Análise de maturidade da gestão de riscos de TI na Fiocruz : definição e aplicação de instrumento de avaliação e especificação de requisitos para um sistema computacional

Abstract

A gestão de riscos constitui uma importante área de conhecimento para o processo de governança, permitindo que riscos sejam conhecidos e adequadamente tratados, fornecendo informações precisas para a tomada de decisão a partir de atividades coordenadas que dirigem uma organização. Um fator relevante para o sucesso da gestão de riscos é conhecer o quanto uma organização implementa de forma consistente o seu processo de gestão de riscos. pois sua eficiência contribuirá para o atendimento dos objetivos de negócio da instituição. No entanto, quais são as características dos principais modelos de maturidade disponíveis para aplicação 110 contexto da gestão de riscos de TI? Qual modelo de maturidade adotar como referência? Quais critérios utilizar para escolha do modelo? Que instrumentos utilizar para a avaliação de maturidade? Buscou-se responder a essas questões por meio dos objetivos propostos nesta pesquisa, que apresenta uma análise comparativa de modelos de maturidade, define critérios e método para a escolha de um modelo de maturidade alinhado à expectativa da organização, define um instrumento de avaliação, especifica os requisitos para construção de um sistema computacional para coleta de dados sobre o processo de gestão de riscos de TI e avaliação do seu nível de maturidade, e valida o instrumento e requisitos através da sua aplicação na instituição. Foram utilizadas diversas técnicas para coleta de dados: entrevistas, questionários, formulários, pesquisas documentais e bibliográficas, além da técnica de decisão multicritério Analytic Hierarchy Process (AIIP). Foi possível observar que existem vários modelos de maturidade, com finalidades e características distintas, presentes em frameworks como CMMI, COBIT, ERM, FVSAII, ISO 15504 e RMM. onde o modelo de maturidade mais adequado para o escopo) proposto foi o do COBIT 4.1. A técnica AIIP se mostrou adequada como método para escolha do modelo de maturidade. A solução proposta é composta de um instrumento de avaliação, a especificação de requisitos para um sistema computacional para coleta de dados e avaliação de maturidade e templates de produtos de trabalho para a documentação do processo. Espera-se que este estudo estimule trabalhos futuros, como a ampliação da pesquisa e aplicação em outras organizações dos instrumentos desenvolvidos, promovendo a melhoria dos processos de gestão de riscos e governança de TI. ______________________________________________________________________________ ABSTRACT

Risk management is an important area of knowledge to the process of governance, allowing risks be known and treated appropriately, providing accurate information for decision making from coordinated activities that drive an organization. A relevant factor for the success of risk management is knowing how much an organization implements consistently its process of risk management, because its efficiency will contribute to meeting the business goals of t he instit ution. However, what are the main characteristics of the maturity models available for application in the context of risk management of IT? Which maturity model to adopt as a reference? Which criteria to use to select the model? What instruments used for assessment of maturity? We attempted to answer these questions through the proposed objectives in this research, that presents a comparative analysis of maturity models, define crit eria and method for select ing a mat urity model aligned to the expectations of the organization, defines an evaluation instrument, specifies the requirements for building a computational system for collecting data on the process of managing risks IT and assessment of their level of mat urity, and validates the instrument and requirements through its application in the institution. Several techniques for data collection were used: interviews, questionnaires, forms, both bibliographic and documentary research, beyond the technique of multicriteria decision Analytic Hierarchy Process (AHP). Was observed that there are many maturity models with distinct characteristics and purposes, present in frameworks like CMMI, COBIT, ERM. FVSAII, ISO 15504 and RMM. where the most appropriate maturity model for the scope proposed was the COBIT 4.1. The AHP technique proved suitable as a method for choosing the maturity model. The proposed solution consists of an assessment tool (develoj)ed in Excel), the S])ecification of requirements for a computer system for data collection and evaluation of maturity and work products templates for the process documentation. It is hoped that thus study stimulate further work, such as the expansion of research and application of the tools developed in other organizations, promoting the improvement of the processes of risk management and IT governance.