M�todo de Avalia��o do Risco em Software

O SEI (Software Engineering Institute), desenvolveu um m�todo de avalia��o do risco em software (ou SRE - Software Risk Evaluation) e elaborou um relat�rio t�cnico para disponibilizar a pr�tica do SRE � comunidade de desenvolvimento de software. O objectivo � fazer com que as organiza��es de desenvolvimento de software possam seguir e adaptar o processo preconizado no m�todo do SEI.

�
A descri��o do m�todo foi escrita para clarificar aquilo que � importante alcan�ar durante cada um dos cinco passos do SRE e quais os produtos desses passos que precisam de estar em ordem para avan�ar com o processo de forma fi�vel. Antes de avan�ar conv�m, no entanto, sublinhar, dois aspectos que podem ser relevantes para os leitores.

Por um lado, o trabalho do SEI relacionado com o m�todo SRE foi patrocinado pelo departamento de defesa dos Estados Unidos. Al�m disso, o SEI � um instituto de investiga��o da Carnegie Mellon University e esteve na origem do CMM e do CMMI (Capability Maturity Model Integration). Por outro lado, n�o nos vai ser poss�vel reproduzir aqui (nem � esse o objectivo) o m�todo SRE do SEI. Para esse efeito, os leitores dever�o visitar a �rea de publica��es do site Web do instituto - www.sei.cmu.edu/publications/pubweb.html.

Para qu� a Gest�o do Risco?

De acordo com o SEI, o SRE (Software Risk Evaluation) � um processo para identificar, analisar e desenvolver estrat�gias de mitiga��o para os riscos inerentes a um sistema intensivo de software enquanto este est� a ser desenvolvido. Este processo tem vindo a ser desenvolvido no SEI desde 1992 e j� foi utilizado com muitos fornecedores, incluindo fornecedores do departamento de defesa americano. A descri��o do m�todo SRE (ou SRE Method Description) fornece:

Uma descri��o dos princ�pios do m�todo SRE, incluindo conceitos e aplica��es �teis;
Informa��o adicional sobre o processo SRE para que uma organiza��o possa adaptar o processo de forma respons�vel para responder �s suas pr�prias necessidades;
Listas de resultados chave espec�ficos para cada passo do processo, podendo ser utilizadas para avaliar a qualidade da execu��o.

O objectivo do SEI com esta descri��o do m�todo � permitir que os membros de uma equipa de melhoria de processos de uma organiza��o sejam capazes de realizar uma avalia��o inicial dos riscos de software sem ajuda externa e depois melhorarem continuamente o seu processo ao longo do tempo.

Mas para qu� a gest�o do risco? Todos os projectos t�m algum n�vel de risco associado. Mesmo que o produto a ser desenvolvido seja simplesmente uma vers�o de um sistema ou produto existente, poder�o surgir riscos em �reas como:

Altera��es na equipa de desenvolvimento (e consequentes n�veis de experi�ncia relativamente ao produto);
Altera��o das condi��es de mercado e das expectativas do cliente;
Altera��o das condi��es de neg�cio para a organiza��o de desenvolvimento.

Quanto melhor for a compreens�o dos riscos, mais aptos estaremos para os gerir. A defini��o de risco proposta pelo SEI diz que o risco "� a possibilidade de sofrer perdas". Num projecto de desenvolvimento, a perda descreve o impacto para o projecto, podendo assumir a forma de diminui��o da qualidade do produto final, de aumento dos custos, de atrasos na conclus�o, de perda de quota de mercado, ou de fracasso.

Por outro lado, podemos dizer que os riscos e as oportunidades andam sempre de m�os dadas. O sucesso tamb�m nunca � alcan�ado sem algum grau de risco. Como j� algu�m disse, o risco em si n�o � mau. Na realidade at� � essencial para o progresso. Quanto ao fracasso, � frequentemente um aspecto chave da aprendizagem. O desafio nesta mat�ria consiste em aprender a balancear as poss�veis consequ�ncias negativas do risco com os potenciais benef�cios das oportunidades que lhe est�o associadas.

Para serem bem sucedidos, os gestores de projecto n�o t�m outra alternativa que n�o seja encarar os riscos de frente. Os riscos mais comuns incluem:

Um novo processo de desenvolvimento;
Os requisitos t�cnicos do produto ou do pr�prio sistema;
Limita��es impostas ao projecto ou produto pelos clientes ou pelo mercado;
Or�amentos e agendas agressivos.

Para os gestores de projecto, o desafio consiste em conhecer os riscos que o projecto enfrente e geri-los. O SRE � uma ferramenta que responde a esse desafio e representa a implementa��o do paradigma de gest�o de risco do SEI. Os elementos deste paradigma est�o expressos na figura que se segue.

A identifica��o faz com que todos os riscos conhecidos de um projecto se tornem expl�citos antes de se transformarem em problemas. Por sua vez, a an�lise transforma os dados dos riscos em informa��o para a tomada de decis�es. Quanto ao planeamento, transforma a informa��o sobre os riscos em decis�es e em ac��es de mitiga��o (presentes e futuras), al�m de implementar essas ac��es.

O acompanhamento permite monitorizar os indicadores dos riscos e as ac��es de mitiga��o. O controlo corrige os desvios relativamente aos planos de mitiga��o dos riscos. A comunica��o permite a partilha de toda a informa��o ao longo do projecto e � a pedra mestra para uma gest�o eficaz dos riscos.

O que � um SRE?

O SRE (Software Risk Evaluation) inclui a identifica��o, an�lise, planeamento e comunica��o do paradigma de risco do SEI. Os restantes elementos do paradigma (acompanhamento e controlo) n�o s�o considerados durante um SRE. Um SRE, de acordo com o SEI, � uma ferramenta de diagn�stico e de tomada de decis�o para um projecto. � utilizado para identificar e categorizar declara��es de riscos espec�ficos de projecto emanadas do produto, do processo, ou de fontes de limita��o. Um SRE tem os seguintes atributos:

Forma as pessoas para efectuarem sistematicamente a identifica��o, an�lise e mitiga��o dos riscos;
Coloca o enfoque nos riscos que possam afectar a entrega e a qualidade do software e dos produtos de sistema;
Fornece aos gestores de projecto e ao restante pessoal m�ltiplas perspectivas sobre os riscos identificados;
Cria as bases para uma gest�o cont�nua e em equipa (cliente e fornecedor) dos riscos.

Um SRE tamb�m fornece aos gestores de projecto um mecanismo de alerta estruturado para a antecipa��o e resolu��o dos riscos do projecto. De igual modo, introduz um conjunto de actividades que d�o in�cio ao processo de gest�o dos riscos. Estas actividades podem ser integradas com m�todos e com ferramentas existentes para a melhoria das pr�ticas de gest�o dos projectos.

O principal prop�sito de um SER consiste em fornecer uma imagem clara e compreens�vel dos riscos que possam afectar o projecto. Esta imagem pode ent�o ser utilizada para:

Diagn�stico (os riscos s�o aceit�veis para iniciar o projecto?);
Criar uma baseline dos riscos (o SRE identifica os riscos cr�ticos antes de se transformarem em problemas, podendo assim ser geridos de forma cont�nua);
Preparar um milestone cr�tico no ciclo de vida do projecto;
Recuperar de uma situa��o de crise (o SRE fornece uma forma de restabelecer uma baseline de um projecto).

Para maximizar o impacto de um SRE bem sucedido, os membros da equipa de um projecto ter�o que ser formados de forma adequada e o SRE ter� que contar com um l�der experiente e autorizado. Para que um SRE seja bem sucedido, as organiza��es dever�o desenvolver internamente a capacidade para tal. O SEI prop�e uma abordagem para esse efeito.

Quando se considera o papel do SRE na gest�o de risco, existem dois pontos de vista que podem ser considerados. Num deles, o SRE � utilizado como ferramenta para um diagn�stico pontual e isolado. No outro, � encarado como o iniciador de uma gest�o cont�nua dos riscos (sejam eles de um projecto, de uma organiza��o, ou de uma equipa). � neste segundo caso que o SRE � mais eficaz.

O m�todo SRE proposto pelo SEI

De acordo com o m�todo proposto pelo SEI, o SRE � implementado em cinco fases, como mostra a figura que se segue.

A fase de defini��o (contracting) envolve as actividades necess�rias para identificar os objectivos do projecto, obter acordos relativamente ao SRE e coordenar recursos para a sua execu��o.

Durante a fase de identifica��o e an�lise dos riscos (RI&A) a equipa de SRE visita as instala��es de desenvolvimento do projecto e faz entrevistas estruturadas aos membros da equipa de projecto para a obten��o de declara��es relativas a riscos. Estas declara��es relativas aos riscos s�o analisadas, priorizadas (de acordo com o seu impacto no projecto) e agrupadas em �reas de risco. A equipa de SRE apresenta depois essa informa��o aos elementos e ao gestor do projecto.

Na fase de relat�rio interm�dio, a equipa de SRE reavalia as �reas de risco e recomenda aquelas que devem ser consideradas no planeamento estrat�gico de mitiga��o. Esta recomenda��o ter� que obter a concord�ncia do gestor de projecto antes de se avan�ar para a fase seguinte.

A fase de planeamento estrat�gico de mitiga��o (MSP) coloca o enfoque na constru��o de planos de mitiga��o de alto n�vel para o subconjunto seleccionado de �reas de risco. Os elementos do projecto, a gest�o e a equipa de SRE trabalham em conjunto para criarem objectivos, estrat�gias e actividades para a mitiga��o das preocupa��es identificadas nas �reas de risco. Agora que est�o equipados com a informa��o, os planos e o apoio necess�rios, os elementos do projecto podem iniciar a mitiga��o dos seus riscos mais cr�ticos.

Na fase de relat�rio final, os planos relacionados com a estrat�gia de mitiga��o s�o adicionados � informa��o j� compilada e � elaborado o relat�rio final. O relat�rio final e os dados de risco associados s�o ent�o apresentados ao gestor do projecto.

�
Produzido em 2005

Topo

Agenda

Destaques