lecture 3 :: análise e gestão de risco
TRANSCRIPT
Prof. Doutor
Rogério Patrício Chagas do Nascimento
Professor Associado do Departamento de Computação (DCOMP)/UFS
Assessor do Reitor para Cidades Inteligentes, Diretor Científico da EATIS.org
GpESGrupo de Pesquisa em Engenharia de Software
Análise e Gestão de Risco
Lecture 3
2
Sumário
▪ Introdução– O quê é?– Quem faz?– Porquê é importante?– Qual é o produto?– Como saber se está bem feita?
▪ Riscos do software
▪ Método de Identificação e estimação dos riscos
▪ Avaliação Global do Risco
▪ Tabela de Risco
▪ Explorando as atividades de RSGR
3
Introdução (I)
▪ O quê é?– Série de passos que permitem compreender e gerir a incerteza
– Um risco é um problema potencial
▪ convém identificá-lo
▪ avaliar a sua probabilidade de ocorrência
▪ e estimar o seu impacto
▪ Quem faz?– Gestores e Engenheiros de Software
– Clientes
4
Introdução (II)
▪ Porquê é importante?– A produção de software é difícil
– Muita coisa pode correr mal.. e corre mesmo mal..
– Portanto, devemos estar preparados!
▪ Qual o produto?– Plano de redução, supervisão e gestão do risco
▪ Como fazer bem?– O risco deve ser analisado e gerido a partir dos 4 ‘P’s:
▪ pessoal, produto, processo e projeto
5
Risco do SW- Aspectos Importantes
▪ Incerteza: o fato que caracteriza o risco pode não acontecer– Não há riscos com 100% de
probabilidade de ocorrência
▪ Perda: Se o risco se converter em realidade– Implicará consequências não
desejadas ou perdas
6
Categorias de Risco
▪ Projeto: ameaças ao plano do projeto.
▪ Técnico: ameaças à qualidade e o planeamento temporal do software
▪ Negócio: ameaças à viabilidade do software
▪ Conhecidos: após avaliações do plano, condições técnicas e comerciais
▪ Previsíveis: extrapolados de experiências anteriores
▪ Imprevisíveis: difíceis de prever com antecedência
7
Identificação do Risco
▪ Tentativa sistemática para uma especificação das ameaças ao plano do projeto
▪ Permite dar um passo à frente para evitá-los e controlá-los
▪ Riscos genéricos: ameaças potencias para todos os projetos de software
▪ Riscos específicos do produto: identificados só por quem tem uma clara visão da tecnologia, o pessoal e o ambiente específico do projeto
8
Método de Identificação do Risco
▪ Criar lista de comprovação de elementos de risco– focada num subconjunto de riscos conhecidos
– previsíveis segundo as seguintes subcategorias:
▪ Tamanho do produto
▪ Impacto no negócio
▪ Características do cliente
▪ Definição do processo
▪ Ambiente de desenvolvimento
▪ Tecnologia a construir
▪ Tamanho e experiência do pessoal
9
Método de Identificação do Risco- Riscos Gerais e doPprojeto Pedidos no Plano de Projeto da Lacertae SW (item 3.1)
Risco Projeto Técnico Negócio Comum Especial
Equipamento não disponível X
Requisitos incompletos X X
Uso de metodologias especiais X X
Problemas na busca da
confiabilidade requeridaX X
Retenção de pessoas chave X X
Sub-estimativa do esforço X X
Desistência do único cliente
potencialX X
10
Avaliação Global do Risco- Também Adicionar ao Item 3.1
1. Os Gestores de Software e clientes dão suporte ao projeto?
2. Os Clientes estão entusiasmados com o projeto e o produto?
3. Os Engenheros de Software e os clientes compreenderam bem os requisitos?
4. Os Clientes estiveram envolvidos na definição dos requisitos?
5. As expectativas dos utilizadoressão realistas?
6. O âmbito do projeto é estável?
7. Os Engenheiros de Software têm as competências requeridas?
8. Os requisitos do projeto são estáveis?
9. A Equipe de Desenvolvimento tem experiência na tecnologia a implementar?
10. É adequado o número de pessoas da equipe de trabalho?
11. Concordam os Clientes/utilizadores quanto à importância do projeto? e nos requisitos do sistema ou produto a construir?
12
Estimação do Risco
▪ Medição do risco em termos da sua probabilidade de ocorrência e das suas consequências
▪ Tarefas a cumprir:1. Estabelecimento de uma escala para refletir probabilidade
percebida do risco
2. Definição das consequências do risco
3. Estimação do impacto do risco no projeto e no produto
4. Apontar exactidão geral da estimação
13
Tabela de Risco- Exemplo-modelo para o Item 3.2 do Plano de Projeto
Risco Categoria Prob. Impacto RSGR
Baixa estimação do tamanho Tamanho 60% Crítico
Mais utilizadores que os previstos Tamanho 30% Marginal
Menos reutilização que a prevista Tamanho 70% Crítico
Resistência dos utilizadores Negócio 40% Marginal
Data de entrega muito ajustada Negócio 50% Crítico
Perda dos orçamentos Negócio 40% Catastróf.
Mudança nos requisitos Cliente 80% Crítico
Expectativas não satisfeitas Cliente 30% Marginal
Falta de formação nas ferramentas Pessoal 80% Marginal
Falta de experiência do pessoal Pessoal 30% Crítico
Alta rotação de pessoal Pessoal 60% Crítico
14
Redução do RiscoRisco Identificado: “Rotação de Pessoal”
▪ Plano de redução:
– Reunião com o pessoal para determinar causas da mobilidade
– Gestor de Software decide sobre a mobilidade
– Desenvolver técnicas para assegurar a continuidade
– Organizar as equipes por forma a garantir a distribuição de informação
– Definir standards de documentação e estabelecer mecanismos para assegurar o cumprimento das atividades de documentação
15
Supervisão do Risco- Risco identificado: “Rotação de Pessoal”
▪ Fatores a supervisionar– Atitude geral dos membros da equipe
– Grau de compenetração da equipe
– Relações interpessoais entre os membros
– Problemas potenciais com compensações e benefícios
– Oferta de emprego dentro e fora da companhia
16
Gestão do Risco- Risco identificado: “Rotação de Pessoal”
▪ A gestão do risco e os planos de contingência assumem que os esforços de redução falharam
▪ Plano de Contingência:– Cópias de segurança disponíveis– Informação devidamente documentada– Conhecimento disperso pela equipe– Atividades de transferência de conhecimento entre os que saem e os
que entram
▪ As atividades de RSGR devem ser justificadas em termos de custos e benefícios– Estratégia eficaz para tratar os riscos:
▪ Evitar o risco▪ Supervisionar o risco▪ Gerir o risco e planos de contingência
17
RSGR- Redução, Supervisão e Gestão do Risco
▪ outro exemplo de risco identificado:– usar este modelo para o item
3.3 do Plano de Projeto da Lacertae SW
– descrever as atividades de RSGR somente para 2 ou 3 dos riscos identificados
Risco: 1-010-77 Prob: 10% Impacto: muito
alto
Descrição: hardware especializado pode não estar disponível
Estratégia de redução: Acelerar desenvolvimento de HW,
construir simulador
Plano de contigência: ter desenvolvimento externo de
hardware como backup, implantar sistemas num simulador
Pessoa responsável: Fred Jones (criação 1-01-01)
Status: Simulação completada 10-02-01
18
Avaliação do Impacto
▪ Método da FAA (Federal Aviation Administration, USA)
– Determinar probabilidade média de ocorrência de cada componente de risco
– Empregando a figura da FAA determinar o impacto baseados nos critérios mostrados
▪ Desprezível
▪ Marginal
▪ Crítico
▪ Catastrófico
– Completar a tabela de risco e analisar resultados
▪ Exposição ao Risco– ER = P x C
– P = probabilidade de ocorrência
– C = custo em caso de ocorrência
19
Avaliação do Impacto
▪ Identificação do risco: – “Somente 70% dos componentes do software planeados para reutilização,
podem integrar-se na aplicação. A funcionalidade restante será desenvolvida”
▪ Probabilidade do Risco:– 80%
▪ Calculando o Custo: – Se temos algo como 60 componentes planeados para reutilização, 30 %
equivale a 18 componentes (que devem ser desenvolvidos)– Se a quantidade (média) de Classes x componente = 3 Classes– Se o custo de implementação x Classe = £ 317,00– Custo global = 18 x 3 x 317 = £ 17.118
▪ Exposição ao Risco (ER = P x C) = 0,80 x 17.118 ~ £ 13.700,00
A avaliação do impacto não será cobrada no Plano de Projeto..
20
Materiais Extras (I)
▪ Ferramentas/ aplicativos de aprimoramento para Gestão de Riscos– RIMS Risk Maturity Model é uma ferramenta de avaliação gratuita para
gerenciamento de risco.
▪ https://www.rims.org/
– RiskNav é uma ferramenta bem testada desenvolvida pela MITER para facilitar oprocesso de risco e ajudar os gerentes de programas a lidar com seu espaço derisco.
▪ http://www2.mitre.org/work/sepo/toolkits/risk/ToolsTechniques/RiskNav.html
– Risk Matrix é um aplicativo de software que pode ajudá-lo a identificar, priorizare gerenciar os principais riscos em seu programa.
▪ http://www2.mitre.org/work/sepo/toolkits/risk/ToolsTechniques/RiskMatrix.html
21
Materiais Extras (II)
▪ Ferramenta Básica de para Gerenciamento de Riscos
▪ APR - Análise Preliminar de Riscos
– "é uma ferramenta dentro do Gerenciamento de Riscos usada para realizar uma análise qualitativa na fase de concepção ou desenvolvimento de um projeto ou atividade cuja experiência em riscos na sua operação é deficiente.
▪ Softwares para Gerenciamento de Riscos– https://www.capterra.com/risk-management-
software/?utf8=%E2%9C%93&review_stars=4&users=&commit=Filter+Results&sort_options=
22
Materiais Extras (III)
▪ Artigos
▪ M. Zur Muehlen and D.-Y. Ho. Risk management in the BPM lifecycle. Lecture Notes inComputer Science (including subseries Lecture Notes in Artificial Intelligence and LectureNotes in Bioinformatics), 3812 LNCS:454–466, 2005.
▪ A. Albadarneh, I. Albadarneh, and A. Qusef. Risk management in Agile softwaredevelopment: A comparative study. In 2015 IEEE Jordan Conference on Applied ElectricalEngineering and Computing Technologies, AEECT 2015, 2015
▪ M. Zur Muehlen and D.-Y. Ho. Risk management in the BPM lifecycle. Lecture Notes inComputer Science (including subseries Lecture Notes in Artificial Intelligence and LectureNotes in Bioinformatics), 3812 LNCS:454–466, 2005.
Materiais Extras (IV)- Livros
23
próxima aula teórica…
Bons caminhos!
Obrigado pela atenção! Thanks for listening! Merci pour votre attention!
@Patricium