XII Workshop de Teses e Dissertações em Qualidade de Software Uma Proposta de Metodologia para Gerenciamento de Riscos em Projetos de Software aderente a Modelos e Normas de Qualidade de Processo de Software Heresson João Pampolha de Siqueira Mendes 1, Sandro Ronaldo Bezerra Oliveira 1 1 Programa de Pós-Graduação em Ciência da Computação (PPGCC) Universidade Federal do Pará (UFPA) - Rua Augusto Corrêa, 01 Guamá Belém - PA - Brasil heresson@gmail.com, srbo@ufpa.br Abstract. This paper presents a proposal of methodology for Risk Management process, which intends to comply with the best practices of the leading software quality models: MR-MPS-SW, CMMI-DEV, ISO/IEC 12207, PMBoK and ISO/IEC 16085. Resumo. Este trabalho apresenta uma proposta de metodologia para implementação do processo de Gerência de Riscos em organizações desenvolvedoras de software, que visa atender às boas práticas apresentadas em alguns dos principais modelos e normas relacionados à qualidade de software: MR-MPS-SW, CMMI-DEV, ISO/IEC 12207, PMBoK e ISO/IEC 16085. 1. Caracterização do Problema O desenvolvimento de um software é não repetitivo e imprevisível, envolvendo alta complexidade, necessitando estar em conformidade com as necessidades do cliente, sujeito a constante mudanças, além de ser intangível [BROOKS, 1986]. Uma maneira encontrada para tentar ultrapassar estas dificuldades é através de modelos e normas, que são guias para executar boas práticas em processos de software, fornecendo diretrizes em diversas disciplinas relacionadas ao desenvolvimento de software, entre elas está o Gerenciamento de Riscos. As dificuldades apresentadas por Brooks (1986), perduram até hoje, confirmando-se com a citação de Pressman (2011), que evidencia a importância desta área do conhecimento ao afirmar que software é uma empreitada difícil, muitas coisas podem dar errado, portanto entender os riscos e tomar medidas proativas para evitá-los é essencial para um bom gerenciamento do projeto de software. Profissionais e pesquisadores concordam que para a gerência de riscos ser efetiva é necessário incluí-la desde as fases iniciais do processo de desenvolvimento [ISLAM, 2011], pois requisitos é uma das principais causas de falhas nos projetos [GLASS, 1998]. Uma vantagem de considerar gerência de riscos desde as fases iniciais do processo de desenvolvimento do software é a possibilidade de identificar prematuramente problemas futuros que aumentariam os custos do projeto [VAN LAMSWEERDE, 2009]. Diversos modelos e guias de boas práticas para projetos e projetos de software, como MR-MPS-SW [SOFTEX, 2012], PMBOK [PMI, 2013], ISO/IEC 12207 [ABNT, 2009] e CMMI-DEV [SEI, 2010], possuem referência à área de Gerenciamento de Riscos, embasando a importância deste processo. Cada modelo possui um conjunto de metas a serem alcançadas no Gerenciamento de Riscos e algumas sugestões de como implementá-lo, porém organizações consideradas de micro, pequeno e médio porte 19
WTDQS 2014 muitas vezes não possuem recursos suficientes para implementar um processo e avaliálo [SOFTEX, 2012]. No contexto nacional, atualmente, existem cerca de 533 empresas avaliadas no MR-MPS-SW e dentro do prazo de vigência de três anos. Deste total, apenas 34 empresas já foram avaliadas no nível de maturidade C [SOFTEX, 2014], no qual está situado o processo de Gerência de Riscos, ou seja, 93,5% das organizações desenvolvedoras de software que buscam qualidade de processo no Brasil não possuem experiência e maturidade comprovadas no gerenciamento de riscos. Este trabalho tem o objetivo auxiliar estas organizações a implementarem um processo de extrema importância, como o gerenciamento de riscos. Serão disponibilizados uma metodologia e uma ferramenta de software, que têm como diferencial a compatibilidade com as melhores práticas recomendadas em modelos de qualidade de software, coletadas através do mapeamento entre as mesmas. 2. Fundamentação Teórica Processo de software é denominado por Pressman (2011), como um arcabouço para as tarefas necessárias para a construção de um software de alta qualidade. Além disso, um processo deve estar alinhado a métodos técnicos, abrangendo um arcabouço de processo, muitas vezes denominado framework. O guia PMBOK [PMI, 2013], define processo como uma combinação de atividades inter-relacionadas realizadas, com o intuito de atingir um objetivo, como alcançar resultados, produtos ou serviços. A qualidade do processo de software é uma abordagem comumente utilizada para alcançar a qualidade do software, como podem ser vistos em Humphrey (1989) e IEEE (2014). Portanto, atualmente existem algumas iniciativas na busca pela qualidade de software de forma padronizada, possibilitando melhor avaliação dos processos. Entre os padrões internacionais destacam-se o modelo de maturidade CMMI-DEV [SEI, 2010] e a norma ISO/IEC 12207 [ABNT, 2009], no âmbito nacional o MR-MPS-SW, integrante do programa MPS.BR [SOFTEX, 2012]. Também considerado uma referência em boas práticas no gerenciamento de projetos, há o guia PMBOK [PMI, 2013], porém de forma mais abrangente, determina boas práticas para projetos de quaisquer natureza, não especificamente para software. Todos estes padrões abordam a área de Gerenciamento de Riscos de maneira detalhada, porém com algumas semelhanças e diferenças entre si. Segundo o guia PMBOK, risco pode ser definido como a possibilidade de ocorrência de um evento ou condição que pode ter efeito positivo ou negativo em um objetivo de um projeto [PMI, 2013]. Logo o gerenciamento de riscos em projetos de software descreve uma abordagem integrada entre métodos, processos e artefatos, para analisar, controlar e monitorar continuamente os riscos, com o objetivo de reduzir as chances de falha do projeto [ABNT, 2008]. O trabalho de Ropponen e Lyytinen (2000), define gerência de riscos como uma abordagem que tenta formalizar práticas de sucesso orientadas a riscos em um conjunto de princípios e práticas prontamente aplicáveis. Enquanto que Chapman e Ward (2003), definem que o propósito da gerência de riscos é de melhorar a performance do projeto, através da identificação e avaliação sistemática de riscos, desenvolvendo estratégias para reduzi-los ou evitá-los, minimizando perdas e maximizando o sucesso do desenvolvimento do software. 20
XII Workshop de Teses e Dissertações em Qualidade de Software A partir destas definições, pode-se concluir, juntamente com a afirmativa de Avdoshin e Pesotskaya (2011), que um entendimento sistemático e profundo do domínio do problema, uma poderosa ferramenta de gerenciamento de riscos e práticas padronizadas ajudam a minimizar as perdas que eventuais riscos ocorridos podem proporcionar. Segundo Boehm (1991), a gerência de riscos pode ser dividida em oito principais passos: identificação, análise, priorização, gerência, planejamento, mitigação, resolução e monitoramento de riscos. Avdoshin e Pesotskaya (2011) identificaram que estudos mais recentes sintetizaram estes passos em cinco características: documentação de lições aprendidas e identificação, análise, planejamento de respostas e monitoramento de riscos. Estes passos vão nortear os diversos modelos de qualidade que abordam a gerência de riscos. Entre os modelos e normas de qualidade de software que determinam boas práticas para o gerenciamento de riscos, destacam-se a norma ISO/IEC 12207, os modelos CMMI-DEV e MR-MPS-SW, e os guias de práticas PMBOK e o padrão internacional para gerência de riscos definido pelo IEEE e ISO/IEC, a ISO/IEC 16085:2006 [IEEE, 2006]. 3. Metodologia e Estado Atual do Trabalho A realização deste trabalho iniciou-se com uma pesquisa exploratória relacionada ao referencial teórico do gerenciamento de riscos e de melhoria de processo de software (Etapa 1). Em seguida, foi realizada uma pesquisa bibliográfica para formar a base teórica relacionada ao gerenciamento de riscos e identificar trabalhos relacionados. Deste modo, foi possível identificar quais normas e modelos de qualidade de software poderiam ser agregados ao estudo (Etapa 2). A partir dos modelos e normas de qualidade selecionados, realizou-se uma análise documental do conteúdo relacionado ao gerenciamento de riscos, identificando as práticas de cada modelo ou norma envolvidos (Etapa 3). Em seguida, foi realizado um mapeamento entre estas práticas, identificando quais são semelhantes entre todos os modelos e/ou quais destacam-se em apenas um ou mais modelos (Etapa 4). Posteriormente, através do método hipotético-dedutivo, utilizando-se do conhecimento teórico adquirido, será realizada a proposta da metodologia de gerenciamento de riscos envolvendo todas as boas práticas coletadas, dando destaque para as que são aderentes a todos os modelos e normas envolvidos (Etapa 5). A metodologia deve detalhar atividades, papéis, ferramentas envolvidas e sugestões de implementação de cada atividade. Avaliações através de revisões por pares foram realizadas nos documentos gerados em cada etapa até aqui descrita (Etapa 6). Esta avaliação é sempre realizada por pelo menos um especialista em melhoria de processo de software, com experiência em gerenciamento de projetos de software e em implementação e avaliação de processo de software. A avaliação da metodologia em um ambiente real é um impeditivo, pois há um tempo reduzido para a conclusão do projeto, porém serão realizadas outras alternativas para consolidar informações e agregar sugestões. Assim, pretende-se realizar entrevistas com gerentes de projetos de software experientes, afim de coletar dados e observar comentários e feedbacks em relação à metodologia proposta (Etapa 7). 21
WTDQS 2014 Também pretende-se conduzir um experimento controlado com grupos de alunos, afim de coletar métricas e ratificar a metodologia, identificando que é adequada para aprendizagem ao facilitar o entendimento da gestão de riscos (Etapa 8). O experimento consistirá em selecionar dois grupos de alunos: um que utilizará a proposta de metodologia desenvolvida; e o outro que utilizará uma metodologia qualquer. Pretende-se avaliar a condução das tarefas definidas e monitorar sua execução utilizando sugestões de Travassos et al. (2002). Este trabalho culmina com a produção de uma ferramenta de software, atualmente em desenvolvimento, que terá o objetivo de sistematizar as tarefas descritas na metodologia proposta (Etapa 9). Porém, levando em consideração a possibilidade de adaptação da metodologia às particularidades das organizações. Os dados resultantes das etapas que serão realizadas também serão avaliados através de revisões por pares, como descrito na Etapa 6. A ferramenta também será avaliada através de questionários preenchidos por usuários, que testarão cenários hipotéticos. Um artigo retratando parte dos resultados desta pesquisa (Etapas 1 a 4) foi aceito para publicação na Revista Abakós (periodicos.pucminas.br/index.php/abakos). Temporariamente estes resultados estão disponíveis na forma de relatório técnico em http://spider.ufpa.br/projetos/spider_riscos/spider_relatoriotecnico.pdf. 4. Trabalhos Relacionados Através de uma revisão na literatura, foram analisados diversos trabalhos relacionados ao gerenciamento de riscos. Algumas propostas assemelham-se, porém não englobam práticas de diversos modelos de qualidades associadas às sugestões de implementação de processo, que é o objetivo geral deste projeto. A pesquisa de Raz e Hillson (2005) e de Gusmão e Moura (2004), apresentam uma comparação entre os principais padrões internacionais para o gerenciamento de riscos, com o objetivo de identificar quais etapas são similares em cada padrão. Por serem estudos mais antigos, podem ser considerados desatualizados, pois atualmente existem novas versões para alguns dos padrões abordados. Outros trabalhos mais recentes apresentaram mapeamentos entre modelos de qualidade de software, como o de Von Wangenheim et al. (2010), que realiza um mapeamento entre o modelo CMMI-DEV v1.2 e o Guia de Gerência de Projetos PMBOK 4ª edição, porém contempla apenas atividades relacionadas diretamente ao gerenciamento de projetos do guia CMMI-DEV (PP - Project Planning, PMC - Project Monitoring and Control, SAM - Supplier Agreement Management). Mutafelija e Stromberg (2009) realizam também um mapeamento entre o modelo CMMI, versão 1.2, e as diversas normas ISO (9001:2000; 20000:2005; 15288:2008; 12207:2008) através de uma relação binária entre o modelo CMMI e as normas ISO. O trabalho de Islam (2011), apresenta um framework para gerenciamento de riscos orientado a objetivos. O framework, denominado GSRM, possui quatro níveis de abstração: (1) objetivos do projeto; (2) identificação de obstáculos que impeçam que o projeto atinja seus objetivos (fatores de riscos ou perfil dos riscos); (3) para cada fator de risco, identificação de conseqüências (definição dos riscos); e finalmente, (4) definição de como deve ser realizado o tratamento e monitoramento aos riscos. O foco deste trabalho é relatar um estudo de caso, realizado com a implementação deste 22
XII Workshop de Teses e Dissertações em Qualidade de Software framework, no qual é apresentada a forma de avaliação e coleta de dados, o detalhamento do estudo de caso com as atividades realizadas, e uma discussão sobre resultados e conclusões obtidas após a finalização do experimento. Porém, a realidade apresentada no estudo de caso é apenas local (Europa), podendo haver grande diferença, caso haja aplicação do framework em outros contextos. Além disso, todo o processo poderia ser sistematizado, facilitando sua implementação, que inclusive, segundo o autor, pode ser complexa, caso hajam inúmeros objetivos em um projeto. Em seu trabalho, Tianyin (2011) apresenta uma visão geral sobre a gerência de riscos e cita alguns modelos de processos de gerenciamento de riscos. Há uma detalhada descrição de padrões, modelos e normas relacionados ao gerenciamento de riscos desde os anos 80 e citando os principais nomes e técnicas definidas na área. Apesar da lista de modelos de processos apresentada ser bastante diversificada, não há um detalhamento das práticas, também não são apresentados mapeamentos entre os modelos, a fim de concluir quais vantagens e desvantagens de cada um. Esta pesquisa destaca-se dos trabalhos relacionados, pois apresenta uma metodologia para implantação da gestão de riscos embasada nas versões mais atuais dos modelos de qualidade de software, através da identificação de boas práticas comuns encontradas no mapeamento entre estes modelos. Além disso o modelo de qualidade que recebe maior atenção neste trabalho é o MR-MPS-SW, modelo nacional que possui uma carência em estudos de mapeamentos relacionados a modelos de maturidade. 5. Resultados Esperados Este projeto tem o objetivo de propor uma metodologia abrangente para implantação da Gerência de Riscos em uma organização desenvolvedora de software. A metodologia a ser proposta deve agrupar boas práticas de Gerenciamento de Riscos constantes em modelos e normas, porém estas práticas devem ser totalmente aderentes às exigências do MR-MPS-SW, pois este projeto faz parte do escopo do Projeto SPIDER [OLIVEIRA et al., 2010]. O Projeto SPIDER tem como objetivo criar um suíte ferramentais aderente ao MR-MPS-SW para reduzir os custos de implementação deste modelo. Para alcançar este objetivo, espera-se que o projeto contemple os seguintes resultados: apresentação de como se dá o mapeamento da Gerencia de riscos entre os principais modelos e normas de qualidade de software; especificação do conjunto de boas práticas em Gerência de Riscos; definição do conjunto de técnicas e métodos usados na implementação da gerência de riscos; proposição de um modelo de processo de gerência de riscos; definição de um guia de entrevistas com Gerentes de Projetos, bem como a extração de seus resultados; elaboração e execução de experimento controlado para ratificar e consolidar a metodologia proposta; o desenvolvimento de software de apoio à gerencia de riscos, aderente à metodologia definida. 6. Agradecimentos Este trabalho recebe o apoio financeiro da CAPES a partir da concessão de bolsa institucional de mestrado ao PPGCC-UFPA. Este projeto é parte do Projeto SPIDER- UFPA. Referências ABNT - Associação Brasileira De Normas Técnicas, (2009) NBR ISO/IEC 12207:2009 - Engenharia de Sistemas de Software - Processos de Ciclo de Vida de Software. 23
WTDQS 2014 Avdoshin, S. M., Pesotskaya, E. Y. (2011) "Software risk management". 7th Central and Eastern European Software Engineering Conference (CEE-SECR). Boehm, B. (1991) "Software risk management: principles and practices". IEEE Software, 8, 1, p. 32-41 Brooks, F. P. (1986) "No Silver Bullet Essence and Accident in Software Engineering". In: IFIP Tenth World Computing Conference, p. 1069 1076. Chapman C. B., Ward, S.C. (2003) "Project Risk Management, Processes, Techniques and Insights". 2ª Edição. John Wiley. Chichester. Reino Unido. Glass, R. L. (1998) "Software Runaways: Monumental Software Disasters", Prentice- Hall. Humphrey, W. S. (1989) "Managing the Software Process, The SEI Series in Software Engineering". Addison-Wesley. IEEE - Institute of Electrical and Electronics Engineers (2006). "ISO/IEC 16085 - IEEE Std 16085-2006 - Systems and software engineering - Life cycle processes - Risk management". USA. IEEE - Institute of Electrical and Electronics Engineers (2014). "Guide to Software Engineering Body of Knowledge - SWEBOK". Version 3.0. USA. Islam, S. (2011) "Software development risk management model-a-goal-driven approach". Tese (Doutorado em Ciência da Computação), Institute für Informatik, Technische Universität München, Munique. Mutafelija, B., Stromberg, H. (2009) "Process Improvement with CMMI v1.2 and ISO Standarts". CRC Press, 2009. Oliveira, S. R. B. et al. (2010) SPIDER - Um Suite de Ferramentas de Software Livre de Apoio à Implementação do modelo MPS.BR. Anais do VIII Encontro Anual de Computação ENACOMP 2010, Catalão - GO. PMI - Project Management Institute (2013) "A Guide to the Project Management Body of Knowledge". Campus Boulevard, Newton Square, 5th Edition. Pressman, R. S. (2011) Engenharia de Software: Uma Abordagem Profissional. Mcgraw Hill. Raz, T., Hillson, D. (2005) "A comparative review of risk management standarts". Risk Management: An International Journal, v.7, n.4, p. 53-66. Ropponen, J., Lyytinen, K. (2000) "Components of Software Development Risk: How to Address Them?". IEEE Transactions on Software Engineering, v. 26, p.98-111. SEI - Software Engineering Institute (2010) "Capability Maturity Model Integration (CMMI) for Development"., Version 1.3, Carnegie Mellon, USA. SOFTEX - Associação para Promoção da Excelência do Software Brasileiro (2012) "Melhoria do Processo de Software Brasileiro (MPS.BR) - Guia Geral 2012". Brasil. SOFTEX - Associação para Promoção da Excelência do Software Brasileiro (2014) "Avaliações MPS-SW (Software) Publicadas (prazo de validade: 3 anos)". Disponível em http://www.softex.br/wp-content/uploads/2013/07/2avaliacoes- MPSSW-Publicadas_29.JAN_.2014_5331.pdf. Acesso em 02 de fevereiro de 2014. Sommerville, I. (2007) "Engenharia de Software". 8 ed. São Paulo. Pearson Addison- Wesley. Tianyin, P. (2011) "Development of software project risk management model review". 2nd International Conference on Artificial Intelligence, Management Science and Electronic Commerce (AIMSEC), p. 2979-2982. Travassos, G. H., Gurov, D., Amaral, E. A. G. (2002). "Introdução à Engenharia de Software Experimental". Programa de Engenharia de Sistemas e Computação. COPPE/UFRJ. Relatório Técnico RT-ES-590/02. Van Lamsweerde, A. (2009). " Requirements Engineering: From System Goals to UML Models to Software Specifications", Wiley. Von Wangenheim, C. G., Da Silva, D. A., Buglione, L., Scheidt, R., Prikladnicki, R. (2010). "Best practice fusion of CMMI-DEV v1.2 (PP, PMC, SAM) and PMBOK 2008." Information and Software Technology, 52, p. 749-757. 24