOK; CMMI-DEV; Qualidade de Software.
1. INTRODUÇÃO Todo o desenvolvimento de projetos de software envolve riscos. Entretanto, há modelos de referências como o CMMI-DEV V.1.3 (Modelo Integrado de Maturidade e de Capacidade), MPS-SW (2012) (Melhoria e Processo de Software Brasileiro) disponíveis e voltados a boas práticas no gerenciamento de projetos de Software, incluindo a avaliação e o controle de riscos. Já o PMBOK (2013) (Guia do conhecimento em gerenciamento de projetos), é um Guia geral de projetos e pode ser utilizado como referência também na gestão de projetos de softwares, contudo ele é mais amplo e abrangente se aplicando a outras áreas de conhecimento. Os riscos são eventos ou acontecimentos de condição incerta que podem impactar positiva ou negativamente os projetos em andamento. De acordo com PMBOK(2013): O risco do projeto é um evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo em um ou mais objetivos do projeto tais como escopo, cronograma, custo e qualidade. O gerenciamento e gestão de riscos compreende a análise contínua dos diversos pontos que podem representar problemas no curso do projeto. De acordo com CMMI-DEV V.1.3: De acordo com o MPS-SW (2012): Gestão de riscos é um processo contínuo de antecipação de problemas, sendo uma parte importante da gestão que é aplicada durante toda a vida do projeto para antecipar e mitigar, de forma efetiva, os riscos com impactos críticos no projeto. O propósito do processo Gerência de Riscos é identificar, analisar, tratar, monitorar e reduzir continuamente os riscos em nível organizacional e de projeto. Os cenários de riscos incluem diversas variáveis podendo ser de ordem organizacional, ou compreender variáveis que estão fora do controle direto do projeto. De acordo com PMBOK (2013): As condições de risco podem incluir aspectos do ambiente da organização ou do projeto que contribuem para os riscos do projeto, tais como práticas imaturas de gerenciamento de projetos,
falta de sistemas integrados de gerenciamento, vários projetos simultâneos ou dependência de participantes externos fora do controle direto do projeto. A Gestão eficiente dos riscos inclui o mapeamento de cada um dos riscos de forma ampla, livre e aberta dependendo diretamente das partes interessadas, pois essas é que definem o quanto de impacto um determinado risco representa. De acordo com CMMI-DEV V.1.3: Uma gestão de riscos efetiva inclui a identificação abrangente e antecipada de riscos por meio da colaboração e do envolvimento das partes interessadas relevantes, conforme descrito no plano de envolvimento de partes interessadas relevantes tratado pela área de processo Planejamento de Projeto. É necessária uma forte liderança sobre todas as partes interessadas relevantes para se estabelecer um ambiente onde o levantamento e a discussão dos riscos ocorram de forma livre e aberta. Ainda sobre a gestão eficiente dos riscos, convém reforçar que estes devem ser conhecidos, documentados, assim como as condições ambientais, suas consequências e as partes interessadas bem conhecidas e publicizadas para todos os envolvidos no projeto. De acordo com MPS-SW (2012): Os riscos do projeto são identificados e documentados, incluindo seu contexto, condições e possíveis consequências para o projeto e as partes interessadas; Desta forma este trabalho apresenta ao leitor argumentos, baseados na documentação dos modelos existentes, de forma a corroborar o uso das práticas de Gerenciamento de Riscos no desenvolvimento de sistemas Este estudo está estruturado da seguinte forma: na próxima sessão serão abordados os principais tópicos da gestão de riscos envolvendo o PMBOK 2013 e o modelo CMMI-DEV V.1.3. Na sessão três, é apresentado a categorização e classificação dos riscos, e na quarta sessão temos um tópico específico que aborda o modelo MPS-SW (2012) e a gestão de riscos, seguido pela conclusão e referências bibliográficas. Este estudo objetiva apresentar de forma sucinta os principais tópicos relacionados a gestão de riscos no desenvolvimento de sistemas, podendo ser encarado como um fonte de referência para consulta futura, uma vez que ele aborda os modelos e apresenta um breve comparativo entre o CMMI-DEV V.1.3 e o PMBOK (2013).
2. GESTÃO DE RISCOS EM PROJETOS DE SOFTWARE, PMBOK e CMMI-DEV. Todos os projetos de desenvolvimento de software têm riscos. Atualmente todos os ramos da atividade humana dependem de alguma forma da utilização de software para operar, dar suporte, controlar equipamentos e fluxos de informações, gravar ou processar atividades. De acordo com PMBOK (2013): As organizações entendem o risco como o efeito da incerteza nos projetos e objetivos organizacionais. As organizações e as partes interessadas estão dispostas a aceitar vários graus de riscos, dependendo da sua atitude relação aos riscos. A área de Engenharia de Software vem se aprimorando com a finalidade de produzir modelos de melhoria para aumentar a probabilidade de sucesso na execução de projetos de software, garantindo a qualidade de seus produtos e minimizando possíveis riscos. Atualmente contamos com diversos modelos de referências, dentro os listados nesse artigo o CMMI-DEV V.1.3, MPS-SW (2012), e o RUP que não é abordado aqui. Dentre as abordagens para tratamento dos riscos, como já mencionado é consenso a documentação dos riscos e seus impactos bem como as partes interessadas, nesse contexto a organização pode inicialmente optar por mapear todos os riscos e tratá-los a medida que ocorrem. De acordo com CMMI-DEV V.1.3: (...) as organizações podem, inicialmente, concentrar-se simplesmente na identificação de riscos visando conhecê-los e tratá-los de forma reativa, à medida que forem ocorrendo. A área de processo Gestão de Riscos descreve uma evolução dessas práticas específicas para planejamento, antecipação e mitigação sistemática de riscos, visando minimizar proativamente seus impactos no projeto. Estendendo esse contexto, a prioridade definida pela organização em relação aos riscos, podem ser entendidas como: - O quanto de risco a organização está disposta a correr, entendendo que em caso o risco não ocorra o projeto pode ser impactado positivamente. - O quanto de risco é aceitável para o projeto, partindo da premissa que os projetos sempre estão expostos há algum tipo de risco podendo ser de maior ou menor grau.
- O limite aceitável que define o quanto de risco mínimo e máximo a organização aceita se expor. (...) Apetite de risco, que é o grau de incerteza que uma entidade está disposta a aceitar, na expectativa de uma recompensa. Tolerância a riscos, que é o grau, a quantidade ou o volume de risco que uma organização ou um indivíduo está disposto a tolerar. Limite de riscos, que se refere às medidas ao longo do nível de incerteza ou nível de impacto no qual uma parte interessada pode ter um interesse específico. A organização aceitará o risco abaixo daquele limite. A organização não tolerará o risco acima daquele limite. A gestão de riscos deve considerar fatores internos e externos contemplando as questões como custo e prazo, ainda limitações técnicas e de pessoal, esses devem ser mapeados antecipadamente e de forma abrangente, pois é mais fácil promover mudanças e adequações no projeto logo no início, as partes interessadas ainda terão uma visão geral dos riscos o que certamente afetará as próximas decisões no curso do projeto. De acordo com o CMMI-DEV V.1.3: A gestão de riscos deve considerar fontes de riscos internas e externas para custo, prazo e desempenho, dentre outros. A detecção abrangente e antecipada de riscos é importante porque geralmente é mais fácil, menos dispendioso e menos prejudicial realizar mudanças e correções durante as fases iniciais do projeto do que nas fases posteriores. Ainda de acordo com o CMMI-DEV V.1.3 a gestão de riscos contempla três principais fases: - Preparação para gestão dos riscos, onde são gerados as diretrizes que nortearão a gestão dos riscos, a documentação inicial, guias e formulários, formas de identificação dos riscos e suas origens, formas de documentação e registro dos riscos levantados bem como a forma utilizada para categorização. De acordo com o CMMI-DEV V.1.3: A preparação é realizada estabelecendo e mantendo uma estratégia para identificação, análise e mitigação de riscos. Isso geralmente é documentado em um plano de gestão de riscos. A estratégia para gestão de riscos estabelece as ações es-
pecíficas e a abordagem de gestão utilizada para aplicar e controlar o programa de gestão de riscos. Isso inclui a identificação de fontes de riscos, o esquema utilizado para categorizá-los e os parâmetros utilizados para avaliar, limitar e controlar os riscos, visando a um tratamento eficaz. - A identificação e análise dos riscos, como objetivo dessa etapa os riscos são identificados, devidamente mapeados a partir das suas fontes, que podem ser externas ou internas. A análise também deve contemplar a probabilidade do risco ocorrer e suas consequências, e definir em que momento cada risco deve ser observado. De Acordo com o CMMI-DEV V.1.3: O grau de risco afeta os recursos designados para tratar o risco identificado e a determinação do momento em que é necessária atenção gerencial. A análise de riscos implica, primeiramente, na sua identificação a partir de fontes internas e externas identificadas e, em seguida, na avaliação de cada risco identificado para se determinar suas probabilidades e consequências. A categorização do risco, baseada nas categorias de riscos estabelecidas e nos critérios elaborados visando à estratégia para gestão de riscos, fornece as informações necessárias para o tratamento do risco. Riscos inter-relacionados podem ser agrupados visando tratamento eficiente e uso eficaz dos recursos de gestão de riscos. - A próxima etapa após o planejamento da gestão dos riscos, o mapeamento e análise de cada um deles, refere-se a mitigação dos riscos caso eles ocorram, desta forma, são levantadas alternativas para tratamento de cada risco identificado, mitigar risco nada mais é do que o mapear as ações a serem tomadas caso o risco ocorra, desta forma deve ser elaborado o Plano de mitigação de riscos que compreende essas ações. A evolução do Plano de mitigação de riscos, é o Plano de contigência que refere-se as ações a serem realizadas quando embora o risco tenha sido mitigado o mesmo assim ocorra. De acordo com o CMMI-DEV V.1.3: Os passos para tratamento de riscos incluem o levantamento de alternativas, o monitoramento de riscos e, quando limiares definidos forem ultrapassados, a execução de atividades de tratamento de riscos. Planos de mitigação de riscos são elaborados e implementados para os riscos selecionados, visando reduzir proativamente o impacto potencial de sua ocorrência. Também pode ser necessário
incluir planos de contingência para tratar o impacto de riscos selecionados que possam ocorrer apesar da tentativa de mitigá-los. Os parâmetros para riscos utilizados para disparar as atividades de tratamento de riscos são definidos pela estratégia para gestão de riscos. A abordagem do PMBOK (2013) é semelhante ao CMMI-DEV V.1.3. Contudo como é um guia mais amplo e como mencionado anteriormente atende Gerenciamento de projetos em Geral acaba por tratar e apresentar uma abrangência muito ampla no gerenciamento de riscos, como veremos a seguir. Planejar o gerenciamento dos riscos é o processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto. O principal benefício deste processo é que ele garante que o grau, tipo, e visibilidade do gerenciamento dos riscos sejam proporcionais tanto aos riscos quanto à importância do projeto para a organização. O plano de gerenciamento dos riscos é vital na comunicação, obtenção de acordo e apoio das partes interessadas para garantir que o processo de gerenciamento dos riscos seja apoiado e executado de maneira efetiva. Note que assim como o CMMI-DEV V.1.3 há a orientação na etapa inicial de garantir a visibilidade do gerenciamento dos riscos, assim como a elaboração do plano de gerenciamento dos riscos, e o envolvimento com as partes interessadas garantindo o processo de gerenciamento dos riscos. Na segunda etapa apresentada pelo PMBOK assim como no modelo CMMI DEV V.1.3, temos inicialmente a identificação dos riscos e o processo de documentação, nesse sentido o PMBOK (2013) também possui algumas semelhanças, como podemos ver abaixo. Identificar os riscos é o processo de determinação dos riscos que podem afetar o projeto e de documentação de suas características. O principal benefício desse processo é a documentação dos riscos existentes e o conhecimento e a capacidade que ele fornece à equipe do projeto de antecipar os eventos. Ainda assim por ser um muito mais amplo ele apresenta cada fase em detalhes que não percebemos no modelo CMMI-DEV V.1.3. Os principais elementos do plano de gerenciamento dos riscos que contribuem para o processo
Identificar os riscos são as atribuições de papéis e responsabilidades, a provisão para atividades de gerenciamento dos riscos no orçamento e no cronograma, e as categorias de riscos que às vezes são expressas em uma estrutura analítica dos riscos Desta forma percebemos nuances que se complementam, por exemplo, quando o PMBOK menciona riscos de orçamento, atribuições de papéis e responsabilidades. Na terceira fase da análise de gestão de riscos do PMBOK (2013) temos a análise qualitativa que como no CMMI-DEV V.1.3, trata da análise dos riscos levantados, onde ocorre a priorização dos riscos, e o cruzamento das informações de impactos, ocorrência e probabilidade, do ponto de vista do PMBOK (2013) o principal objetivo é focar nos riscos de alta prioridade. Realizar a análise qualitativa dos riscos é o processo de priorização de riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto. O principal benefício deste processo é habilitar os gerentes de projetos a reduzir o nível de incerteza e focar os riscos de alta prioridade. No mesmo contexto a análise qualitativa dos riscos é o principal tópico no que tange a Gestão de Riscos do ponto de vista do PMBOK, pois diferente do modelo CMMI-DEV V.1.3 ele define que a análise qualitativa é base para se realizar a análise quantitativa, quando necessário, já no modelo CMMI-DEV V.1.3, a análise qualitativa e quantitativa são descritas de forma implícita, como vimos anteriormente e não são separadas como no PMBOK (2013). O processo Realizar a análise quantitativa dos riscos normalmente é um meio rápido e econômico de estabelecer as prioridades do processo Planejar as respostas aos riscos e define a base para o processo Realizar a Análise quantitative dos riscos, se necessária. O processo Realizar a análise quantitativa dos riscos é realizado regularmente durante todo o ciclo de vida do projeto, como definido no plano de gerenciamento dos riscos do projeto. Esse processo pode resultar no processo Realizar a análise quantitative dos riscos (Seção 11.4) ou diretamente no processo Planejar as respostas aos riscos. Na análise quantitativa são tratados os riscos definidos como prioritários através da análise qualitativa, o processo de análise quantitativa é utilizado principalmente para avaliar todos os riscos de forma agregada, essa abordagem se mostra própria para avaliar o risco geral do projeto.
O processo Realizar a análise quantitativa dos riscos é executado nos riscos que foram priorizados pelo processo Realizar a análise qualitativa dos riscos como tendo impacto potencial e substancial nas demandas concorrentes do projeto. O processo Realizar a análise quantitativa dos riscos analisa o efeito desses riscos nos objetivos do projeto. Ele é usado principalmente para avaliar o efeito agregado de todos os riscos que afetam o projeto. Quando os riscos direcionam a análise quantitativa, o processo pode ser usado para atribuir uma classificação de prioridade numérica àqueles riscos individualmente. O próximo tópico abordado trata de como deve ser o planejamento as respostas aos riscos, assim como no modelo CMMI-DEV V.1.3que conforme mencionado anteriomente orienta a criação do Plano de mitigação de riscos que trata as ações a serem realizadas em caso de ocorrência de risco. O PMBOK aborda o assunto de forma muito semelhante, como podemos ver abaixo. Planejar as respostas aos riscos é o processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto. O principal benefício deste processo é a abordagem dos riscos por prioridades, injetando recursos e atividades no orçamento, no cronograma e no plano de gerenciamento do projeto, conforme necessário. Desta maneira o PMBOK detalha como deve ser o planejamento para controle dos riscos identificados, um detalhe é que o CMMI-DEV V.1.3 deixa em aberto é a designação de uma pessoa responsável por cada resposta, o PMBOK é bem enfático como podemos perceber abaixo. Como os riscos podem possuir naturezas diferentes, as respostas para cada risco devem ser tratados individualmente, a forma como o risco é tratado deve incluir também formas de avaliar se o plano de resposta está funcionando adequadamente. Cada resposta ao risco requer uma compreensão do mecanismo pelo qual o risco será abordado. Esse é o mecanismo usado para analisar se o plano de resposta aos riscos está surtindo o efeito desejado. Ele inclui a identificação e a designação de uma pessoa (o responsável pelo resposta ao risco) para assumir a responsabilidade por cada resposta ao risco acordada e financiada.
A definição de controle de riscos permeia a implementação dos planos de respostas aos riscos, e o acompanhamento dos riscos identificados, monitorando as atividades relacionadas, e tomando as devidas ações caso necessário. O principal benefício do ponto de vista do PMBOK (2013) em se controlar os riscos é o incremento da eficiência da abordagem dos riscos, uma vez que o controle é exercido durante todo o ciclo de vida do projeto, desta maneira o gerenciamento dos riscos é melhorado continuamente. Controlar os riscos é o processo de implementação de planos de respostas aos riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia do processo de riscos durante todo o projeto. O principal benefício desse processo é a melhoria do grau de eficiência da abordagem dos riscos no decorrer de todo o ciclo de vida do projeto a fim de otimizar continuamente as respostas aos riscos. 3. CATEGORIAS E CLASSIFICAÇÃO DE RISCOS Uma forma de apoio para a gestão e controle dos riscos é trabalhar na categorização dos riscos, como sugere o PMBOK (2013), através da criação de estruturas analíticas de riscos, categorizar os riscos permite um melhor entendimento da natureza dos mesmos. Categorias de riscos. Fornece um meio de agrupar possíveis causas de riscos. Podem ser usadas várias abordagens como, por exemplo, uma estrutura baseada nos objetivos do projeto por categoria. A estrutura analítica dos riscos (EAR) ajuda a equipe do projeto a considerar muitas fontes a partir das quais os riscos podem surgir em um exercício de identificação de riscos. Diferentes estruturas de EARs serão apropriadas para diferentes tipos de projetos. Uma organização pode usar uma estrutura de categorização previamente preparada, que pode ter a forma de uma simples lista de categorias ou ser estruturada em uma EAR. A EAR é uma representação hierárquica dos riscos, de acordo com suas categorias de riscos. O modelo MPS-SW define como resultado esperado da Gerência de
Riscos as origens e categorias de riscos assim como forma de categorizá-los. De acordo com o MPS-SW (2012): As origens e as categorias de riscos são determinadas e os parâmetros usados para analisar riscos, categorizá-los e controlar o esforço da gerência de riscos são definidos; Quanto a classificação do riscos normalmente é utilizado a matriz de probabilidade e impacto, onde os riscos são designados de acordo com a incidência e impactos, assim como a prioridade que a organização atribuiu ao risco. A matriz deve conter uma classificação como prioridade baixa, moderada ou alta, que são definidas de acordo com a combinação entre impacto e probabilidade, a organização pode ainda definir outros valores descritivos como peso para cada risco ou ainda valores numéricos. As classificações dos riscos são designadas com base na avaliação da sua probabilidade e impacto. A avaliação da importância de cada risco e a prioridade de atenção é normalmente conduzida usando uma tabela de referência ou uma matriz de probabilidade e impacto. 4. RISCOS E O MODELO MPS-SW (2012). O MPS-SW é um modelo de referência de melhoria em processo de Software, de origem brasileira, apresenta graus específicos para Gerência de Riscos, de acordo com o nível utilizado. A partir do nível G que define que o nível de maturidade é parcialmente gerenciado há duas referências sobre o gerenciamento de riscos. De acordo com o modelo MPS-SW (2012): De acordo com o modelo MPS-SW (2012): Os riscos do projeto são identificados e o seu impacto, probabilidade de ocorrência e prioridade de tratamento são determinados e documentados; Os riscos são monitorados em relação ao planejado Ainda nesse contexto, no nível C que define o nível de maturidade de processo como definido há um conjunto amplo de resultados esperados além de um processo formal de gerência de riscos. O escopo da gerência de riscos é determinado;
As origens e as categorias de riscos são determinadas e os parâmetros usados para analisar riscos, categorizá-los e controlar o esforço da gerência de riscos são definidos; As estratégias apropriadas para a gerência de riscos são definidas e implementadas; Os riscos do projeto são identificados e documentados, incluindo seu contexto, condições e possíveis consequências para o projeto e as partes interessadas; Os riscos são priorizados, estimados e classificados de acordo com as categorias e os parâmetros definidos; Planos para a mitigação de riscos são desenvolvidos; Os riscos são analisados e a prioridade de aplicação dos recursos para o monitoramento desses riscos é determinada; Os riscos são avaliados e monitorados para determinar mudanças em sua situação e no progresso das atividades para seu tratamento; Ações apropriadas são executadas para corrigir ou evitar o impacto do risco, baseadas na sua prioridade, probabilidade, consequência ou outros parâmetros definidos. 3. CONCLUSÃO Com base no estudo realizado, foi constatado que os modelo CMMI- DEV V.1.3 e o guia PMBOK (2013) possuem diversas semelhanças, tanto o CMMI-DEV V.1.3 quanto o PMBOK (2013), orientam que os riscos devem ser mapeados, compreendendo a identificação, documentação, impactos, probabilidades, publicação, mitigação, acompanhamento e controle, desta forma fica claro que as metodologias estão rumando para o mesmo horizonte. Ainda foi identificado que a Análise qualitativa e Análise quantitativa, são apresentadas de forma separada somente no PMBOK (2013) e que estão implícitas no modelo CMMI-DEV V.1.3. O modelo MPS-SW (2012) trata a gestão de riscos como um processo através da Gerência de Riscos, com nove resultados esperados que em última análise tratam das mesmas referências abordadas pelo CMMI-DEV V.1.3 e pelo PMBOK (2013). O estudo também deixou claro que temos o PMBOK (2013) como um guia extenso, e que é pensado para gerenciar projetos de outras naturezas além da Gestão de Projetos de Software. Uma boa prática para a gestão eficiente de riscos é utilizar as metodologias combinadamente, de acordo com o tipo de projeto de Software.
REFERÊNCIAS CMMI Para desenvolvimento. 2010. CMMI for Systems Engineering/Software Engineering, Version 1.3 Staged Representation (CMU/SEI-2010-TR-033, ESC-TR-2010-033). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University. PMBOK. 2013. PMI Standards Committee. A Guide to the Project Management Body of Knowledge, PMI Publishing Division, Philadelphia, USA. MPS-SW (MR-MPS-SW:2012) Melhoria de Processo do Software Brasileiro, 2012. Rocha, Pascale C. e Belchior, Arnaldo D. (2004) Mapeamento do Gerenciamento de Riscos no PMBOK, CMMI-SW e RUP, VI Simpósio internacional de melhoria de Processos de Software.