V Simpsio Brasileiro de Qualidade de Software SBQS2006

RiskFree Uma Ferramenta de Gerenciamento de Riscos Baseada no PMBOK e Aderente ao CMMIi

Flvio Knob, Filipi Silveira, Afonso Incio Orth, Rafael Prikladnicki Pontifcia Universidade Catlica do Rio Grande do Sul - PUCRS Av. Ipiranga, 6681 Prdio 30 CEP 90.619-900 Porto Alegre RS Brasil
{knob, fpsilveira}@terra.com.br, {orth, rafael}@inf.pucrs.br

Abstract. In this paper, we present a flexible risk management tool - RiskFree. It is designed to help project managers and their teams to manage, monitor, and control risks in software development projects by easily adapting to the organizational needs. We also present in this paper the relation of the tool with the best practices of the PMBOK and the risk management process area in the CMMI model. Finally, we present the tool improvement opportunities. Resumo. Neste artigo apresentada a ferramenta RiskFree, uma ferramenta desenvolvida para auxiliar as equipes de projetos de desenvolvimento de software a gerenciarem riscos em seus projetos. O enfoque principal do artigo apresentar como a ferramenta est baseada nas boas prticas do PMBOK e aderente rea de processo de gerncia de riscos do modelo CMMI. Tambm sero apresentadas algumas propostas de evolues para a ferramenta.

1. Introduo
As organizaes tm procurado cada vez mais a rea de gerncia de projetos para solucionar suas dificuldades e fazer com que seus projetos sejam bem sucedidos. Projetos so tidos como mal sucedidos muitas vezes quando falham em atender os compromissos de escopo, prazo, custo ou qualidade (Schwalbe, 2002). O fato de ser um empreendimento nico, nunca antes realizado, uma das principais caractersticas que diferenciam um projeto de uma operao continuada. esta mesma caracterstica que faz com que os projetos tornem-se ambientes de incertezas. A grande complexidade presente nos projetos de desenvolvimento de software s faz aumentar o nvel de incerteza. Falta de conhecimento tcnico, mudana ou incompatibilidade de tecnologias, mudanas de escopo e rotatividade da equipe so apenas alguns exemplos de incertezas que podem influenciar o andamento do projeto. A gerncia de riscos prope abordar de forma pr-ativa as incertezas do projeto, de modo a tentar evitar que estas se transformem em problemas. Apesar da importncia do tema, muitas organizaes pecam em no colocar em prtica um processo de gerncia de riscos em seus projetos. Acredita-se que isso ocorra porque so grandes as dificuldades para a compreenso e a implantao efetiva da gerncia de riscos, e a falta de ferramentas especficas ou mesmo a dificuldade de acesso a estas ferramentas, devido ao seu custo elevado, colaboram para agravar o problema (Prikladnicki et. al., 2005). Este artigo apresenta o RiskFree, uma ferramenta com o objetivo de auxiliar equipes de projetos nas tarefas relacionadas gerncia de riscos em projetos de
203

V Simpsio Brasileiro de Qualidade de Software SBQS2006

desenvolvimento de software. A ferramenta foi projetada para estar em conformidade com os objetivos e prticas sugeridos pelo PMBOK (A Guide to the Project Management Body of Knowledge) e CMMI (Capability Maturity Model Integration). O artigo est organizado em 5 sees. A seo 2 descreve a gerncia de riscos e como o PMBOK e CMMI tratam esta disciplina, alm de uma pesquisa realizada com outras ferramentas existentes. Na seo 3 apresentada a ferramenta RiskFree. Na seo 4 apresentam-se as consideraes finais e, por fim, as referncias na seo 5.

2. Gerncia de riscos em projetos de software

A primeira proposta para incluir a gerncia de riscos no ciclo de vida de desenvolvimento de software foi feita no final dos anos 80, quando Barry Boehm props o modelo de desenvolvimento em espiral (Machado, 2002). Este modelo tem como principais caractersticas a iteratividade e o fato de ser dirigido aos riscos. Neste modelo, a anlise dos riscos do projeto feita a cada iterao (Bohem, 1991). Desde ento, a gerncia de riscos em projetos de desenvolvimento de software vem crescendo em proporo. No incio da dcada de 90, as metodologias de gerncia de projetos costumavam deixar a gerncia de riscos em segundo plano, normalmente dentro de alguma outra rea de conhecimento. Hoje em dia estas mesmas metodologias colocam a gerncia de riscos em posio de destaque, dedicando captulos exclusivos para esta rea de conhecimento. Foi o caso do PMBOK, que em 1987 deu maior visibilidade gerncia de riscos dedicando uma rea de conhecimento especfica para o assunto (PMI, 2004), e do modelo CMMI, que ao evoluir do SW-CMM reuniu as prticas referentes gerncia de riscos, at ento includas dentro de outras reas chave de processo, em uma rea de processo tambm especfica para o assunto (SEI, 2002). A incerteza inerente aos projetos o que faz com que os riscos estejam presentes ao longo do seu ciclo de vida. Mas freqentemente a gerncia de riscos ignorada dentro de projetos, em especial em projetos de software (Schwalbe, 2002). Isto foi comprovado nos resultados de uma pesquisa feita por William Ibbs e Young H. Kwak com 38 empresas de diversos segmentos que identificou a maturidade destas organizaes em cada uma das reas de conhecimento da gerncia de projetos (Schwalbe, 2002). A Tabela 1 apresenta os resultados desta pesquisa.
Tabela 1 - Resultados da pesquisa Fonte: IBBS, C. William and Young Hoon Kwak. Assessing Project Management Maturity. Project Management Journal. Mar. 2000. Citado por (Schwalbe, 2002).
Legenda: 1 = Mais baixo nvel de maturidade, 5 = Mais alto nvel de maturidade

rea de conhecimento

Engenharia / Construo

Telecomunicaes

Sistemas de Informao

Indstria de alta tecnologia

Escopo

3.52

3.45

3.25

3.37

Tempo

3.55

3.41

3.03

3.50

Custo

3.74

3.22

3.20

3.97

Qualidade

2.91

3.22

2.88

3.26

Recursos Humanos

3.18

3.20

2.93

3.18

Comunicaes

3.53

3.53

3.21

3.48

Risco

2.93

2.87

2.75

2.76

Aquisies

3.33

3.01

2.91

3.33

204

V Simpsio Brasileiro de Qualidade de Software SBQS2006

Nesta pesquisa, o segmento de sistemas de informao obteve o menor nvel de maturidade entre todos os segmentos pesquisados na rea de conhecimento gerncia de riscos. Assim, segundo o PMI (PMI, 2004), para terem sucesso, as organizaes devem tambm estar comprometidas com a gerncia de riscos durante todo o projeto. 2.1. Gerncia de riscos no PMBOK Foi na reviso de 1987 que a gerncia de riscos ganhou maior importncia dentro do PMBOK, tornando-se ento uma rea de conhecimento (PMI, 2004). At ento a gerncia de riscos era abordada em segundo plano, dentro das demais reas de conhecimento. A alterao se deu justamente para dar maior visibilidade ao assunto, a justificativa desta alterao apresentada no histrico da reviso: Risk Management was added as a separate knowledge area in order to provide better coverage of this subject (PMI, 2004 pg. 169). Desde ento a gerncia de riscos encontra-se no mesmo nvel de importncia de reas mais conhecidas da gerncia de projetos, como, por exemplo, gerncia de escopo, tempo, custo e qualidade. A rea de conhecimento Gerncia de Riscos do Projeto tem como principal objetivo Maximizar a probabilidade e as conseqncias de eventos positivos e minimizar a probabilidade e conseqncias que eventos adversos possam trazer aos objetivos do projeto (PMI, 2004, pg. 127). O PMBOK divide a gerncia de riscos em seis processos. Cada um destes processos ocorre pelo menos uma vez ao longo do ciclo de vida do projeto e se caracterizam por terem forte integrao com processos de outras reas de conhecimento (PMI, 2004). A seguir apresentada uma descrio de cada um dos seis processos de gerncia de riscos do PMBOK: Planejamento da gerncia de riscos: deciso sobre como abordar e planejar as atividades de gerncia de riscos do projeto;

Identificao dos riscos: identificao dos riscos que podem afetar o projeto e a documentao de suas caractersticas;

Anlise qualitativa dos riscos: realizao de uma anlise qualitativa dos riscos e das condies para dar prioridade a seus efeitos sobre os objetivos do projeto;

Anlise quantitativa dos riscos: medio da probabilidade e do impacto dos riscos e estimativa de suas implicaes nos objetivos do projeto;

Planejamento de resposta aos riscos: desenvolvimento de procedimentos e tcnicas para destacar oportunidades e reduzir ameaas aos objetivos do projeto;

Monitorao e controle dos riscos: monitorao dos riscos residuais, identificao de novos riscos, execuo de planos de reduo de riscos e avaliao da eficcia desses planos ao longo do ciclo de vida do projeto.

2.2. Gerncia de riscos no CMMI

A gerncia de riscos em projetos tratada pelo CMMI desde o segundo nvel de maturidade (Managed, gerenciado) onde as reas de processo Project Planning
205

V Simpsio Brasileiro de Qualidade de Software SBQS2006

(Planejamento do Projeto) e Project Monitoring and Control (Monitorao e Controle do Projeto) j incluem prticas de identificao, monitorao e resposta aos riscos medida que eles ocorram. Mas a partir do terceiro nvel de maturidade (Defined, definido) que a gerncia de riscos ganha maior importncia. Neste nvel existe uma rea de processo chamada Risk Management especfica para tratar a gerncia de riscos. Para o CMMI, a gerncia de riscos tem como objetivos identificar potenciais problemas antes que eles ocorram. Assim, atividades de tratamento para estes problemas (riscos) podem ser planejadas e utilizadas quando necessrio, mitigando impactos adversos sobre os objetivos a serem atingidos (SEI, 2002). A rea de processo de gerncia de riscos composta por trs objetivos especficos (Specific Goals) (SEI, 2002). So eles: Preparar-se para a gerncia de riscos: conduzida uma preparao para a gerncia de riscos;

Identificar e analisar os riscos: riscos so identificados e analisados para determinar sua importncia;

Mitigar riscos: riscos so tratados e mitigados, quando apropriado, para reduzir impactos adversos nos objetivos a serem atingidos.

Alm destes trs objetivos especficos, a rea de processo de gerncia de riscos possui tambm um objetivo genrico: institucionalizar um processo definido. Cada um destes objetivos composto por um conjunto de prticas que servem como guia para fazer com que o objetivo ao qual elas se relacionam seja atingido. Para satisfazer o modelo, todas as prticas de todos os objetivos devem ser atendidas pelo processo. A Tabela 2 apresenta as prticas especficas (SP) e genricas (GP) de cada um dos objetivos especficos (SG) e genricos (GG) que compem a rea de processo de gerncia de riscos.
Tabela 2 Relao dos objetivos e prticas da rea de processo de gerncia de riscos do CMMI
Objetivos

Prticas

SG 1: Preparar-se para a gerncia de riscos

SG 2: Identificar e analisar os riscos

SG 3: Mitigar os riscos

GG 3: Institucionalizar um processo definido

SP 1.1: Determinar as origens e categorias dos riscos SP 1.2: Definir os parmetros dos riscos SP 1.3: Estabelecer uma estratgia de gerncia de riscos SP 2.1: Identificar os riscos SP 2.2: Avaliar, categorizar e priorizar os riscos SP 3.1: Desenvolver planos de mitigao dos riscos SP 3.2: Implementar os planos de mitigao dos riscos GP 2.1: Estabelecer uma poltica organizacional GP 3.1: Estabelecer um processo definido GP 2.2: Planejar o processo GP 2.3: Prover recursos GP 2.4: Atribuir responsabilidades GP 2.5: Treinar o pessoal GP 2.6: Gerenciar configuraes GP 2.7: Identificar e envolver os interessados relevantes GP 2.8: Monitorar e controlar o processo GP 3.2: Coletar informaes de melhoria GP 2.9: Avaliar objetivamente a aderncia GP 2.10: Revisar a situao com a gerncia de alto nvel

206

V Simpsio Brasileiro de Qualidade de Software SBQS2006

Uma organizao que queira estar aderente a esta rea de processo do modelo CMMI dever atender aos objetivos listados anteriormente. Para isto, a organizao poder tanto institucionalizar novas prticas, quanto adaptar prticas existentes de forma a atender estes objetivos. Acredita-se que a utilizao de uma ferramenta intuitiva, colaborativa e aderente a estas prticas poderia ajudar neste processo de institucionalizao.

2.3. Comparao entre PMBOK e CMMI

A Tabela 3 toma como base os processos que compem a gerncia de riscos do PMBOK e apresenta uma comparao com a rea de processo de gerncia de riscos do modelo CMMI.
Tabela 3 Comparao entre o PMBOK e o modelo CMMI no que diz respeito gerncia de riscos
PMBOK

Planejamento da gerncia de riscos

Identificao dos riscos Anlise qualitativa dos riscos Anlise quantitativa dos riscos Planejamento de resposta aos riscos Monitorao e controle dos riscos

CMMI (SG1, SP1.1) Determinar as origens e categorias dos riscos (SG1, SP1.2) Definir os parmetros dos riscos (SG1, SP1.3) Estabelecer uma estratgia de gerncia de riscos (SG2, SP2.1) Identificar os riscos (SG2, SP2.2) Avaliar, categorizar e priorizar os riscos

(SG3, SP3.1) Desenvolver planos de mitigao dos riscos (SG3, SP3.2) Implementar os planos de mitigao dos riscos

Existe uma equivalncia entre os processos das duas abordagens. Ambas possuem processos de identificao, anlise, planejamento de resposta, monitorao e controle de riscos. A existncia desta equivalncia permitiu que a ferramenta RiskFree fosse projetada com base no processo e nas boas prticas do PMBOK sem que isto prejudicasse o objetivo de construir uma ferramenta aderente ao modelo CMMI.

2.4. Estudo de Ferramentas de Gerncia de Risco1

De forma a identificar as caractersticas de algumas ferramentas de gerncia de riscos existentes no mercado, foram estudadas trs ferramentas. Todas elas abordam a gerncia de riscos como um todo. Infelizmente, no foram encontradas ferramentas de gerncia de risco em lngua portuguesa, disponveis na Internet. O objetivo do estudo foi sustentar de forma mais consistente a necessidade do desenvolvimento da ferramenta proposta. A anlise foi feita com base nos seguintes critrios: processo de gerncia de risco (fases do processo de gerncia de risco contempladas); usabilidade (facilidade de uso); preo (valor de uma licena, caso no seja gratuita); plataforma (quais plataformas so suportadas e existncia dependncias de outras aplicaes); documentao (disponibilidade, relevncia e abrangncia da documentao); integrao (capacidade de integrar-se com outras reas ou ferramentas de gerncia de projeto); relatrios: (disponibilidade de visualizao e impresso de relatrios); idiomas suportados: (idiomas disponveis e a capacidade de suportar novos idiomas).

Todas as informaes foram obtidas atravs dos sites dos desenvolvedores das ferramentas. A veracidade das informaes no foi em nenhum momento questionada.

Informaes sobre RiskRadar: http://www.iceincusa.com/products_tools.htm; informaes sobre RiskTrack: http://www.risktrak.com; informaes sobre @Risk: http://www.palisade.com/html/risk.asp.
1

207

V Simpsio Brasileiro de Qualidade de Software SBQS2006

Em alguns casos a omisso ou escassez de informaes sobre algum recurso ou caracterstica especfica foi subentendida como no disponvel. A tabela 4 apresenta uma comparao entre as ferramentas analisadas. Nesta tabela foram resumidas e reunidas as caractersticas avaliadas na anlise individual de cada ferramenta.
Tabela 4 Tabela comparativa entre as ferramentas analisadas
Caractersticas

Processo de gerncia de riscos

Risk Radar CMM nvel 3 , IEEE Standard 1540, e outros

RiskTrack Prpro ARM (Assessment Report Manage)

Usabilidade

Boa, explora bem recursos visuais

Razovel, no muito intuitiva

Preo (1 usurio)

Plataforma

US$ 795,00 Microsoft Windows (requer Microsoft Access)

US$ 1.495,00

Microsoft Windows

Documentao

Sim

Sim

Integrao Relatrios Idiomas

No Sim (+ de 20 modelos) Somente ingls

No Sim (6 modelos) Somente ingls

@Risk No foram encontradas informaes Razovel, requer conhecimento de Excel US$ 685,00 Microsoft Windows (requer Microsoft Excel) Sim, em quatro idiomas (ing, fra, esp, ale) No Sim (com grficos) Somente ingls

Com base na tabela anterior, percebe-se nas ferramentas analisadas a forte dependncia da plataforma Microsoft Windows e de aplicativos do pacote Microsoft Office. Percebe-se tambm que nenhuma das ferramentas est disponvel em lngua portuguesa e que nenhuma capaz de integrar-se com outras ferramentas de gerncia de projetos ou de gerncia de riscos.

3. A Ferramenta RiskFree
A ferramenta RiskFree foi projetada com base nas boas prticas descritas pelo PMBOK. A motivao para o desenvolvimento do RiskFree foi disponibilizar uma ferramenta que auxiliasse s equipes de desenvolvimento de software na realizao das atividades de gerncia de riscos. A maior ligao entre o PMBOK e a ferramenta est na definio do processo de gerncia de riscos. Cada uma das etapas que compem este processo possui objetivos especficos, apresentados a seguir: Planejamento da gerncia de riscos: tem como principal objetivo a elaborao do plano de gerncia de riscos do projeto. Segundo (PMI, 2004), este plano deve definir como e quando as atividades de identificao, anlise, planejamento de resposta, monitorao e controle dos riscos iro ocorrer ao longo do projeto. Alguns outros aspectos como metodologias, papis e responsabilidades, oramento e formato de relatrios tambm podem constar no plano;

Identificao dos riscos: tem como principal objetivo identificar e classificar os riscos que afetam o projeto. Para cada risco, so identificados tambm seus sintomas e sinais de alerta. Este processo caracteriza-se por ser iterativo, medida que o projeto avana novos riscos vo sendo identificados;

Anlise dos riscos: para cada risco identificado deve ser realizada uma atividade de anlise que tem como objetivo verificar a probabilidade de ocorrncia do risco e o seu impacto em relao aos objetivos do projeto. A
208

V Simpsio Brasileiro de Qualidade de Software SBQS2006

atividade de anlise composta pela anlise qualitativa, que tem o objetivo de priorizar os riscos de acordo com a sua probabilidade de ocorrncia e impacto caso o risco venha a ocorrer, e pela anlise quantitativa, que tem o objetivo de analisar numericamente a probabilidade e eventuais conseqncias de cada risco; Planejamento de resposta aos riscos: tem como principal objetivo determinar aes para aproveitar as oportunidade e enderear os riscos do projeto. Esta atividade inclui a atribuio de responsabilidades para cada risco identificado, garantindo um melhor controle sobre os riscos do projeto;

Monitorao e controle dos riscos: tem como principal objetivo garantir que o plano de gerncia de riscos seja seguido e que os riscos identificados e endereados estejam sob controle. Esta atividade caracteriza-se por ser contnua dentro do ciclo de vida do projeto.

Pela Figura 1 pode-se perceber que a nica adaptao realizada em relao ao PMBOK est na etapa de anlise dos riscos, que o mesmo separa em qualitativa e quantitativa, mas que na ferramenta foi unificada em apenas uma nica etapa de anlise. O objetivo foi facilitar a implantao do processo de gerncia de risco e estar de acordo com o modelo CMMI, visto que este no recomenda explicitamente uma anlise qualitativa e uma anlise quantitativa de riscos em projetos.

Figura 1 Equivalncia entre os processos de gerncia de riscos do PMBOK e da ferramenta

Alm de sugerir um processo de gerncia de riscos, o PMBOK sugere tambm diversas tcnicas que podem ser utilizadas para a execuo de cada uma das etapas do processo. Por exemplo, para realizar a etapa de identificao de riscos, o PMBOK descreve as tcnicas de Brainstorming, Delphi, entrevistas ou mesmo checklists (PMI, 2004). O conjunto de tcnicas sugerido pelo PMBOK no exaustivo, mas sim uma representao daquilo que amplamente aceito e utilizado pelas organizaes. Uma organizao poderia utilizar uma tcnica prpria (leia-se, no sugerida pelo PMBOK) para realizar a etapa de identificao de riscos, desde que se garanta que o objetivo da etapa (identificar os riscos que afetam o projeto) seja atingido. Portanto, no que diz respeito s tcnicas, o processo deve ser flexvel, permitindo adaptaes por parte de cada organizao (ou mesmo cada projeto dentro de uma organizao). Pensando nesta questo de flexibilidade e adaptao, a ferramenta RiskFree foi projetada para permitir que cada organizao pudesse utilizar as tcnicas que melhor atendessem s suas necessidades. Para isto a ferramenta foi construda de forma que fosse possvel a vinculao de componentes em cada etapa do processo de gerncia de
209

V Simpsio Brasileiro de Qualidade de Software SBQS2006

riscos definido. Desta forma, a organizao que fizer uso da ferramenta pode desenvolver componentes que atendam s suas necessidade no ficando restrita a um conjunto limitado e pr-definido de tcnicas. A Figura 2 apresenta a arquitetura de componentes da ferramenta, descrita em detalhes em Knob et. al. (2005). A arquitetura composta por: Hibernate: framework de persistncia de dados utilizado no projeto;

RiskFreeCore: prov funcionalidades comuns a todos os componentes, incluindo as de acesso dados e de autorizao;

RiskFreeMain: prov funcionalidades de administrao e configurao;

RiskFreeComponent: implementao das tcnicas e ferramentas envolvidas no processo de gerncia de riscos.

RiskFree ltima atualizao: 23/12/2004

Camada de apresentao e controle do Sistema.

RiskFree e componentes do sistema acessam os dados do ncleo atravs da camada RiskFreeCore.

Componentes do sistema.

RiskFreeMain

RiskFreeComponent

Ncleo do sistema. Concentra funcionalidades comuns a todos os componentes.

Acesso aos dados do ncleo.

RiskFreeCore

Framework de persistncia de dados. http://www.hibernate.org

Hibernate

Acesso aos dados do componente.

RiskFree Database

Figura 2 Arquitetura de componentes da ferramenta RiskFree

Os componentes desenvolvidos so instalados e vinculados a algum dos pontos de adaptao da ferramenta, que atualmente compreendem as etapas do processo de gerncia de riscos; as informaes gerais e sumarizadas sobre o projeto; e os relatrios em nvel de projeto e organizacional. A Figura 3 apresenta o diagrama de contexto da rea de processo de gerncia de riscos do modelo CMMI. Neste diagrama pode-se perceber a interao entre os diversos objetivos especficos que compem esta rea de processo, assim como a interao com a rea de processo de planejamento de projeto (Project Planning). No entanto, a principal questo a ser destacada na figura a convergncia de todas as sadas dos objetivos especficos para um repositrio de riscos, que nada mais do que uma rea compartilhada onde informaes sobre os riscos do projeto so armazenadas. Isto serve

210

V Simpsio Brasileiro de Qualidade de Software SBQS2006

para ressaltar o quanto as organizaes podem se beneficiar de uma ferramenta colaborativa que atue em todas as etapas do processo de gerncia de riscos, centralizando informaes em um repositrio comum.

Figura 3 Diagrama de contexto da rea de Risk Management (Ahern, 2005)

A seguir so descritas cada uma das etapas que compem o processo de gerncia de riscos definido na ferramenta RiskFree. Ser destacado principalmente o componente desenvolvido em cada etapa e como se acredita que este componente faz com que a ferramenta esteja aderente ao modelo CMMI. 3.1. Planejamento da gerncia de riscos O sucesso das demais etapas de gerncia de riscos garantido atravs de um planejamento cuidadoso (PMI, 2004). Segundo o PMBOK a etapa de planejamento tem como objetivo definir como as atividades relacionadas gerncia de riscos sero conduzidas ao longo do projeto. O planejamento importante para garantir que o nvel, tipo e a devida visibilidade da gerncia de riscos estejam coerentes com o grau de relevncia do projeto para a organizao, de forma a garantir os recursos necessrios para a realizao das atividades. Assim como nas atividades de planejamento de outras reas de conhecimento, espera-se que o planejamento da gerncia de riscos seja realizado logo no incio do projeto, pois quanto mais cedo os riscos que ameaam o projeto forem conhecidos mais opes se tm para tentar mitigar a sua materializao. No modelo CMMI, a questo de planejamento ou preparao para a gerncia de riscos tratada com o estabelecimento de uma estratgia de gerncia de riscos (SEI, 2002). O modelo sugere que esta estratgia descreva o escopo da gerncia de riscos dentro do projeto, os mtodos e ferramentas que sero utilizadas em cada uma das etapas do processo, as possveis origens e categorias de riscos, parmetros gerais dos riscos, entre outras informaes. Tanto o PMBOK quanto o modelo CMMI tem como sada desta etapa do processo um plano, que o artefato que centraliza todas estas informaes de preparao do projeto para a realizao das atividades de gerncia de riscos. 211

V Simpsio Brasileiro de Qualidade de Software SBQS2006

Para atender esta etapa do processo de gerncia de riscos foi desenvolvido um componente que auxilia os gerentes de projetos na elaborao de um plano. Uma das principais vantagens deste componente que a organizao pode disponibilizar um modelo padro de plano, o qual pode ser aproveitado pelos gerentes de projetos. A Figura 4 apresenta o componente desenvolvido em funcionamento. Alm da rea reservada para a execuo dos componentes (centro), a interface tambm composta por um cabealho onde so apresentadas informaes gerais (topo), um menu de navegao (esquerda) e um espao destinado a auxiliar o usurio no uso dos componentes (direita).

Figura 4 Componente de planejamento da gerncia de riscos

Alm disso, o componente auxilia na manuteno de um histrico de revises do plano, exigindo que ao salvar uma nova verso o revisor informe as alteraes efetuadas. O plano elaborado fica ento disponvel para a equipe do projeto.

3.2. Identificao dos riscos

Segundo o PMBOK, a etapa de identificao dos riscos serve para determinar e documentar as caractersticas dos riscos que afetam o projeto. So diversos os papis que podem participar desta etapa, desde os integrantes da equipe do projeto at o prprio cliente ou usurio final, quando apropriado. O PMBOK descreve a identificao dos riscos como uma atividade iterativa, pois medida que o projeto progride novos riscos vo se tornando conhecidos e devem ser devidamente registrados. A identificao dos riscos geralmente leva etapa de anlise, que dependendo da experincia dos envolvidos pode ser realizada de forma qualitativa ou quantitativa. A identificao de riscos tratada pelo segundo objetivo especfico da rea de processo de gerncia de riscos do modelo CMMI, mais especificamente na primeira prtica deste objetivo. Para o modelo CMMI ameaas, vulnerabilidades e questes crticas que podem afetar negativamente o projeto devem ser identificadas e devidamente documentadas de forma que fique claro o contexto, as condies e as conseqncias envolvidas. Para que esta etapa seja realizada de forma disciplinada e organizada, o modelo prope que sejam levados em considerao os parmetros definidos na estratgia de gerncia de riscos (possveis origens e categorias). Assim

212

V Simpsio Brasileiro de Qualidade de Software SBQS2006

como o PMBOK, o modelo CMMI tambm sugere que a identificao de riscos seja um processo iterativo, onde a lista de riscos identificados revisada periodicamente. Existem vrias tcnicas que auxiliam na identificao dos riscos do projeto. O PMBOK sugere reviso de documentos, brainstorming, tcnica Delphi, entrevistas, entre outras. J o modelo CMMI menciona reviso da WBS (Work Breakdown Structure), entrevista com especialistas no assunto, reviso de lies aprendidas de outros projetos, e assim por diante. Tanto o PMBOK quanto o CMMI consideram que a sada desta etapa uma lista dos riscos que afetam o projeto com suas caractersticas devidamente documentadas. O componente desenvolvido para atender a identificao de riscos permite que gerentes de projetos possam cadastrar e documentar riscos que afetem seu projeto (Figura 5). Esta lista fica ento disponvel para ser consultada por todos os integrantes da equipe do projeto. O componente permite ainda que a lista de riscos seja visualizada no formato de uma RBS (Risk Breakdown Structure).

Figura 5 Componente de identificao dos riscos

3.3. Anlise dos riscos

Para o PMBOK, a etapa de anlise dos riscos pode ser feita de forma qualitativa, e, dependendo da experincia dos envolvidos nesta atividade, de forma quantitativa. Analisar os riscos de forma qualitativa geralmente a maneira mais rpida e trivial. Neste tipo de anlise os riscos so priorizados em razo da probabilidade de ocorrncia e do impacto que este pode vir a causar caso se materialize. Uma vez os riscos tendo sido analisados qualitativamente, os mesmos podem ser analisados quantitativamente A etapa de anlise quantitativa faz uso de tcnicas complexas que auxiliam o gerente de projetos a tomar decises com base em indicadores numricos relacionados aos riscos do projeto. Em diversos momentos o PMBOK sugere que este tipo de anlise realizado apenas por especialistas, e somente quando a importncia do projeto para a organizao justificar o custo e o tempo gastos nesta atividade. na segunda prtica do segundo objetivo especfico da rea de processo de gerncia de riscos que o modelo CMMI trata a anlise de riscos. Esta prtica trata da avaliao, categorizao, e priorizao dos riscos do projeto. Para o modelo, a avaliao

213

V Simpsio Brasileiro de Qualidade de Software SBQS2006

dos riscos necessria para definir quais merecem maior ateno por parte do gerente do projeto. A anlise, categorizao e priorizao dos riscos devem levar em considerao os parmetros definidos na estratgia de gerncia de riscos, que provavelmente incluem categorias nas quais os riscos sero classificados, escalas de priorizao entre outras definies importantes para a realizao desta etapa. As tcnicas sugeridas pelo PMBOK para a realizao da anlise qualitativa de riscos incluem uma avaliao da probabilidade e impacto dos riscos que permita a elaborao de uma matriz de probabilidade e impacto. na anlise quantitativa que so sugeridas tcnicas mais complexas como, por exemplo, utilizao de distribuio de probabilidades, rvores de deciso, simulao de Monte Carlo entre outras. A priorizao dos riscos, visando minimizar e direcionar os esforos relacionados com as aes de planejamento de resposta ou mesmo de mitigao o que justifica a etapa de anlise dos riscos, tanto para o PMBOK quanto para o modelo CMMI. Na ferramenta RiskFree preferiu-se unificar as etapas de anlise qualitativa e quantitativa em uma nica etapa, onde podem ser vinculados componentes referentes a qualquer um dos tipos de anlise. Como a experincia dos autores era em grande parte na anlise qualitativa, foi desenvolvido um componente que auxilia na realizao deste tipo de anlise. O componente permite que os riscos identificados possam ser classificados de acordo com sua probabilidade de ocorrncia e impacto nos objetivos do projeto. O componente permite ainda visualizar a situao geral do projeto atravs de uma matriz de probabilidade e impacto (Figura 6).

Figura 6 Componente de anlise dos riscos

3.4. Planejamento de resposta aos riscos

O planejamento de resposta aos riscos sucede a etapa de anlise. Segundo o PMBOK, deve-se elaborar um plano onde sejam determinados responsveis e aes para os riscos que foram determinados como prioritrios no projeto. Este planejamento deve estar coerente com a importncia do risco e da prpria gerncia de riscos dentro do projeto. O desenvolvimento de um plano de mitigao dos riscos exigido pela primeira prtica do terceiro objetivo especfico da rea de processo de gerncia de riscos do modelo CMMI. Assim como para o PMBOK, o modelo CMMI sugere que a etapa de planejamento de resposta aos riscos seja realizada apenas para os riscos definidos como prioritrios de acordo com a anlise previamente realizada. Para estes riscos o modelo

214

V Simpsio Brasileiro de Qualidade de Software SBQS2006

sugere que sejam definidos responsveis pelo seu acompanhamento e que seja escolhida a alternativa de resposta mais apropriada. Evitar, controlar, transferir, monitorar, aceitar e mitigar so algumas das possveis alternativas de resposta que podem ser escolhidas para o tratamento de um determinado risco. O componente desenvolvido para atender esta etapa do processo de gerncia de riscos permite que o gerente do projeto defina, para cada risco identificado, um responsvel, a estratgia escolhida para tratar o risco em questo e as aes necessrias para colocar em prtica a estratgia definida (Figura 7).

Figura 7 Componente de planejamento de resposta aos riscos

Alm disso, pode-se definir tambm um plano de contingncia que dever ser utilizado no caso da estratgia definida no ter se mostrado eficiente para tratar o risco.

3.5. Monitorao e controle dos riscos

Conforme mencionado anteriormente, o PMBOK sugere que a etapa de identificao de riscos seja realizada ao longo de todo o ciclo de vida do projeto. A verdade que a situao dos riscos do projeto no esttica, mas sim dinmica. Conforme o projeto vai avanando novos riscos so identificados e riscos antigos tm a sua probabilidade de ocorrncia e impacto reduzidos atravs das aes de resposta planejadas. Portanto, a etapa de monitorao e controle dos riscos diz respeito contnua identificao, anlise e tratamento dos riscos. durante a realizao desta que estratgias alternativas para o tratamento dos riscos podem ser definidas, planos de contingncia podem ter que ser colocados em prtica e o plano do projeto pode ter que ser alterado. na segunda prtica do terceiro objetivo especfico da rea de processo de gerncia de riscos que o modelo CMMI trata a monitorao e controle dos riscos. O modelo sugere que o processo de gerncia de riscos deve ser executado de maneira prativa, onde a situao de cada risco regularmente monitorada, assim como a eficcia das aes de tratamento destes riscos. A estratgia de gerncia de riscos do projeto deve definir o intervalo entre as revises da situao dos riscos do projeto. Assim como o PMBOK, o modelo CMMI tambm menciona que novos riscos podem ser identificados nesta etapa do processo, e que isto pode levar a um re-planejamento do projeto.

215

V Simpsio Brasileiro de Qualidade de Software SBQS2006

O componente desenvolvido para atender esta etapa do processo permite que o gerente do projeto acompanhe cada risco atravs dos eventos de disparo (gatilhos) dos mesmos. Ao se registrar se o risco efetivamente ocorreu, ou se foram realizadas aes de tratamento, ou ainda se estas aes foram efetivas, cria-se uma base de conhecimento sobre os riscos do projeto que podero servir de lies aprendidas para projetos futuros (Figura 8).

Figura 8 Componente de monitorao e controle dos riscos

Alm disso, o componente permite que sejam inseridos relatos sobre a situao atual de cada risco do projeto, de forma que se possa criar um histrico que registre todo o ciclo de vida do risco.

3.6. Coleta de lies aprendidas

Muitas das etapas que compem o processo de gerncia de riscos podem se beneficiar de lies aprendidas. Para o PMBOK as lies aprendidas esto inseridas dentro de um contexto maior, os ativos da organizao, que servem como entrada para pelo menos as etapas de planejamento, identificao, anlise e planejamento de resposta. na etapa de monitorao e controle que tanto o PMBOK quanto o modelo CMMI sugerem a coleta de lies aprendidas, de forma que estas lies possam beneficiar projetos futuros da organizao. Assim, tambm foi previsto na ferramenta o desenvolvimento de um componente para atender esta etapa do processo.

4. Consideraes finais
A ferramenta RiskFree foi desenvolvida com o objetivo de inserir a cultura de gerncia de riscos no dia-a-dia de organizaes de desenvolvimento de software principalmente de pequeno e mdio porte. Acredita-se que uma ferramenta colaborativa (onde todos os integrantes da equipes podem participar ativamente do processo de gerncia de risco), fcil de usar e que mantenha um repositrio central de informaes seja essencial para atingir este objetivo. Alm disso, acredita-se que outro fator determinante seja o fato desta ferramenta ter sido projetada e desenvolvida com base nas boas prticas sugeridas por modelos amplamente aceitos na academia e principalmente na indstria.

216

V Simpsio Brasileiro de Qualidade de Software SBQS2006

Conforme apresentado ao longo deste artigo a ferramenta foi desenvolvida para estar em conformidade com o PMBOK e com a rea de processo de gerncia de riscos do modelo CMMI. Uma preocupao considerada desde o incio do projeto era evitar que a ferramenta forasse a realizao das etapas do processo de uma maneira nica. Para cada etapa do processo o PMBOK sugere diversas tcnicas que podem ser utilizadas, e o modelo CMMI em nenhum momento exige que uma tcnica especfica seja utilizada para atender um dos objetivos que compem a rea de processo de gerncia de riscos. Tendo isso em mente projetou-se a ferramenta de forma que cada organizao pudesse desenvolver componentes que atendessem s suas necessidades e vincul-los ferramenta, permitindo assim um certo nvel de flexibilidade. A ferramenta encontra-se hoje com diversas funcionalidades e componentes desenvolvidos. Alm disso, uma ferramenta gratuita, em lngua portuguesa, e adaptvel. possvel que uma organizao utilize-a para implantar atividades bsicas do processo de gerncia de riscos, ou apenas para se beneficiar do processo de gerncia de riscos definido. No entanto, a ferramenta ainda necessita ser evoluda para que possa ser implantada completamente. Algumas evolues previstas incluem a criao de novas funcionalidades de administrao, configurao e desenvolvimento de novos componentes.

5. Referncias Bibliogrficas
Ahern, D.; Clouse, A.; Richard T. (2005) CMMI Distilled: A Practical Introduction to Integrated Process Improvement, Addison-Wesley, Setembro, 2004. Boehm, B. (1991). Software risk management: principles and practices. Piscataway: IEEE Software, v. 8, p. 32-41. Knob, F., Silveira, F., Orth, A., Prikladnicki, R. (2005) RiskFree Uma Ferramenta de Apoio Gerncia de Risco em Projetos de Software. In: II SBSI, Florianpolis, 2005. Machado, C. (2002) A-Risk: Um mtodo para identificar e quantificar risco de prazo em projetos de desenvolvimento de software. Curitiba, 2002. PMI (2004) Project Management Institute - PMI: A guide to the project management body of knowledge, Syba: PMI Publishing Division, 2004. Prikladnicki, R., Gomes, G., Majdenbaum, A., Yamaguti, M. H., Antunes, D., Oliveira, S., Audy, J. L. N. (2005) Um Caso Prtico de Implantao da Gerncia de Risco em Ambientes de Desenvolvimento Distribudo de Software, baseado no Modelo CMMI. In: IV SBQS, Porto Alegre, 2005, pp: 95-102. Schwalbe, K. (2002) Information Technology. Project Management, Cambridge, MA: Course Technology, 2002. SEI (2002) Software Engineering Institute - SEI. Capability Maturity Model Integration (CMMI) Version 1.1, Carnegie Mellon University, mar. 2002.
A ferramenta RiskFree e seus manuais de instalao, de usurio e de sistema est disponvel e pode ser obtida no endereo http://www.inf.pucrs.br/~rafael/RiskFree/.
i

217