Proposta de artefato de identificação de riscos nas contratações de TI da Administração Pública Federal, sob a ótica da ABNT NBR ISO 31000 : gestão de riscos

Abstract

Este trabalho teve como objetivo propor um artefato para Identificação de Riscos nas contratações de Tecnologia da Informação (TI) na Administração Pública Federal Brasileira (APF). Foram utilizados procedimentos metodológicos qualitativos e exploratórios de normas de riscos, originados da NBR ISO ABNT 31000 e frameworks de governança (COBIT e PMBOK), além de autores que abordam o tema, para construção de mapas mentais que permitiram a extração de categorias de informação. Estas categorias foram utilizadas para construção do artefato de Identificação de Riscos. Para validação do artefato foi realizado um estudo de caso, do qual permitiu-se inferir que, antes de sua existência, os gestores tinham como diretriz um artefato sem padronização metodológica para identificação de riscos. Com o uso do artefato, os gestores podem encontrar vulnerabilidades que antes não eram possíveis de ser observadas, o que permitirá uma melhoria na definição dos níveis de serviço e na gestão contratual, por meio de uma construção mais eficaz do termo de referência. Os resultados demonstram que o artefato servirá como uma fonte consolidada de informação para Identificação de Riscos nas contratações de TI na APF. ______________________________________________________________________________ ABSTRACT

This work is aimed at proposing an artifact for Risk Identification to be used within the Information Technology (IT) procurement process by the Brazilian Federal Public Administration (APF). A qualitative exploratory methodological approach was used to building mental maps representing information categories expressed in risks management standards, such as ABNT NBR ISO 31000, as well as best practices and governance frameworks (COBIT and PMBOK), and authors who have studied this subject. These categories were used to construct the proposed Risk Identification artifact. For the validation of this artifact, a case study was performed, which indicated that in the past situation when such an artifact was not available for managers, the risk identification in IT procurement was conducted in ad hoc processes and that, having the proposed artifact at hand a referential for risk identification could be established resulting in managers find vulnerabilities that were not previously possible to be observed, this way allowing to improve the service levels negotiations and contract management procedures, due to a more effective construction of the terms of reference. The results demonstrate that the proposed artifact constitutes a consolidated source of information for Risk Identification in Information Technology procurement processes by the Brazilian APF.