PROCESSOS DO MODELO DE REFERÊNCIA CMMI COM ÊNFASE EM RISCOS . 56

3.3 PROCESSOS DO MODELO DE REFERÊNCIA CMMI COM ÊNFASE EM RISCOS

Objetivos Práticas

SP 1.1 Determinar fontes e categorias de riscos SP 1.2 Definir parâmentros de riscos

SG 1 Preparar para o gerenciamento de riscos

SP 1.3 Estabelecer uma estratégia de gerenciamento de riscos SP 2.1 Identificar riscos

SG 2 Identificar e analisar riscos

SP 2.2 Avaliar, categorizar e priorizar riscos SP 3.1 Desenvolver planos de mitigação de riscos SG 3 Mitigar riscos

SP 3.2 Implementar planos de mitigação de riscos GP 2.1 Estabelecer uma política organizacional GP 2.2 Planejar o processo

GP 2.3 Fornecer recursos GP 2.4 atribuir responsabilidades GP 2.5 Treinar as pessoas

GP 3.1 Estabelecer um processo definido GP 2.6 Gerenciar configurações

GP 2.7 Identificar e envolver os Stakeholders relevantes GP 2.8 Monitorar e controlar processo

GP 3.2 Coletar informações de melhorias GP 2.9 Avaliar objetivamente a aderência GG 3 Institucionalizar um

processo definido

GP 2.10 Revisar o status com o nível mais alto de gerência

Quadro 1 - Relação das práticas referentes aos objetivos específicos e genéricos da área de processo Risk Management do CMMI

FONTE: SEI, 2006, p. 328-437.

3.4 PROCESSOS DO MODELO DE REFERÊNCIA MPS-BR COM ÊNFASE EM RISCOS

O processo de gerência de riscos no MPS-BR é definido no nível C, no qual se tem como propósito identificar, gerenciar e reduzir continuamente os riscos nos níveis organizacionais e de projeto (SOFTEX, 2005, p. 46).

Os passos a serem seguidos são:

GRI (Gerenciamento de riscos) 1. O escopo da Gerência de Riscos é determinado.

GRI 2. As origens e as categorias de riscos são determinadas, os parâmetros usados para quantificação da probabilidade e severidade são definidos, e as ameaças e suas fronteiras para cada categoria de risco são definidas.

GRI 3. As estratégias apropriadas para a Gerência de Riscos são definidas e implementadas.

GRI 4. Os riscos do projeto são identificados e documentados, incluindo seu contexto, as condições e possíveis conseqüências para os riscos e as partes que serão afetadas.

GRI 5. Os riscos são priorizados, estimados e classificados de acordo com as categorias e os parâmetros definidos.

GRI 6. Planos para a redução de riscos são desenvolvidos, podendo incluir níveis de risco e ameaças, atividades para acompanhamento, responsáveis e análise de custo–benefício da implementação dos planos.

GRI 7. Planos de contingência para riscos críticos são desenvolvidos.

GRI 8. Os riscos são analisados, e a prioridade de aplicação dos recursos para o monitoramento desses riscos é determinada.

GRI 9. A situação de cada risco é periodicamente monitorada, e o plano de mitigação de risco é implementado, e, quando este é apropriado, é estabelecido um cronograma e os recursos necessários são comprometidos.

GRI 10. As medições de desempenho nas atividades de tratamento de risco são coletadas.

GRI 11. Ações apropriadas são executadas para corrigir ou evitar o impacto dos riscos.

3.5 PROCESSOS DO TEN STEP COM ÊNFASE EM RISCOS

Nesta metodologia a primeira vez que se executará uma avaliação dos riscos é no momento de criar o documento de definição do projeto, em que são descritos uma visão geral do projeto, os objetivos do projeto, o escopo, o impacto desse projeto, as estimativas de custos, as estimativas de tempo e riscos. Essa avaliação é executada no passo 1 desta metodologia descrita a seguir (TENSTEP, 2004, np).

Definir tarefas:

1) Determinar se o caso original do negócio ainda é válido.

2) Certificar-se de que os recursos necessários estarão disponíveis quando você necessitar deles.

3) Uma linha de partida de alto-nível a partir da qual o progresso possa ser comparado.

4) Validar os processos utilizados no projeto antecipadamente com o cliente.

Antes do início do ciclo de vida do projeto, uma série de itens deve ser definida no processo de planejamento. Em projetos menores, muitas dessas condições são atendidas de maneira informal ou implícita (TENSTEP, 2004, np), tais como:

1) O cliente aprova o início do planejamento. Normalmente, a aprovação implícita é presumida para fazer com que o projeto seja iniciado. Contudo, se o projeto não tiver um caso de negócios preparado e se não passar por um processo de priorização, a aprovação explícita deverá ser obtida antes do início do planejamento do projeto.

2) O Projeto está definido. Isto é, documentado na Definição do Projeto, que contém objetivos, escopo, hipóteses, orçamento etc. (para projetos médios ou pequenos, isto pode ser a definição resumida do projeto ou uma solicitação de serviço).

3) O workplan do projeto é criado. Um workplan deve ser preparado e utilizado para gerenciar o esforço. Isto inclui pontos de verificação sempre que o projeto puder ser avaliado para assegurar a sua continuidade.

4) O cliente aprova o início do projeto. Isto significa uma Definição de Projeto assinada e aprovada. O patrocinador deve assinar o documento para garantir a concordância.

5) Os procedimentos de gerenciamento do projeto são definidos e aprovados. Os procedimentos devem estar definidos para que se possa descrever como o projeto gerenciará incidências, comunicação, riscos, qualidade, escopo etc. Isto é especialmente verdadeiro para grandes projetos, e menos importante quando um projeto se torna menor.

6) Os recursos da equipe do projeto são designados. Deve-se ter as pessoas certas para contratar e para executar o projeto. Algumas vezes, projetos válidos e aprovados necessitam ser atrasados porque as pessoas com as habilidades necessárias não estão disponíveis.

7) O processo de avaliação e identificação de riscos deve ocorrer durante todo o projeto em uma base programada (mensal ou trimestral) ou na conclusão de um marco (milestone) principal.

3.6 PROCESSOS DA NORMATIVA AS/NZS 4360:2004 COM ÊNFASE EM RISCOS O padrão de AS/NZS 4360 foi desenvolvido para acomodar o setor público e as organizações na gerência de risco. Sua aproximação da gerência de risco é muito genérica. Este padrão consiste em processos como os ilustrados na figura 14.

Figura 14: Estrutura AS/NZS 4360.

Fonte: (YUSUFF, 2006, p. 7)

Para a AS/NZS 4360, a gestão de riscos envolve o estabelecimento de uma infra-estrutura e cultura apropriadas e a aplicação de um método lógico e sistemático para estabelecer contextos, bem como para identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer atividade, função ou processo, de modo a minimizar perdas e maximizar ganhos para as organizações.

As principais etapas do processo de gestão de riscos são (figura 15):

Figura 15: Principais etapas AS/NZS 4360:2004.

Fonte: (FERREIRA, 2006, np)

1) comunicação e consulta: comunicar e consultar as partes envolvidas internas e externas, conforme apropriado, em cada etapa do processo de gestão de riscos e em relação ao processo;

2) estabelecimento dos contextos: estabelecer os contextos externo, interno e da gestão de riscos nos quais se desenvolverá o restante do processo. Devem ser estabelecidos os critérios em relação aos quais os riscos serão avaliados, e deve ser definida a estrutura da análise;

3) identificação de riscos: identificar onde, quando, por que e como os eventos podem impedir, atrapalhar, atrasar ou melhorar a consecução dos objetivos;

4) análise de riscos: identificar e avaliar os controles existentes. Determinar as conseqüências e a probabilidade e, por conseguinte, o nível de risco. Tal análise deve considerar as diversas conseqüências potenciais e como essas podem ocorrer;

5) avaliação de riscos: comparar os níveis de risco estimados com os critérios estabelecidos previamente e considerar o balanço entre os benefícios potenciais e os resultados adversos.

Isso possibilita que sejam tomadas decisões quanto à extensão e à natureza dos tratamentos necessários e quanto às prioridades;

6) tratamento de riscos: desenvolver e implementar estratégias e planos de ação específicos e econômicos para aumentar os benefícios potenciais e reduzir os custos potenciais; e

7) monitoramento e análise crítica: é necessário monitorar a eficácia de todas as etapas do processo de gestão de riscos. Isso é importante para a melhoria contínua.