XII Workshop de Teses e Dissertaes em Qualidade de Software

Uma Proposta de Metodologia para Gerenciamento de

Riscos em Projetos de Software aderente a Modelos e Normas
de Qualidade de Processo de Software
Heresson Joo Pampolha de Siqueira Mendes1, Sandro Ronaldo Bezerra Oliveira1
1

Programa de Ps-Graduao em Cincia da Computao (PPGCC) Universidade

Federal do Par (UFPA) - Rua Augusto Corra, 01 Guam Belm - PA - Brasil
heresson@gmail.com, srbo@ufpa.br

Abstract. This paper presents a proposal of methodology for Risk

Management process, which intends to comply with the best practices of the
leading software quality models: MR-MPS-SW, CMMI-DEV, ISO/IEC 12207,
PMBoK and ISO/IEC 16085.
Resumo. Este trabalho apresenta uma proposta de metodologia para
implementao do processo de Gerncia de Riscos em organizaes
desenvolvedoras de software, que visa atender s boas prticas apresentadas
em alguns dos principais modelos e normas relacionados qualidade de
software: MR-MPS-SW, CMMI-DEV, ISO/IEC 12207, PMBoK e ISO/IEC
16085.
1. Caracterizao do Problema
O desenvolvimento de um software no repetitivo e imprevisvel, envolvendo alta
complexidade, necessitando estar em conformidade com as necessidades do cliente,
sujeito a constante mudanas, alm de ser intangvel [BROOKS, 1986]. Uma maneira
encontrada para tentar ultrapassar estas dificuldades atravs de modelos e normas, que
so guias para executar boas prticas em processos de software, fornecendo diretrizes
em diversas disciplinas relacionadas ao desenvolvimento de software, entre elas est o
Gerenciamento de Riscos.
As dificuldades apresentadas por Brooks (1986), perduram at hoje,
confirmando-se com a citao de Pressman (2011), que evidencia a importncia desta
rea do conhecimento ao afirmar que software uma empreitada difcil, muitas coisas
podem dar errado, portanto entender os riscos e tomar medidas proativas para evit-los
essencial para um bom gerenciamento do projeto de software.
Profissionais e pesquisadores concordam que para a gerncia de riscos ser
efetiva necessrio inclu-la desde as fases iniciais do processo de desenvolvimento
[ISLAM, 2011], pois requisitos uma das principais causas de falhas nos projetos
[GLASS, 1998]. Uma vantagem de considerar gerncia de riscos desde as fases iniciais
do processo de desenvolvimento do software a possibilidade de identificar
prematuramente problemas futuros que aumentariam os custos do projeto [VAN
LAMSWEERDE, 2009].
Diversos modelos e guias de boas prticas para projetos e projetos de software,
como MR-MPS-SW [SOFTEX, 2012], PMBOK [PMI, 2013], ISO/IEC 12207 [ABNT,
2009] e CMMI-DEV [SEI, 2010], possuem referncia rea de Gerenciamento de
Riscos, embasando a importncia deste processo. Cada modelo possui um conjunto de
metas a serem alcanadas no Gerenciamento de Riscos e algumas sugestes de como
implement-lo, porm organizaes consideradas de micro, pequeno e mdio porte
19

WTDQS 2014

muitas vezes no possuem recursos suficientes para implementar um processo e avalilo [SOFTEX, 2012].
No contexto nacional, atualmente, existem cerca de 533 empresas avaliadas no
MR-MPS-SW e dentro do prazo de vigncia de trs anos. Deste total, apenas 34
empresas j foram avaliadas no nvel de maturidade C [SOFTEX, 2014], no qual est
situado o processo de Gerncia de Riscos, ou seja, 93,5% das organizaes
desenvolvedoras de software que buscam qualidade de processo no Brasil no possuem
experincia e maturidade comprovadas no gerenciamento de riscos.
Este trabalho tem o objetivo auxiliar estas organizaes a implementarem um
processo de extrema importncia, como o gerenciamento de riscos. Sero
disponibilizados uma metodologia e uma ferramenta de software, que tm como
diferencial a compatibilidade com as melhores prticas recomendadas em modelos de
qualidade de software, coletadas atravs do mapeamento entre as mesmas.
2. Fundamentao Terica
Processo de software denominado por Pressman (2011), como um arcabouo para as
tarefas necessrias para a construo de um software de alta qualidade. Alm disso, um
processo deve estar alinhado a mtodos tcnicos, abrangendo um arcabouo de
processo, muitas vezes denominado framework. O guia PMBOK [PMI, 2013], define
processo como uma combinao de atividades inter-relacionadas realizadas, com o
intuito de atingir um objetivo, como alcanar resultados, produtos ou servios.
A qualidade do processo de software uma abordagem comumente utilizada
para alcanar a qualidade do software, como podem ser vistos em Humphrey (1989) e
IEEE (2014). Portanto, atualmente existem algumas iniciativas na busca pela qualidade
de software de forma padronizada, possibilitando melhor avaliao dos processos. Entre
os padres internacionais destacam-se o modelo de maturidade CMMI-DEV [SEI, 2010]
e a norma ISO/IEC 12207 [ABNT, 2009], no mbito nacional o MR-MPS-SW,
integrante do programa MPS.BR [SOFTEX, 2012]. Tambm considerado uma
referncia em boas prticas no gerenciamento de projetos, h o guia PMBOK [PMI,
2013], porm de forma mais abrangente, determina boas prticas para projetos de
quaisquer natureza, no especificamente para software.
Todos estes padres abordam a rea de Gerenciamento de Riscos de maneira
detalhada, porm com algumas semelhanas e diferenas entre si. Segundo o guia
PMBOK, risco pode ser definido como a possibilidade de ocorrncia de um evento ou
condio que pode ter efeito positivo ou negativo em um objetivo de um projeto [PMI,
2013]. Logo o gerenciamento de riscos em projetos de software descreve uma
abordagem integrada entre mtodos, processos e artefatos, para analisar, controlar e
monitorar continuamente os riscos, com o objetivo de reduzir as chances de falha do
projeto [ABNT, 2008].
O trabalho de Ropponen e Lyytinen (2000), define gerncia de riscos como uma
abordagem que tenta formalizar prticas de sucesso orientadas a riscos em um conjunto
de princpios e prticas prontamente aplicveis. Enquanto que Chapman e Ward (2003),
definem que o propsito da gerncia de riscos de melhorar a performance do projeto,
atravs da identificao e avaliao sistemtica de riscos, desenvolvendo estratgias
para reduzi-los ou evit-los, minimizando perdas e maximizando o sucesso do
desenvolvimento do software.
20

XII Workshop de Teses e Dissertaes em Qualidade de Software

A partir destas definies, pode-se concluir, juntamente com a afirmativa de

Avdoshin e Pesotskaya (2011), que um entendimento sistemtico e profundo do
domnio do problema, uma poderosa ferramenta de gerenciamento de riscos e prticas
padronizadas ajudam a minimizar as perdas que eventuais riscos ocorridos podem
proporcionar.
Segundo Boehm (1991), a gerncia de riscos pode ser dividida em oito
principais passos: identificao, anlise, priorizao, gerncia, planejamento, mitigao,
resoluo e monitoramento de riscos. Avdoshin e Pesotskaya (2011) identificaram que
estudos mais recentes sintetizaram estes passos em cinco caractersticas: documentao
de lies aprendidas e identificao, anlise, planejamento de respostas e
monitoramento de riscos. Estes passos vo nortear os diversos modelos de qualidade
que abordam a gerncia de riscos.
Entre os modelos e normas de qualidade de software que determinam boas
prticas para o gerenciamento de riscos, destacam-se a norma ISO/IEC 12207, os
modelos CMMI-DEV e MR-MPS-SW, e os guias de prticas PMBOK e o padro
internacional para gerncia de riscos definido pelo IEEE e ISO/IEC, a ISO/IEC
16085:2006 [IEEE, 2006].
3. Metodologia e Estado Atual do Trabalho
A realizao deste trabalho iniciou-se com uma pesquisa exploratria relacionada ao
referencial terico do gerenciamento de riscos e de melhoria de processo de software
(Etapa 1). Em seguida, foi realizada uma pesquisa bibliogrfica para formar a base
terica relacionada ao gerenciamento de riscos e identificar trabalhos relacionados.
Deste modo, foi possvel identificar quais normas e modelos de qualidade de software
poderiam ser agregados ao estudo (Etapa 2).
A partir dos modelos e normas de qualidade selecionados, realizou-se uma
anlise documental do contedo relacionado ao gerenciamento de riscos, identificando
as prticas de cada modelo ou norma envolvidos (Etapa 3). Em seguida, foi realizado
um mapeamento entre estas prticas, identificando quais so semelhantes entre todos os
modelos e/ou quais destacam-se em apenas um ou mais modelos (Etapa 4).
Posteriormente, atravs do mtodo hipottico-dedutivo, utilizando-se do
conhecimento terico adquirido, ser realizada a proposta da metodologia de
gerenciamento de riscos envolvendo todas as boas prticas coletadas, dando destaque
para as que so aderentes a todos os modelos e normas envolvidos (Etapa 5). A
metodologia deve detalhar atividades, papis, ferramentas envolvidas e sugestes de
implementao de cada atividade.
Avaliaes atravs de revises por pares foram realizadas nos documentos
gerados em cada etapa at aqui descrita (Etapa 6). Esta avaliao sempre realizada por
pelo menos um especialista em melhoria de processo de software, com experincia em
gerenciamento de projetos de software e em implementao e avaliao de processo de
software.
A avaliao da metodologia em um ambiente real um impeditivo, pois h um
tempo reduzido para a concluso do projeto, porm sero realizadas outras alternativas
para consolidar informaes e agregar sugestes. Assim, pretende-se realizar entrevistas
com gerentes de projetos de software experientes, afim de coletar dados e observar
comentrios e feedbacks em relao metodologia proposta (Etapa 7).
21

WTDQS 2014

Tambm pretende-se conduzir um experimento controlado com grupos de

alunos, afim de coletar mtricas e ratificar a metodologia, identificando que adequada
para aprendizagem ao facilitar o entendimento da gesto de riscos (Etapa 8). O
experimento consistir em selecionar dois grupos de alunos: um que utilizar a proposta
de metodologia desenvolvida; e o outro que utilizar uma metodologia qualquer.
Pretende-se avaliar a conduo das tarefas definidas e monitorar sua execuo utilizando
sugestes de Travassos et al. (2002).
Este trabalho culmina com a produo de uma ferramenta de software,
atualmente em desenvolvimento, que ter o objetivo de sistematizar as tarefas descritas
na metodologia proposta (Etapa 9). Porm, levando em considerao a possibilidade de
adaptao da metodologia s particularidades das organizaes. Os dados resultantes das
etapas que sero realizadas tambm sero avaliados atravs de revises por pares, como
descrito na Etapa 6. A ferramenta tambm ser avaliada atravs de questionrios
preenchidos por usurios, que testaro cenrios hipotticos.
Um artigo retratando parte dos resultados desta pesquisa (Etapas 1 a 4) foi aceito
para publicao na Revista Abaks (periodicos.pucminas.br/index.php/abakos).
Temporariamente estes resultados esto disponveis na forma de relatrio tcnico em
http://spider.ufpa.br/projetos/spider_riscos/SPIDER_RelatorioTecnico.pdf.
4. Trabalhos Relacionados
Atravs de uma reviso na literatura, foram analisados diversos trabalhos relacionados
ao gerenciamento de riscos. Algumas propostas assemelham-se, porm no englobam
prticas de diversos modelos de qualidades associadas s sugestes de implementao
de processo, que o objetivo geral deste projeto.
A pesquisa de Raz e Hillson (2005) e de Gusmo e Moura (2004), apresentam
uma comparao entre os principais padres internacionais para o gerenciamento de
riscos, com o objetivo de identificar quais etapas so similares em cada padro. Por
serem estudos mais antigos, podem ser considerados desatualizados, pois atualmente
existem novas verses para alguns dos padres abordados.
Outros trabalhos mais recentes apresentaram mapeamentos entre modelos de
qualidade de software, como o de Von Wangenheim et al. (2010), que realiza um
mapeamento entre o modelo CMMI-DEV v1.2 e o Guia de Gerncia de Projetos
PMBOK 4 edio, porm contempla apenas atividades relacionadas diretamente ao
gerenciamento de projetos do guia CMMI-DEV (PP - Project Planning, PMC - Project
Monitoring and Control, SAM - Supplier Agreement Management).
Mutafelija e Stromberg (2009) realizam tambm um mapeamento entre o
modelo CMMI, verso 1.2, e as diversas normas ISO (9001:2000; 20000:2005;
15288:2008; 12207:2008) atravs de uma relao binria entre o modelo CMMI e as
normas ISO.
O trabalho de Islam (2011), apresenta um framework para gerenciamento de
riscos orientado a objetivos. O framework, denominado GSRM, possui quatro nveis de
abstrao: (1) objetivos do projeto; (2) identificao de obstculos que impeam que o
projeto atinja seus objetivos (fatores de riscos ou perfil dos riscos); (3) para cada fator
de risco, identificao de conseqncias (definio dos riscos); e finalmente, (4)
definio de como deve ser realizado o tratamento e monitoramento aos riscos. O foco
deste trabalho relatar um estudo de caso, realizado com a implementao deste
22

XII Workshop de Teses e Dissertaes em Qualidade de Software

framework, no qual apresentada a forma de avaliao e coleta de dados, o

detalhamento do estudo de caso com as atividades realizadas, e uma discusso sobre
resultados e concluses obtidas aps a finalizao do experimento. Porm, a realidade
apresentada no estudo de caso apenas local (Europa), podendo haver grande diferena,
caso haja aplicao do framework em outros contextos. Alm disso, todo o processo
poderia ser sistematizado, facilitando sua implementao, que inclusive, segundo o
autor, pode ser complexa, caso hajam inmeros objetivos em um projeto.
Em seu trabalho, Tianyin (2011) apresenta uma viso geral sobre a gerncia de
riscos e cita alguns modelos de processos de gerenciamento de riscos. H uma detalhada
descrio de padres, modelos e normas relacionados ao gerenciamento de riscos desde
os anos 80 e citando os principais nomes e tcnicas definidas na rea. Apesar da lista de
modelos de processos apresentada ser bastante diversificada, no h um detalhamento
das prticas, tambm no so apresentados mapeamentos entre os modelos, a fim de
concluir quais vantagens e desvantagens de cada um.
Esta pesquisa destaca-se dos trabalhos relacionados, pois apresenta uma
metodologia para implantao da gesto de riscos embasada nas verses mais atuais dos
modelos de qualidade de software, atravs da identificao de boas prticas comuns
encontradas no mapeamento entre estes modelos. Alm disso o modelo de qualidade
que recebe maior ateno neste trabalho o MR-MPS-SW, modelo nacional que possui
uma carncia em estudos de mapeamentos relacionados a modelos de maturidade.
5. Resultados Esperados
Este projeto tem o objetivo de propor uma metodologia abrangente para implantao da
Gerncia de Riscos em uma organizao desenvolvedora de software. A metodologia a
ser proposta deve agrupar boas prticas de Gerenciamento de Riscos constantes em
modelos e normas, porm estas prticas devem ser totalmente aderentes s exigncias
do MR-MPS-SW, pois este projeto faz parte do escopo do Projeto SPIDER [OLIVEIRA
et al., 2010]. O Projeto SPIDER tem como objetivo criar um sute ferramentais aderente
ao MR-MPS-SW para reduzir os custos de implementao deste modelo.
Para alcanar este objetivo, espera-se que o projeto contemple os seguintes
resultados: apresentao de como se d o mapeamento da Gerencia de riscos entre os
principais modelos e normas de qualidade de software; especificao do conjunto de
boas prticas em Gerncia de Riscos; definio do conjunto de tcnicas e mtodos
usados na implementao da gerncia de riscos; proposio de um modelo de processo
de gerncia de riscos; definio de um guia de entrevistas com Gerentes de Projetos,
bem como a extrao de seus resultados; elaborao e execuo de experimento
controlado para ratificar e consolidar a metodologia proposta; o desenvolvimento de
software de apoio gerencia de riscos, aderente metodologia definida.
6. Agradecimentos
Este trabalho recebe o apoio financeiro da CAPES a partir da concesso de bolsa
institucional de mestrado ao PPGCC-UFPA. Este projeto parte do Projeto SPIDERUFPA.
Referncias
ABNT - Associao Brasileira De Normas Tcnicas, (2009) NBR ISO/IEC
12207:2009 - Engenharia de Sistemas de Software - Processos de Ciclo de Vida de
Software.
23

WTDQS 2014

Avdoshin, S. M., Pesotskaya, E. Y. (2011) "Software risk management". 7th Central and
Eastern European Software Engineering Conference (CEE-SECR).
Boehm, B. (1991) "Software risk management: principles and practices". IEEE
Software, 8, 1 , p. 32 - 41
Brooks, F. P. (1986) "No Silver Bullet Essence and Accident in Software
Engineering". In: IFIP Tenth World Computing Conference, p. 10691076.
Chapman C. B., Ward, S.C. (2003) "Project Risk Management, Processes, Techniques
and Insights". 2 Edio. John Wiley. Chichester. Reino Unido.
Glass, R. L. (1998) "Software Runaways: Monumental Software Disasters", PrenticeHall.
Humphrey, W. S. (1989) "Managing the Software Process, The SEI Series in Software
Engineering". Addison-Wesley.
IEEE - Institute of Electrical and Electronics Engineers (2006). "ISO/IEC 16085 - IEEE
Std 16085-2006 - Systems and software engineering - Life cycle processes - Risk
management". USA.
IEEE - Institute of Electrical and Electronics Engineers (2014). "Guide to Software
Engineering Body of Knowledge - SWEBOK". Version 3.0. USA.
Islam, S. (2011) "Software development risk management model-a-goal-driven
approach". Tese (Doutorado em Cincia da Computao), Institute fr Informatik,
Technische Universitt Mnchen, Munique.
Mutafelija, B., Stromberg, H. (2009) "Process Improvement with CMMI v1.2 and ISO
Standarts". CRC Press, 2009.
Oliveira, S. R. B. et al. (2010) SPIDER - Um Suite de Ferramentas de Software Livre
de Apoio Implementao do modelo MPS.BR. Anais do VIII Encontro Anual de
Computao ENACOMP 2010, Catalo - GO.
PMI - Project Management Institute (2013) "A Guide to the Project Management Body
of Knowledge". Campus Boulevard, Newton Square, 5th Edition.
Pressman, R. S. (2011) Engenharia de Software: Uma Abordagem Profissional.
Mcgraw Hill.
Raz, T., Hillson, D. (2005) "A comparative review of risk management standarts". Risk
Management: An International Journal, v.7, n.4, p. 53-66.
Ropponen, J., Lyytinen, K. (2000) "Components of Software Development Risk: How
to Address Them?". IEEE Transactions on Software Engineering, v. 26, p.98-111.
SEI - Software Engineering Institute (2010) "Capability Maturity Model Integration
(CMMI) for Development". , Version 1.3, Carnegie Mellon, USA.
SOFTEX - Associao para Promoo da Excelncia do Software Brasileiro (2012)
"Melhoria do Processo de Software Brasileiro (MPS.BR) - Guia Geral 2012". Brasil.
SOFTEX - Associao para Promoo da Excelncia do Software Brasileiro (2014)
"Avaliaes MPS-SW (Software) Publicadas (prazo de validade: 3 anos)".
Disponvel
em
http://www.softex.br/wp-content/uploads/2013/07/2AvaliacoesMPSSW-Publicadas_29.JAN_.2014_5331.pdf. Acesso em 02 de fevereiro de 2014.
Sommerville, I. (2007) "Engenharia de Software". 8 ed. So Paulo. Pearson AddisonWesley.
Tianyin, P. (2011) "Development of software project risk management model review".
2nd International Conference on Artificial Intelligence, Management Science and
Electronic Commerce (AIMSEC), p. 2979-2982.
Travassos, G. H., Gurov, D., Amaral, E. A. G. (2002). "Introduo Engenharia de
Software Experimental". Programa de Engenharia de Sistemas e Computao.
COPPE/UFRJ. Relatrio Tcnico RT-ES-590/02.
Van Lamsweerde, A. (2009). " Requirements Engineering: From System Goals to UML
Models to Software Specifications", Wiley.
Von Wangenheim, C. G., Da Silva, D. A., Buglione, L., Scheidt, R., Prikladnicki, R.
(2010). "Best practice fusion of CMMI-DEV v1.2 (PP, PMC, SAM) and PMBOK
2008." Information and Software Technology, 52, p. 749-757.
24