segunda-feira, 14 de junho de 2010

Resumo Livro BCTS: Capítulo 4 – Análise de Riscos

Capítulo 4 – Análise de Riscos


1.1. Definição de risco

Ao avaliar os riscos de um projeto, estamos buscando aqueles fatos cujas ocorrências poderão acarretar perdas para empresa. Nem sempre é possível aliar um risco a uma perda – um risco presente nem sempre vai gerar uma perda. Em resumo, podemos dizer que o risco é a possibilidade de ocorrência de uma perda para empresa.

Segundo o dicionário Houaiss, Risco é a “probabilidade de insucesso, de malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja ocorrência não depende exclusivamente da vontade dos interessados.”

O que leva um risco a potencialmente se tornar uma perda é a ameaça de sua ocorrência.

As ameaças podem ser reduzidas através de mecanismos de controle. Controlar as ameaças é uma das maneiras de evitar sua ocorrência.

Quando os meios de controle são insuficientes ou inadequados para administrar a ocorrência de um risco, surgem então as vulnerabilidades.

Análise de riscos é o processo de avaliar os riscos, ameaças , controles e vulnerabilidades.

Conceito usados em gerenciamento de riscos

Risco O risco é uma perda em potencial para organização.

Análise de Riscos É uma avaliação dos recursos de informação de uma organização, seus controles e suas vulnerabilidades.

Ameaça Capacidade de alguém explorar a vulnerabilidade de um sistema de computador ou aplicação

Vulnerabilidade É uma falha no desenho, implementação ou operação que permite a concretização de uma ameaça.

Controle É uma maneira de tentar reduzir as causas dos riscos, evitando desse modo sua ocorrência ou, pelo menos reduzindo sua freqüência de ocorrência.


1.2. Riscos decorrentes da tecnologia da informação

O risco é, portanto, a materialização de uma ameaça. A análise de risco tenta identificar os riscos e medir seu nível de severidade. Desse modo, uma ameaça é a possível ocorrência de um evento que causa danos.

Os riscos presentes na área de tecnologia da informação podem ser gerados por ameaças físicas ou decorrentes da ação de pessoas.

O trabalho do audito de sistemas é procurar e identificar esses riscos, estimar sua severidade e montar processos de teste de auditoria para mapear os possíveis riscos derivados de sua ocorrência.

1.3. Riscos relativos ao teste de software

Em geral, os testadores tentam cobrir as partes mais importantes do software, aquelas nas quais se concentrarão os maiores riscos para o negócio. No Plano de Testes, esses riscos receberão os maiores níveis de prioridade.

Ao fazer a análise de riscos, devemos levar em conta o seguinte:

• A probabilidade de ocorrência do risco.
• O impacto e a perda associada a esse risco.

Esses dois pontos deverão ser levados em conta para definição da cobertura dos testes.

Podemos afirmar que o total de testes a ser executado está diretamente ligado ao total de riscos envolvidos.

1.4. Riscos do Processo de teste

Dentre os possíveis riscos para o processo de teste, a ser identificados pelo gerente de teste, destacamos:

Orçamento; insuficiente para execução dos serviços de teste;
Qualificação da equipe de teste; equipe sem treinamentos;
Ambiente de teste; ambiente de teste mais próximo do ambiente de produção;
Ferramentas; faltas de ferramentas necessárias para sucesso de um tipo de teste;
Metodologias; falta de metodologia adequada e condizente com o desenvolvimento;
Cronograma de recebimento de programas para teste e cronograma para devolução; Caso os prazos sejam exíguos. Negociar.
Testware; ter metodologia para guardar a documentação de teste para uso futuro;
Novas Tecnologias; uso de tecnologias não dominadas pela equipe de teste.

1.5. Determinação da magnitude dos riscos

O problema muitas vezes, consiste em determinar como classificar o risco e qual o custo de criação de um controle que evite a ocorrência desse risco. O controle de risco custa dinheiro, é necessário fazer uma análise de custo versus benefício para determinar se vale a pena investir em algum tipo de controle de risco.

Em resumo, quando se fala em risco, existe uma relação entre o custo da ocorrência do risco e o custo dos mecanismos de controle para evitar que o risco ocorra.

O QAI estabelece que um risco pode ser determinado por quatro maneiras, descritas a seguir:

• Intuição ou discernimento  Um técnico experiente da área de testes usa sua intuição, aliada a sua experiência para dizer que a ocorrência de um dado risco pode custar mais caro que os controles necessários para evitá-lo.

Consenso; Trata-se de um consenso entre a equipe de que aquele risco te um nível elevado de severidade.
Fórmula de risco; Existe dados financeiros que permitem medir o custo da perda pela ocorrência do risco.
Estimativas de perdas anuais; Este caso é uma combinação do consenso com a fórmula de risco.

Outras definições de riscos e avaliação de riscos:

Avaliar Riscos: Avaliar os danos para o sucesso do negócio causados pelos defeitos não detectados antes da operação do software e que poderão ocorrer quando o software estiver sendo usado.

Risco: possibilidade de falha X prejuízo causado pela falha

1.6. Riscos baseados nas características de qualidade

O risco de ocorrência de defeitos é maior num software mal testado.

Considerando as características de qualidade da norma ISO 9126-1, podemos relacionar os seguintes testes.

Funcionalidade; Teste de Funcionalidade;
Confiabilidade; Teste de Estresse;
Usabilidade; Teste de Usabilidade;
Eficiência; Teste de Desempenho;
Manutenibilidade; Teste Caixa-Branca, etc.
Portabilidade; Teste de Produção, Alfa, etc.

1.6.1. Outros riscos do projeto de testes

• Ausência do cronograma detalhado do projeto de desenvolvimento;
• Datas finais dependentes da execução dos testes;
• Bases de testes não disponíveis nas datas programadas;
• Baixa qualidade da base de testes;
• Falta de métrica adequada para medir o sistema e o processo de teste;
• Disponibilidade de pessoal para testes;
• Crescimento do sistema;
• Disponibilidade do ambiente de teste.
Uma das maneiras de reduzir os riscos do software é testá-lo adequadamente.

1.7. Controle dos riscos

A melhor maneira de controlar um risco é tentar identificá-lo na análise de requisitos de negócio, no momento em que os requisitos de teste são criados, pois assim haverá tempo hábil para que algumas ações possam ser planejadas enquanto o projeto segue seu curso normal.

Duas abordagens que podemos usar são:

• Se aumentarmos o esforço de teste, a tendência será minimizar os riscos de ocorrência de defeitos.
• Tomar como base o Princípio de Pareto de que 20% do software é responsável por 80% de suas funcionalidades.

1.8. Gerenciamento dos riscos dos projetos – Conforme PMBOK

Segundo o PMI, o gerenciamento de risco é um processo sistemático de identificar e analisar os riscos do projeto, bem como responder a eles.

Fluxo de atividades do gerenciamento de riscos.



O modelo PMI divide o gerenciamento de Riscos nos seguintes processos:

• Planejamento do Gerenciamento de Riscos;
• Identificação dos Riscos;
• Análise Qualitativa dos Riscos;
• Análise Quantitativa dos Riscos;
• Planejamento de Resposta a Riscos;
• Controle e Monitoração de Riscos.

O PMI acrescenta uma terminologia que não havíamos abordado anteriormente, pois, segundo o instituto, os riscos podem ser tanto ameaças ao sucesso do projeto quanto oportunidades de implementar melhorias.

1.8.1. Identificação dos riscos

Consiste em listar todos os riscos do projeto de teste. Pode ser:

• Através de reuniões com os técnicos envolvidos no projeto;
• Listas de riscos publicadas;
• Base de informações de projetos anteriores.

1.8.2. Análise de riscos

De acordo com o PMI os riscos devem ser analisados qualitativa e quantitativamente.

A análise qualitativa dos riscos é feita com base na definição da probabilidade de ocorrência do risco e de sua severidade.

Muitas vezes a análise quantitativa PE realizada em conjunto com análise qualitativa. O objetivo da análise qualitativa é analisar numericamente a probabilidade de cada risco, de modo que seja possível, depois definir seu tratamento. Essa análise é feita dentro do contexto global do projeto.

1.8.3. Planejamento dos riscos

O planejamento dos riscos envolve a escolha dos planos para responder aos riscos. É realizado de acordo com o caminho de melhor custo-benefício.

Os seguintes planos devem ser elaborados:

• Plano de Mitigação;
• Plano de Contingência.

1.8.4. Controle e monitoração dos riscos

Controlar e monitorar riscos é acompanhar a evolução dos riscos no desenvolvimento dos projetos, o que envolve a avaliação permanente dos riscos e, caso algum já tenha ocorrido, como funcionou a resposta atribuída a sua ocorrência.


Veja também:
Abraços e até o próximo post, onde estaremos falando de Planejamento.

2 comentários:

  1. Muito obrigado pela iniciativa.
    Muito bom o seu trabalho.

    Parabéns!

    ResponderExcluir