Lecture 3 :: Análise e Gestão de Risco

Prof. Doutor

Rogério Patrício Chagas do Nascimento

Professor Associado do Departamento de Computação (DCOMP)/UFS

Assessor do Reitor para Cidades Inteligentes, Diretor Científico da EATIS.org

[email protected]

GpESGrupo de Pesquisa em Engenharia de Software

Análise e Gestão de Risco

Lecture 3

2

Sumário

▪ Introdução– O quê é?– Quem faz?– Porquê é importante?– Qual é o produto?– Como saber se está bem feita?

▪ Riscos do software

▪ Método de Identificação e estimação dos riscos

▪ Avaliação Global do Risco

▪ Tabela de Risco

▪ Explorando as atividades de RSGR

3

Introdução (I)

▪ O quê é?– Série de passos que permitem compreender e gerir a incerteza

– Um risco é um problema potencial

▪ convém identificá-lo

▪ avaliar a sua probabilidade de ocorrência

▪ e estimar o seu impacto

▪ Quem faz?– Gestores e Engenheiros de Software

– Clientes

4

Introdução (II)

▪ Porquê é importante?– A produção de software é difícil

– Muita coisa pode correr mal.. e corre mesmo mal..

– Portanto, devemos estar preparados!

▪ Qual o produto?– Plano de redução, supervisão e gestão do risco

▪ Como fazer bem?– O risco deve ser analisado e gerido a partir dos 4 ‘P’s:

▪ pessoal, produto, processo e projeto

5

Risco do SW- Aspectos Importantes

▪ Incerteza: o fato que caracteriza o risco pode não acontecer– Não há riscos com 100% de

probabilidade de ocorrência

▪ Perda: Se o risco se converter em realidade– Implicará consequências não

desejadas ou perdas

6

Categorias de Risco

▪ Projeto: ameaças ao plano do projeto.

▪ Técnico: ameaças à qualidade e o planeamento temporal do software

▪ Negócio: ameaças à viabilidade do software

▪ Conhecidos: após avaliações do plano, condições técnicas e comerciais

▪ Previsíveis: extrapolados de experiências anteriores

▪ Imprevisíveis: difíceis de prever com antecedência

7

Identificação do Risco

▪ Tentativa sistemática para uma especificação das ameaças ao plano do projeto

▪ Permite dar um passo à frente para evitá-los e controlá-los

▪ Riscos genéricos: ameaças potencias para todos os projetos de software

▪ Riscos específicos do produto: identificados só por quem tem uma clara visão da tecnologia, o pessoal e o ambiente específico do projeto

8

Método de Identificação do Risco

▪ Criar lista de comprovação de elementos de risco– focada num subconjunto de riscos conhecidos

– previsíveis segundo as seguintes subcategorias:

▪ Tamanho do produto

▪ Impacto no negócio

▪ Características do cliente

▪ Definição do processo

▪ Ambiente de desenvolvimento

▪ Tecnologia a construir

▪ Tamanho e experiência do pessoal

9

Método de Identificação do Risco- Riscos Gerais e doPprojeto Pedidos no Plano de Projeto da Lacertae SW (item 3.1)

Risco Projeto Técnico Negócio Comum Especial

Equipamento não disponível X

Requisitos incompletos X X

Uso de metodologias especiais X X

Problemas na busca da

confiabilidade requeridaX X

Retenção de pessoas chave X X

Sub-estimativa do esforço X X

Desistência do único cliente

potencialX X

10

Avaliação Global do Risco- Também Adicionar ao Item 3.1

1. Os Gestores de Software e clientes dão suporte ao projeto?

2. Os Clientes estão entusiasmados com o projeto e o produto?

3. Os Engenheros de Software e os clientes compreenderam bem os requisitos?

4. Os Clientes estiveram envolvidos na definição dos requisitos?

5. As expectativas dos utilizadoressão realistas?

6. O âmbito do projeto é estável?

7. Os Engenheiros de Software têm as competências requeridas?

8. Os requisitos do projeto são estáveis?

9. A Equipe de Desenvolvimento tem experiência na tecnologia a implementar?

10. É adequado o número de pessoas da equipe de trabalho?

11. Concordam os Clientes/utilizadores quanto à importância do projeto? e nos requisitos do sistema ou produto a construir?

12

Estimação do Risco

▪ Medição do risco em termos da sua probabilidade de ocorrência e das suas consequências

▪ Tarefas a cumprir:1. Estabelecimento de uma escala para refletir probabilidade

percebida do risco

2. Definição das consequências do risco

3. Estimação do impacto do risco no projeto e no produto

4. Apontar exactidão geral da estimação

13

Tabela de Risco- Exemplo-modelo para o Item 3.2 do Plano de Projeto

Risco Categoria Prob. Impacto RSGR

Baixa estimação do tamanho Tamanho 60% Crítico

Mais utilizadores que os previstos Tamanho 30% Marginal

Menos reutilização que a prevista Tamanho 70% Crítico

Resistência dos utilizadores Negócio 40% Marginal

Data de entrega muito ajustada Negócio 50% Crítico

Perda dos orçamentos Negócio 40% Catastróf.

Mudança nos requisitos Cliente 80% Crítico

Expectativas não satisfeitas Cliente 30% Marginal

Falta de formação nas ferramentas Pessoal 80% Marginal

Falta de experiência do pessoal Pessoal 30% Crítico

Alta rotação de pessoal Pessoal 60% Crítico

14

Redução do RiscoRisco Identificado: “Rotação de Pessoal”

▪ Plano de redução:

– Reunião com o pessoal para determinar causas da mobilidade

– Gestor de Software decide sobre a mobilidade

– Desenvolver técnicas para assegurar a continuidade

– Organizar as equipes por forma a garantir a distribuição de informação

– Definir standards de documentação e estabelecer mecanismos para assegurar o cumprimento das atividades de documentação

15

Supervisão do Risco- Risco identificado: “Rotação de Pessoal”

▪ Fatores a supervisionar– Atitude geral dos membros da equipe

– Grau de compenetração da equipe

– Relações interpessoais entre os membros

– Problemas potenciais com compensações e benefícios

– Oferta de emprego dentro e fora da companhia

16

Gestão do Risco- Risco identificado: “Rotação de Pessoal”

▪ A gestão do risco e os planos de contingência assumem que os esforços de redução falharam

▪ Plano de Contingência:– Cópias de segurança disponíveis– Informação devidamente documentada– Conhecimento disperso pela equipe– Atividades de transferência de conhecimento entre os que saem e os

que entram

▪ As atividades de RSGR devem ser justificadas em termos de custos e benefícios– Estratégia eficaz para tratar os riscos:

▪ Evitar o risco▪ Supervisionar o risco▪ Gerir o risco e planos de contingência

17

RSGR- Redução, Supervisão e Gestão do Risco

▪ outro exemplo de risco identificado:– usar este modelo para o item

3.3 do Plano de Projeto da Lacertae SW

– descrever as atividades de RSGR somente para 2 ou 3 dos riscos identificados

Risco: 1-010-77 Prob: 10% Impacto: muito

alto

Descrição: hardware especializado pode não estar disponível

Estratégia de redução: Acelerar desenvolvimento de HW,

construir simulador

Plano de contigência: ter desenvolvimento externo de

hardware como backup, implantar sistemas num simulador

Pessoa responsável: Fred Jones (criação 1-01-01)

Status: Simulação completada 10-02-01

18

Avaliação do Impacto

▪ Método da FAA (Federal Aviation Administration, USA)

– Determinar probabilidade média de ocorrência de cada componente de risco

– Empregando a figura da FAA determinar o impacto baseados nos critérios mostrados

▪ Desprezível

▪ Marginal

▪ Crítico

▪ Catastrófico

– Completar a tabela de risco e analisar resultados

▪ Exposição ao Risco– ER = P x C

– P = probabilidade de ocorrência

– C = custo em caso de ocorrência

19

Avaliação do Impacto

▪ Identificação do risco: – “Somente 70% dos componentes do software planeados para reutilização,

podem integrar-se na aplicação. A funcionalidade restante será desenvolvida”

▪ Probabilidade do Risco:– 80%

▪ Calculando o Custo: – Se temos algo como 60 componentes planeados para reutilização, 30 %

equivale a 18 componentes (que devem ser desenvolvidos)– Se a quantidade (média) de Classes x componente = 3 Classes– Se o custo de implementação x Classe = £ 317,00– Custo global = 18 x 3 x 317 = £ 17.118

▪ Exposição ao Risco (ER = P x C) = 0,80 x 17.118 ~ £ 13.700,00

A avaliação do impacto não será cobrada no Plano de Projeto..

20

Materiais Extras (I)

▪ Ferramentas/ aplicativos de aprimoramento para Gestão de Riscos– RIMS Risk Maturity Model é uma ferramenta de avaliação gratuita para

gerenciamento de risco.

▪ https://www.rims.org/

– RiskNav é uma ferramenta bem testada desenvolvida pela MITER para facilitar oprocesso de risco e ajudar os gerentes de programas a lidar com seu espaço derisco.

▪ http://www2.mitre.org/work/sepo/toolkits/risk/ToolsTechniques/RiskNav.html

– Risk Matrix é um aplicativo de software que pode ajudá-lo a identificar, priorizare gerenciar os principais riscos em seu programa.

▪ http://www2.mitre.org/work/sepo/toolkits/risk/ToolsTechniques/RiskMatrix.html

21

Materiais Extras (II)

▪ Ferramenta Básica de para Gerenciamento de Riscos

▪ APR - Análise Preliminar de Riscos

– "é uma ferramenta dentro do Gerenciamento de Riscos usada para realizar uma análise qualitativa na fase de concepção ou desenvolvimento de um projeto ou atividade cuja experiência em riscos na sua operação é deficiente.

▪ Softwares para Gerenciamento de Riscos– https://www.capterra.com/risk-management-

software/?utf8=%E2%9C%93&review_stars=4&users=&commit=Filter+Results&sort_options=

22

Materiais Extras (III)

▪ Artigos

▪ M. Zur Muehlen and D.-Y. Ho. Risk management in the BPM lifecycle. Lecture Notes inComputer Science (including subseries Lecture Notes in Artificial Intelligence and LectureNotes in Bioinformatics), 3812 LNCS:454–466, 2005.

▪ A. Albadarneh, I. Albadarneh, and A. Qusef. Risk management in Agile softwaredevelopment: A comparative study. In 2015 IEEE Jordan Conference on Applied ElectricalEngineering and Computing Technologies, AEECT 2015, 2015

▪ M. Zur Muehlen and D.-Y. Ho. Risk management in the BPM lifecycle. Lecture Notes inComputer Science (including subseries Lecture Notes in Artificial Intelligence and LectureNotes in Bioinformatics), 3812 LNCS:454–466, 2005.

Materiais Extras (IV)- Livros

23

próxima aula teórica…

Bons caminhos!

Obrigado pela atenção! Thanks for listening! Merci pour votre attention!

[email protected]

@Patricium