Gerncia de Risco em Processos de Qualidade de Software: uma Anlise Comparativa

Cristine Martins Gomes de Gusmo, Hermano Perrelli de Moura Centro de Informtica Universidade Federal de Pernambuco (UFPE) CP 7851, Cidade Universitria, Recife, PE, Brasil, 50732-970 E-mail: [cmgg, hermano]@cin.ufpe.br Resumo
O desenvolvimento de software geralmente repleto de incertezas, como problemas que ocasionam os atrasos de cronogramas, aumento de custos ou entrega dos produtos de forma insatisfatria. Embora alguns problemas no possam ser totalmente resolvidos, alguns podem ser controlados atravs de aes preventivas. A rea de gerncia de projetos que lida com estas incertezas ou problemas mesmo antes que eles ocorram a gerncia de riscos. Nos processos de qualidade de software, a gerncia de risco ponto fundamental para a garantia da qualidade do produto gerado. Este artigo tem a finalidade de proporcionar uma anlise detalhada das atividades de gerncia de risco presentes nos modelos de qualidade de software. Palavras-chave: Engenharia de Software, Gerncia de Risco, Qualidade do Processo, Modelos de Processo.

Abstract
The software development is generally full of uncertainties and problems that cause the delays of schedules, increase the costs or the delivery of products in an unsatisfactory form. Although some problems cannot be totaly solved, some ones can be controlled through preventive actions. Projects Management area that deals with these uncertainties or problems even before they occur, are Risk Management. In Software Quality Processes, Risk Management is a key to assurance the software quality. This article has the purpose to provide an overview of risk management process in quality models, through the comparative analysis of its activities. Keywords: Software Engineering, Risk Management, Quality Process, Process Models.

1.

Introduo

Atualmente, os sistemas de computao esto difundidos em todos os setores da vida moderna e apesar dos avanos nas tecnologias de software, a maioria dos sistemas continua difcil de entender, manter e evoluir [1]. Todo projeto de software enfrenta problemas de qualidade, de cronograma, e de custo que esto sendo afetados por riscos que so inesperados, no planejados ou ignorados simplesmente. Desta forma, medida que o tamanho e a complexidade dos sistemas de software crescem, aumenta a necessidade da utilizao de metodologias para o gerenciamento de riscos, apoiando os projetistas e gerentes de projetos de tecnologia da informao no desenvolvimento e efetivao de suas atividades, garantindo o cumprimento das metas do projeto, custos e prazos, e por fim, a qualidade do produto gerado. Atravs de perspectivas globais de negcios muitas organizaes esto tornando-se cada vez mais dependentes do sucesso ou do fracasso dos softwares que desenvolvem. Neste contexto, a gerncia de riscos no apenas baseada em boas prticas para o desenvolvimento de software, mas sim, boas prticas para gerir negcios. Muitas abordagens para gerenciar riscos em projetos de software vm sendo propostas e usadas desde que Boehm [2] e Charette [3] conseguiram trazer a ateno da comunidade de Engenharia de Software para a necessidade de gerir risco, atravs de suas propostas de processos da gerncia de risco. Embora existam muitos relatrios individuais de sucessos em desenvolvimento de software, atravs de utilizao de tcnicas na prtica, a indstria de software como um todo, parece ainda no aplicar ativamente e sistematicamente os mtodos

da gerncia de risco. Desta forma, muito se tem a fazer para permitir que a gerncia de risco, como a prpria gerncia de projetos, seja um processo que flua em todas as fases do desenvolvimento de software. 2. Processo de Gerncia de Risco em Engenharia de Software

O desenvolvimento de software pode ser considerado uma atividade de risco e diversos estudos e autores atuais comprovam que muitos dos problemas envolvidos em projetos de grande porte esto muito mais associados a falhas em atividades de gerenciamento do que falhas em atividades tcnicas [1]. A gerncia de risco uma prtica com processos, mtodos, e ferramentas para controlar riscos em um projeto [4]. A gerncia de risco em Engenharia de Software tem a finalidade de aumentar a qualidade do produto e do processo de desenvolvimento de software. Observa-se que os projetos de desenvolvimento de software, em geral, apresentam atrasos de cronogramas, custos realizados alm do planejado e funcionalidades aqum das expectativas. Esses problemas, embora considerados inerentes ao desenvolvimento de software por muitos autores, podem ser minimizados e controlados pelo contnuo gerenciamento de risco de projetos. Diversas abordagens que apresentam um processo para Gerncia de Risco, so encontradas na literatura da rea de Engenharia de Software. Destaca-se o programa de Gerncia de Risco do SEI (Software Engineering Institute) [4], programas desenvolvidos por organizaes que desenvolvem software [5] e abordagens desenvolvidas atravs da participao de especialistas [5]. Embora tenham caractersticas prprias, cada abordagem tem alguns princpios e atividades em comum. O Instituto de Engenharia de Software (SEI) (1990) define o processo de gerncia de risco de software atravs de um modelo contnuo de gerenciamento de riscos composto por seis fases distintas: Identificao de Riscos, Anlise de Riscos, Plano de respostas aos riscos, Rastreamento de riscos e Controle de riscos. Todas as fases esto ligadas atravs dos esforos de comunicao das equipes envolvidas no processo [4]. Boehm (1990) apresentou um processo para gerir riscos, composto por duas grandes fases: Avaliao de Riscos (Identificao, Anlise e Priorizao de riscos) e Controle dos Riscos (Plano de gerenciamento de riscos, Resoluo dos riscos e Monitoramento dos riscos) [2]. Charette (1990) definiu a engenharia de risco em software, composta por duas fases: Anlise de Riscos (Identificao de riscos, Estimativas de riscos e Avaliao de riscos) e Gerncia de Risco (Planejamento de riscos, Controle de riscos e monitoramento de riscos) [3]. Fairley (1994) apresenta o processo de gerncia de riscos em projetos de software atravs de sete passos: (1) Identificar os fatores de risco; (2) Avaliar as probabilidades e efeitos dos riscos; (3) Desenvolver estratgias para mitigar os riscos identificados; (4) Monitorar os fatores de risco; (5) Utilizar planos de contingncia; (6) Gerenciar crises; (7) Sair de crises [6]. Chapman e Ward (1997) descreveram um processo genrico, de gerncia de riscos de projetos, composto por nove passos: (1) Definir os aspectos chaves do projeto; (2) Focar a estratgia da abordagem de gerncia de risco escolhida; (3) Identificar onde os riscos podem surgir; (4) Estruturar as informaes sobre riscos e seus relacionamentos; (5) Assinalar o domnio do risco e as respectivas respostas; (6) Estimar a extenso das incertezas; (7) Avaliar a magnitude dos vrios riscos; (8) Planejar as respostas; (9) Gerenciar atravs da execuo de controles e monitoramentos [7].

No RUP (Rational Unified Process) (1998) o processo de gerncia de riscos apresentado baseado em suas fases de desenvolvimento do produto, de forma sistemtica: Concepo nfase nos riscos dos requisitos de negcio; Elaborao foco nos riscos tcnicos de definio da arquitetura do software; Construo tratamento dos riscos lgicos envolvidos na construo do produto e; Transio os riscos funcionais de utilizao do software [8]. O Instituto de Gerenciamento de Projetos (PMI Project Management Institute) (2000) apresenta seis fases para o processo de gerncia de riscos: Plano de gerncia de riscos, Identificao de riscos, Anlise quantitativa de riscos, Anlise qualitativa de riscos, Plano de respostas aos riscos e Monitoramento e Controle de riscos [9]. O SEI atravs dos modelos do CMMI (Capability Maturity Model Integrated) (2001) define o processo de gerncia de risco em trs fases: Avaliao de Riscos, Controle de Riscos e Relatrios de Riscos [10]. Tabela 1. Princpios bsicos da gerncia de risco [4]
PRINCPIO VISO
COMPARTILHADA DO PRODUTO

CARACTERSTICAS Compartilhamento da viso do produto com base em propsito comum, responsabilidade e comprometimento coletivo com o projeto; Foco em resultados. Trabalho cooperativo para atingir metas comuns; Concentrao e disponibilizao de talentos, habilidades e conhecimento. Visualizao do desenvolvimento de software (definio, projeto e desenvolvimento); Reconhecimento do valor potencial das oportunidades e do impacto dos possveis fatores adversos. Pensamento voltado para o futuro, identificao de incertezas, antecipao de possveis desfechos, gerenciamento dos recursos e atividades do projeto. Facilitao da comunicao formal, informal e espontnea; Utilizao de processos decisrios baseados em consenso que permitam valorizar opinies individuais. A gerncia de risco parte integral e vital para a gerncia de projetos; Adaptao dos mtodos e ferramentas de gerncia para a infra-estrutura do projeto, respeitando-se a cultura. Identificao e gerncia dos riscos executada rotineiramente em todas as fases do ciclo de vida do projeto. Amplo acesso ao conhecimento sobre gerncia de riscos, domnio do problema e sobre o processo de desenvolvimento de software.

TRABALHO EM EQUIPE PERSPECTIVA GLOBAL VISO

ANTECIPADORA

COMUNICAO
ABERTA

GERENCIAMENTO INTEGRADO CONTINUIDADE DO PROCESSO ACESSO AO

CONHECIMENTO

A Tabela 1 apresenta oito princpios bsicos da gerncia de risco que so compostos pela unio das caractersticas presentes nas abordagens estudadas. Pode-se destacar a abordagem do SEI [4] como a mais representativa da diversidade e abrangncia dos fatores apresentados. Os princpios bsicos da gerncia de risco so os fatores norteadores das atividades que precisam ser desenvolvidas. Na seo seguinte, apresentam-se as atividades fundamentais da gerncia de risco que so consenso na literatura da Engenharia de Software.

3.

Atividades da Gerncia de Risco

Na literatura de gerncia de risco em engenharia de software [4] parece haver um consenso sobre as atividades que compem o processo de gerncia de risco. Deve-se ressaltar que todas as atividades so baseadas e centradas na comunicao, devendo ser realizadas de forma cclica e contnua dentro do processo de gerncia de risco. Planejar a gerncia de risco. Esta atividade tem a finalidade de definir a estratgia do gerenciamento de risco, dos recursos necessrios para a realizao do processo e por fim, da efetivao das aes consideradas necessrias no plano de gerncia de risco. Identificar riscos. A identificao dos riscos a atividade inicial de um projeto de software. Objetiva um levantamento preliminar de todas as possibilidades de riscos existentes no projeto. O aspecto mais importante da atividade de identificao de riscos compor uma documentao formalizando os dados coletados. Analisar riscos. Nesta atividade so caracterizados os aspectos mais importantes de cada risco, com a finalidade de explorar as melhores estratgias de mitigao. De uma forma geral, os riscos so categorizados e priorizados, segundo algum critrio especfico estabelecido, para tornar a gerncia concentrada nos riscos considerados prioritrios. Planejar respostas aos riscos. O planejamento uma atividade da gerncia de risco que envolve, em geral, a determinao dos riscos a serem gerenciados, dos planos de ao para os riscos sob controle da gerncia e dos planos de contingncia para os riscos que se encontram alm das capacidades de mitigao. Monitorar riscos. O monitoramento dos riscos a observao da efetividade dos planos de ao na execuo do desenvolvimento do projeto de software. O objetivo prover informaes precisas e contnuas para habilitar a gerncia de risco a atuar de forma preventiva e no reativa aos eventos adversos. Como benefcio desta atividade, tem-se a melhor compreenso do andamento do projeto por parte dos membros das equipes de desenvolvimento. Cada risco monitorado, possui um ciclo de atualizao prprio. A freqncia de atualizao depende dos recursos disponveis e da rapidez com que o produto se desenvolve. Controlar riscos. A atividade de controle dos riscos avalia a situao corrente para determinar eventuais desvios do planejado. O controle dos riscos envolve alterao das estratgias de mitigao, quando se fizer necessrio; utilizao de aes previamente planejadas de contingncia; encerramento de trabalhos relacionados a um determinado risco, quando este deixar de existir, entre outras. A utilizao de cronogramas essencial para a atividade de controle em gerncia de riscos, pois o agendamento explcito de tarefas de mitigao de riscos facilita o acompanhamento do progresso e da eficcia destes planos. Comunicar os riscos. A comunicao entre as equipes e membros do projeto de software um dos fatores mais importantes para a realizao bem sucedida da gerncia de riscos. Riscos, problemas e crises podem aparecer, quando a estrutura de comunicao debilitada em uma organizao [11]. 4. Gerncia de Risco e Modelos de Qualidade do Processo de Software

Qualidade atualmente um dos maiores fatores de motivao em todas as reas da atividade humana. Embora seja um consenso, existe a necessidade de definio de uma base de entendimento universal para que se possa desenvolver atividades dirias. Vrias normas e modelos foram editados ou esto em desenvolvimento como forma de suprir esta necessidade.

A qualidade de software diretamente influenciada pela qualidade dos processos utilizados no desenvolvimento de software. Desta forma, a melhoria do processo de qualidade garante a melhoria da qualidade de software. Esta foi a base para a criao dos modelos de definio, avaliao e evoluo dos processos de software. Nas sees seguintes abordaremos alguns destes processos sob a viso das atividades da gerncia de risco. 4.1 Gerncia de Risco na ISO 9000-3

A norma ISO 9000-3 um guia de aplicao da norma ISO 9001 [12] para o desenvolvimento, fornecimento e manuteno de software. A norma ISO 9001 faz parte da srie de normas ISO 9000, voltadas para a gesto e garantia da qualidade. Estas normas especificam os requisitos mnimos para que as empresas possam assegurar a qualidade de seus produtos e servios, no definindo modelos ou impondo sistemas de qualidade a serem implementados nas organizaes. As empresas definem seus prprios modelos de gesto de qualidade, dependendo de seu tipo de negcio e suas caractersticas. As diretrizes propostas na norma ISO 9000-3 cobrem questes como o entendimento comum entre as partes (contratante e contratado) de requisitos funcionais e o uso de metodologias consistentes para o desenvolvimento de software e gerenciamento de projeto como um todo, da concepo at a manuteno. A norma ISO 9000-3 abrange todo o ambiente de desenvolvimento de software e detm seu foco na garantia da conformidade do produto e servios associados com as expectativas do cliente. Todas as orientaes da ISO 9000-3 dizem respeito situao contratual, onde uma empresa contrata a outra empresa para desenvolver um produto de software. A Tabela 2 mostra os processos definidos na norma ISO 9000-3. Tabela 2. Processos da norma ISO 9000-3
ELEMENTO ESTRUTURA DO SISTEMA DE QUALIDADE ATIVIDADES DO CICLO DE VIDA DESCRIO Responsabilidade do Fornecedor; Responsabilidade do Comprador; Anlise Crtica Conjunta. Anlise Crtica do Contrato; Especificao dos Requisitos do Comprador; Planejamento do desenvolvimento; Planejamento da qualidade; Projeto e implementao; Testes e validao; Aceitao; Cpia, Entrega e Instalao; Manuteno. Gerenciamento de configurao; Controle de documentos; Registros da Qualidade; Medio; Regras, Prticas e Convenes; Ferramentas e Tcnicas; Aquisio; Produto de Software Includo; Treinamento.

ATIVIDADES DE APOIO

A norma ISO 9000-3 no aborda explicitamente a gerncia de risco, mas em suas prticas, enaltece as atividades de identificao, anlise, controle e monitorao de riscos, inerentes a contratos, com a aplicao de aes corretivas e preventivas. Inclusive, com vistas melhoria contnua do processo de desenvolvimento, fornecimento ou manuteno de software, especificamente na contratao (validao dos requisitos de software especificados pelo comprador). A norma no define processos e sim atividades a serem cumpridas atravs de uma viso de estrutura, ciclo de vida e atividades de apoio.

4.2

Gerncia de Risco na ISO 12207 e ISO 15504

A ISO/IEC 12207 formaliza dos Processos do Ciclo de Vida do Software atravs de um framework com terminologias de processos bem definidos, ao invs de forar a utilizao de um determinado modelo de ciclo de vida ou mtodo de desenvolvimento de software [13]. A ISO/IEC 12207 a primeira norma internacional que descreve em detalhes os processos, atividades e tarefas que envolvem o fornecimento, desenvolvimento, operao e manuteno de produtos de software. A principal finalidade desta norma servir de referncia para os demais padres que venham a surgir. Lanada em agosto de 1995, ela citada em quase todos os trabalhos relacionados engenharia de software desde ento, inclusive queles relativos qualidade. Esta norma divide os processos em trs grandes classes: Processos Fundamentais, Processos de Apoio e Processos Organizacionais [13]. Processos fundamentais so compostos pelos processos de manuteno, aquisio, fornecimento, desenvolvimento e operao, responsveis pelo incio e execuo do desenvolvimento, operao ou manuteno do software durante o seu ciclo de vida. Processos de apoio so compostos pelos processos de documentao, gerncia de configurao, garantia da qualidade, verificao, validao, reviso conjunta, auditoria, e resoluo dos problemas que tm o papel de auxiliar um outro processo. Processos organizacionais so compostos pelos processos de gerncia, de infraestrutura, de melhoria e de treinamento que implementam uma estrutura constituda de processos de ciclo de vida e de pessoal associados, melhorando continuamente a estrutura e os processos. A ISO/IEC 12207 apresenta um detalhamento de cada um dos processos acima. Define como podem ser usados de diferentes maneiras por diferentes organizaes (ou parte destas), representando diversos pontos de vista para esta utilizao. Estas vises representam a forma como uma organizao pode utilizar estes processos, agrupando-os de acordo com suas finalidades e necessidades: Viso de Contrato dentro dos processos fundamentais, na viso do cliente e fornecedor, a integrao dos processos de aquisio e fornecimento. Viso Operacional ainda dentro dos processos fundamentais, esta viso enfoca o operador e os usurios, atravs do processo de operao. Viso de Engenharia esta viso proporciona a integrao dos processos de manuteno e desenvolvimento, favorecendo as equipes responsveis por estes processos, dentro dos processos fundamentais. Viso de Equipe de Apoio Integrao dos processos de apoio. A ISO/IEC 12207 est sendo alterada para ficar de acordo com a ISO/IEC 15504-5 (SPICE Software Process Improvement and Capability dEtermination) An Assessment Model and Indicator Guindance [14]. Desta forma, a ISO/IEC 12207 substituir os processos da norma ISO/IEC 15504, que estaro includos em seu anexo ISO/IEC PDAM 12207 [15]. O projeto SPICE objetivou a criao de normas para a avaliao de processos e a contnua melhoria desses processos, baseando-se nas melhores caractersticas de modelos de avaliao como CMM (Capability Maturity Model). A melhoria de processos realizada atravs de avaliaes, que descrevem prticas usuais da organizao, de uma unidade organizacional ou de um projeto. A anlise dos resultados feita em relao s necessidades do negcio da organizao, levantando aspectos negativos e positivos, como tambm os riscos envolvidos no processo em avaliao.

O processo de gerncia de risco, de acordo com a norma ISO 15504 [16], composto pelas seguintes atividades: Definio do escopo da gerncia de risco determinar o escopo da gerncia de risco que ser utilizada pelo projeto, de acordo com as polticas de gerncia de risco organizacional1. Identificao de riscos identificar riscos para o projeto, no incio e durante sua execuo. Anlise e priorizao de riscos avaliar a probabilidade de ocorrncia, o impacto, o tempo de ocorrncia, a causa e as relaes entre os riscos para determinar a prioridade de aplicao dos recursos para a reduo desses riscos. Definio da estratgia para gerir risco definir uma estratgia apropriada para gerenciar um risco ou um conjunto de riscos, em nvel de projeto e em nvel organizacional. Definio das mtricas para cada risco ou conjunto de riscos, definir as mtricas2 para aferio da mudana na situao do risco e do progresso das atividades de reduo. Implementao da estratgia da gerncia de risco executar a estratgia definida para a gerncia de risco, em nvel de projeto e em nvel organizacional. Avaliao dos resultados em pontos de controle pr-determinados, aplicar as mtricas definidas para avaliar o progresso esperado e o nvel de sucesso da estratgia da gerncia de risco. Execuo das aes corretivas3 quando o progresso esperado na reduo do risco no alcanado, executar aes corretivas para corrigir ou evitar o impacto do risco. Um dos aspectos positivos da ISO 15504 a expanso e flexibilizao dos modelos de qualidade (TQM, PDCA, SW-CMM, etc.), mas devido a grande quantidade de informao necessita de treinamento e capacitao para sua efetiva aplicao. 4.3 Gerncia de Risco no SW-CMM (Capability Maturity Model for Software)

Em 1987, o SEI Software Engineering Institute, sob a coordenao de Watts Humphrey, gerou a primeira verso do que veio a se chamar modelo CMM Capability Maturity Model. O modelo era composto pelos documentos de maturidade de processos [5] e pelo questionrio de maturidade [17]. Em 1991, o SEI evoluiu a estrutura de maturidade de processo para o SW-CMM Capability Maturity Model for Software [18]. O SW-CMM foi o primeiro modelo desenvolvido na rea de maturidade e capacidade organizacional, na rea de desenvolvimento de software. Foi uma requisio do Departamento de Defesa do Estados Unidos ao Instituto de Engenharia de Software (SEI - Software Engineering Institute) da Universidade Carnegie Mellon (Carnegie Mellon University). O SW-CMM estabelece cinco nveis de maturidade sendo que cada um desses nveis indica a capacidade do processo. Cada nvel caracterizado pela existncia de determinados processos, chamados de KPA Key Process Areas (reas-Chave de Processo). A qualidade na execuo do processo, o nvel de acompanhamento desta execuo e a adequao dos processos aos projetos so alguns dos fatores medidos para a determinao do nvel de maturidade da organizao.
1 2

Assuntos que so considerados no escopo incluem severidade, probabilidade e tipo de risco. As mtricas deveriam cobrir mudanas na probabilidade, no impacto e temporalidade da ocorrncia do risco. 3 Aes corretivas podem envolver o desenvolvimento ou implementao de novas estratgias de reduo ou ainda, o ajuste das estratgias existentes.

O SW-CMM tem cinco nveis de maturidade onde o nvel mais avanado corresponde a uma maior maturidade do processo que est associado a uma maior produtividade e qualidade, e a um menor risco. A Tabela 3 apresenta os nveis de maturidade e as reas chaves dos processos do SW-CMM verso 1.2. Tabela 3. Nveis de maturidade e reas chaves de processo SW-CMM verso 1.2 [18]
NVEIS NVEL 5 OTIMIZADO REAS CHAVES DE PROCESSO Preveno de Defeitos Gerenciamento de mudanas tecnolgicas Gerenciamento de mudanas de processo Gerenciamento quantitativo do processo Gerenciamento de Qualidade de Software Foco no processo organizacional Definio do processo organizacional Programa de treinamento Engenharia do produto de software Gerenciamento integrado do software Coordenao entre grupos Revises Gesto de requisitos Planejamento de Projeto de Software Acompanhamento e Superviso de Projeto de Software Gesto de Subcontratao de Software Garantia da Qualidade de Software Gesto de Configurao N/A RESULTADO Maior produtividade e qualidade, menor risco

NVEL 4 - GERENCIADO NVEL 3 DEFINIDO

NVEL 2 - REPETITIVO

NVEL 1 - INICIAL

Menor produtividade e qualidade, maior risco

A atividade de gerncia de risco est localizada no nvel 2, na KPA de Planejamento de Projeto de Software: Analisar os riscos do software associados a custo, recursos, cronograma e aspectos tcnicos do projeto identificados, avaliados e documentados. Onde na realidade, existe um conjunto de tarefas associadas: Anlise dos riscos do projeto com a priorizao dos mesmos de acordo com o impacto; e Definio dos planos de contingncias para os riscos identificados que no tenham condies de serem eliminados. O SW-CMM um modelo aplicvel s organizaes que desejam uma avaliao de seus processos e enquadramento em um dos seus nveis de maturidade, mas uma das grandes limitaes a pouca nfase dada diversidade das organizaes, dificultando sua aplicaes em organizaes de pequeno porte. 4.4 Gerncia de Risco no CMMI (Capability Maturity Model Integration)

Em decorrncia da evoluo do modelo SW-CMM (Software Capability Maturity Model), em 2000 foi lanado o modelo CMMI Capability Maturity Model Integration, que agrega, alm da representao por estgios (SW-CMM), a representao contnua [10]. O CMMI foi desenvolvido com objetivos especficos, voltados para a substituio de todos os modelos CMM: eliminar inconsistncias e diminuir as redundncias; maior visibilidade e entendimento do uso de uma terminologia comum; e assegurar a conformidade com a norma ISO/IEC 15504.

O CMMI oferece uma avaliao e melhoria de processos organizacionais de forma efetiva e eficiente; reduz os custos de formao e avaliao; promove uma viso integrada da melhoria dos processos organizacionais; e um novo meio de representao da informao de disciplinas especficas, atravs do uso de modelos de melhoria testados [10]. De acordo com a Tabela 4, pode-se visualizar os nveis e as reas de processos equivalentes. As atividades de gerncia de risco esto definidas no nvel 3 Definido, na rea de processo de gerenciamento de riscos. Tabela 4. CMMI reas de Processos
NVEL 5 OTIMIZADO 4 GERENCIADO
QUANTITATIVAMENTE

3 DEFINIDO

2 GERENCIADO

1 INICIAL

FOCO REA DE PROCESSO MELHORAMENTO CONTNUO DO Inovao Organizacional PROCESSO Anlise de causas e resolues. GERENCIAMENTO Performance organizacional do processo QUANTITATIVO Gerenciamento quantitativo de projetos PADRONIZAO DO PROCESSO Requisitos de desenvolvimento Solues tcnicas Integrao de produtos Verificao Validao Foco no processo organizacional Definio do processo organizacional Treinamento organizacional Gerenciamento de projeto integrado Gerenciamento de riscos Integrao da equipe de trabalho Gerenciamento integrado de suprimentos Anlise de decises Ambiente organizacional para integrao GERENCIAMENTO BSICO DE Gerenciamento de requisitos PROJETOS Planejamento do projeto Controle e monitorao do projeto Gerenciamento de suprimentos Avaliao e anlise Garantia da qualidade do processo e produto Configurao do gerenciamento N/A N/A

Este modelo subdividido em reas de processos, com quatro categorias: Processos de Gerncia de Processo, Processos de Gerncia de Projeto, Processos de Engenharia e Processos de Apoio. A Tabela 5 mostra as reas-chave de processos dentro das categorias do CMMI.

Tabela 5. Distribuio das reas-chave nos processos do CMMI [10]

CATEGORIA DE PROCESSO Gerncia de Processo GRUPO DE REA DE PROCESSO Bsico PROCESSOS Foco no Processo Organizacional, Definio do Processo Organizacional, Treinamento Organizacional Execuo do Processo Organizacional, Entrega e inovao organizacional Planejamento de Projeto Monitoramento e Controle de Projeto Gerncia de Contratos com Fornecedores Gerncia integrada de projeto Gerncia de risco Gerncia quantitativa de projeto Desenvolvimento de requisitos Gerncia de requisitos Soluo tcnica Integrao do Produto Verificao Validao Gerncia de Configurao Gerncia de Qualidade de Produto e de Processo Anlise e Medio Resoluo e anlise de deciso Resoluo e anlise de causa

Avanado Gerncia de Projeto Bsico

Avanado

Engenharia

Processo de Apoio

Bsico

Avanado

A gerncia de risco pode ser iniciada j no nvel 2, dentro da rea de processo de Planejamento de Projeto e Monitoramento e Controle de Projeto, com a simples identificao dos riscos, tendo como objetivo o conhecimento e tratamento quando ocorrerem. A categoria de processo de Gerncia de Risco uma evoluo dessas prticas para: planejamento sistemtico, antecipao e minimizao de riscos para a reduo proativa de seus impactos no projeto. 5. Anlise Comparativa dos Processos de Gerncia de Risco

As definies dos processos apresentados na seo anterior, diferenciam-se em relao nomenclatura utilizada para a descrio das atividades, subdiviso dessas atividades em tarefas e na definio do escopo de determinadas atividades. Atravs da Tabela 6 pode-se melhor visualizar a similaridade entre os processos de gerncia de risco analisados, tendo como referncia as atividades apresentadas na Seo 3. Todos os processos estudados pregam que as atividades devem ser executadas de forma contnua e cclica, promovendo a anlise de riscos que durante os levantamentos iniciais no tenham sido percebidos ou que tenham apresentado sinais de ocorrncia quando o projeto j tenha sido iniciado.

Tabela 6. Anlise comparativa das atividades do processo de gerncia de risco

PROCESSOS ATIVIDADES PLANEJAR A GERNCIA DE RISCO IDENTIFICAR RISCOS ANALISAR RISCOS ISO-9000-3 Planejar o desenvolvimento do projeto Identificar Riscos Analisar problemas potenciais ISO-12207 / ISO15504 Definio do escopo da gerncia de risco CMM No existe meno a esta atividade CMMI Determinar as origens e as categorias de riscos Definir parmetros Estabelecer estratgia Identificar Riscos Priorizar, estimar e classificar riscos Avaliar e classificar cada risco. Desenvolver planos para reduzir riscos

Identificar Riscos Analisar e priorizar riscos

PLANEJAR RESPOSTAS AOS RISCOS

Definir planos de contingncia

Definir a estratgia para a gerncia de risco

MONITORAR RISCOS

Verificar a execuo dos procedimentos do plano de desenvolvimento do projeto

CONTROLAR RISCOS COMUNICAR

OS RISCOS

Controlar a execuo do projeto Comunicao implcita

Definir mtricas para riscos Implementar a estratgia da gerncia de risco Avaliar os resultados da estratgia da gerncia de risco Executar aes corretivas No existe meno a esta atividade Comunicao implcita

Identificao dos riscos Anlise dos riscos do projeto com a priorizao dos mesmos de acordo com o impacto Definio dos planos de contingncias para os riscos identificados que no tenham condies de serem eliminados No existe meno a esta atividade

Implementar planos para reduzir riscos

No existe meno a esta atividade Comunicao implcita

No existe meno a esta atividade Comunicao implcita

Os nicos processos estudados que apresentam a atividade Planejar a Gerncia de Risco so os das normas ISO 9000-3 [12], ISO 12207 [13], ISO 15504 [16] e CMMI [10]. As vantagens de apresentar esta atividade so as definies dos recursos de hardware, software e pessoal necessrio realizao da gerncia de risco, baseado no plano de escopo. Determinar as origens e as categorias desses recursos e definir indicadores. Para acompanhar a produtividade, proporcionam uma estratgia de utilizao e otimizao dos recursos efetivamente alocados no projeto. Como desvantagem apresenta-se o custo e o tempo atrelado ao desempenho desta atividade e tarefas complementares. A atividade Identificar Riscos aparece em todos os processos estudados, onde sua principal finalidade levantar os riscos associados ao projeto. Esta atividade vital para o processo, pois promove a identificao dos provveis fatores e eventos associados a esses riscos, bem como o impacto do risco no projeto. De uma forma geral, todos os processos estudados tm em comum a atividade Analisar Riscos. As abordagens do SW-CMM [18] e CMMI [10] apresentam explicitamente as necessidades de avaliar e estimar os esforos para eliminar os riscos levantados.

A atividade Planejar Respostas aos Riscos tem o objetivo de definir os planos de aes corretivas, preventivas e de contingncia para o efetivo controle dos riscos. Esta atividade aparece em todas as abordagens, com variaes de nomenclatura, tais como: no CMMI estabelece-se como reduo de riscos; j o CMM frisa a definio dos planos de contingncias para os riscos que no sero eliminados, com o intuito de mitiga-los. De todas as atividades estudadas, nos processos analisados, esta atividade a mais importante, pois a partir dela que os planos e aes sero traados para conter os riscos. A atividade Monitorar Riscos aparece com o mesmo significado, em todos os processos, com exceo das normas ISO 12207 [13] , ISO 15504 [16] e CMMI [10]. As normas ISO condensam muitas atividades que poderiam ter suas definies no Planejamento das respostas aos riscos, como por exemplo, definio das mtricas. J o CMMI associa a atividade reduo dos riscos, que uma forma de controle. Todos os processos de uma forma geral, colocam implicitamente as aes corretivas como forma de replanejamento e correo dos desvios encontrados ao longo do acompanhamento da execuo do projeto. Esta atividade apresenta a vantagem de garantir a aplicao das definies do plano de gerncia de riscos pelo monitoramento contnuo do projeto. A atividade Controlar Riscos envolve a avaliao da situao atual para determinao de possveis desvios do plano inicial de gerncia de risco. Com exceo do processo apresentado pela norma ISO 9000-3 [12], a atividade de controle de risco tratada implicitamente na atividade de monitorar riscos. A necessidade da atividade de Comunicao no explicitada em nenhum dos processos analisados, embora seja implcita em todo projeto de software, independentemente de abordagem ou modelo utilizado. A comunicao entre os membros do projeto de software um dos fatores mais importantes para a realizao bem sucedida da gerncia de risco. Riscos, problemas e crises podem aparecer, quando a estrutura de comunicao falha em uma organizao. 6. Consideraes Finais

A gerncia de risco adiciona gerncia de projetos uma abordagem estruturada para identificao e anlise de riscos no incio do planejamento do projeto e no decorrer das fases de desenvolvimento de software. O planejamento de respostas aos riscos cria a perspectiva de se obter alternativas e planos de contingncias para se mitigar os riscos, enquanto as funes de monitorao e controle dos processos de gerncia de risco se combinam com a funo de controle da gerncia de projetos. A partir desta anlise comparativa das atividades dos processos de qualidade, sob a viso do processo de gerncia de riscos, pode-se concluir que: no existe um processo padro para gerenciar riscos. O que existem so prticas consolidadas na gerncia de projetos: identificar, analisar, priorizar e controlar riscos; no existe a indicao de processos e mtodos que possam ser utilizados na execuo das atividades para o gerenciamento de riscos; as organizaes ajustam seus processos s atividades de gerncia de risco, de acordo com a sua realidade; nenhum dos processos apresenta um detalhamento das tarefas que possivelmente compem as atividades propostas; e

nenhum dos processos apresenta a necessidade da efetiva realizao de avaliaes de riscos sob a tica qualitativa4 e quantitativa5, uma vez que o ambiente organizacional, pela competitividade no ambiente de negcios, coloca os gerentes e as empresas em contato com escassez de recursos, estreitas oportunidades e constantes mudanas ocasionadas por demandas de clientes internos e externos. Neste estudo, procurou-se mostrar que a gerncia de risco fator de grande importncia e utilidade no alcance da maturidade organizacional. As atividades de identificao, anlise e monitorao de riscos devem ser realizadas de forma sistematizada e controlada, durante todo o processo. Salienta-se a necessidade de avaliaes constantes e contnuas dos fatores e eventos associados a cada risco priorizado, como uma forma de implementar a melhoria e garantir a qualidade do processo de desenvolvimento de software. Finalmente, as avaliaes propostas devem levar em considerao mtodos de coleta de dados qualitativos e quantitativos, subsidiando os gestores na tomada de deciso, pois os riscos associados a cada projeto devem ser visualizados de acordo com suas particularidades.

4 5

Abordagem Qualitativa: anlise baseada em experincia e viso subjetiva. Abordagem Quantitativa: indica a anlise de quantidades numricas ou valoradas.

Referncias Bibliogrficas 1. HALL, E. M. 1998. Managing Risk. 2 Ed. USA: Addison Wesley. p 88-103. 2. BOEHM, B. W. 1991. Software Risk Management: principles and practices, IEEE Software, Volume 8. No1. p 32-40. 3. CHARETTE, R. 1990. Application strategies for risk analysis. New York: MultiScience Press. p 17-21. 4. HIGUERAG, P.R. 1994. An Introduction to Team Risk Management, Technical Report. Software Engineering Institute, Carnegie Mellon University. USA. 5. HUMPHREY, W. 1987. Characterizing the software process: a maturity framework, Technical Report. Software Engineering Institute, Carnegie Mellon University, USA. 6. FAIRLEY, R., 1994. Risk Management For Softwares Projects. IEEE Software. p 54-66. 7. CHAPMAN, C. e WARD, S. 1997. Project Risk Management: Processes, Techniques and Insights. John Wiley & Sons. p 30-41. 8. KRUCHTEN, P. 2003. Introduo ao Rup: Rational Unified Process. 2 Ed. Cincia Moderna. So Paulo. p 25-36. 9. PMI - PROJECT MANAGEMENT INSTITUTE. 2000. A Guide to the Project Management Body of Knowledge. Disponvel na URL: <http://www.pmi.org/pmi/publictn/pmboktoc.htm>. Acesso em: 25.07.2003. 10. SOFTWARE ENGINEERING INSTITUTE, 2001. CMMI - Capability Maturity Model Integration version 1.1 Pittsburgh, PA. Software Engineering Institute, Carnegie Mellon University. USA. 11. HUMPHREY, W.S. 1990. Managing the Software Process. Addison Wesley. p 917. 12. NBR ISO 9001, 2000. ISO 9001 - Sistema de Gesto de Qualidade Requisitos. Associao Brasileira de Normas Tcnicas ABNT. Rio de Janeiro. 13. NBR ISO 12207. 1998. ISO 12207 Tecnologia de Informao Processos de ciclo de vida de software. Associao Brasileira de Normas Tcnicas ABNT. Rio de Janeiro. 14. ISO/IEC 15504. 1999. ISO 15504 Part 5: An Assessmente Model and Indicator Guidance, ISO/IEC JTC1 SC7. International Standard Organization ISO/IEC. 15. ISO/IEC PDAM 12207. 2002. ISO/IEC 12207 Information Tecnology Ammendment to ISO/IEC 12207, ISO/IEC JTC1 SC7. International Standard Organization ISO/IEC. 16. ISO/IEC 15504. 1999. ISO 15504 Software Process, ISO/IEC JTC1 SC7. International Standard Organization ISO/IEC. 17. HUMPHREY, W. 1987. A method for assessing the software engineering capability of contractors. Pittsburgh, PA. Software Engineering Institute, Carnegie Mellon University. USA. 18. PAULK, M. 1993. Capability Maturity Model for Software version 1.1. Pittsburgh, PA. Software Engineering Institute, Carnegie Mellon University. USA.