Resumo

O estudo se insere no campo da implementação de políticas públicas de apoio à melhoria da gestão, tendo como foco a análise das boas práticas de governança sob o olhar da gestão de riscos nas aquisições de TIC na Prefeitura Municipal de Fortaleza. Tem-se a intenção de que à luz da norma ISO 31000 se possa identificar o nível da aderência das decisões tomadas sobre aquisições de TIC na organização estudada. Os resultados poderão apoiar gestores públicos, na tomada de decisões das aquisições de TIC, sendo possível sua aplicação para outros aspectos da governança pública que envolvem riscos.

À luz da ISO 31000, este artigo toma por diretriz a seguinte questão de pesquisa: Qual o nível de aderência de boas práticas de gestão de riscos nas aquisições de tecnologia da informação na Prefeitura Municipal de Fortaleza? Assim, o objetivo geral do presente artigo é analisar, à luz da ISO 31000, a aderência de boas práticas de gestão de riscos nas aquisições de tecnologia da informação na Prefeitura Municipal de Fortaleza.

No contexto da governança, a gestão de riscos pode ser vista como o processo que trata da criação, distribuição e preservação de valor para as organizações (Vieira & Barreto, 2019). Ademais, conforme a norma ABNT NBR 31000 (2009), gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis, contribuindo para a melhoria dos sistemas de gestão. Desta forma, a norma ISO 31000 pode ser aplicada a qualquer tipo de risco e em qualquer segmento de organizações (Santos, 2021).

Para o alcance do objetivo da pesquisa descritiva, o estudo de caso único, de natureza qualitativa, foi aplicado um questionário junto aos representantes do Grupo Técnico de TIC da Prefeitura Municipal de Fortaleza (PMF), no período de 20 de maio a 03 de junho de 2022. A estruturação do questionário tomou como base a NBR ISO 31000:2009 e adotou a escala tipo Likert para cada processo da ISO 31000. Para a análise do nível de aderência das práticas de gestão de riscos nas aquisições de tecnologia da informação na PMF à luz da ISO 31000 foi utilizada a análise dos quartis.

A partir da avaliação realizada junto ao Grupo Técnico de TIC da Prefeitura de Fortaleza, constata-se que há baixa aderência dos processos das práticas de gestão de riscos nas aquisições de TI considerando a norma ISO 31000. De forma mais pontual, foi possível verificar que o processo que apresenta o maior percentual de aderência em relação à norma, com 25,05%, é o Estabelecimento do contexto, e que os processos com os menores percentuais de aderência à ISO 31000 são Tratamento de riscos e Registro do processo de gestão de riscos, respectivamente.

Os resultados apontam importante vulnerabilidade dos processos da Prefeitura de Fortaleza relacionados às práticas de gestão de riscos nas aquisições de TI, quer sejam elas empíricas ou formais. Os processos e respectivos subprocessos pouco aderentes ou não aderentes à ISO 31000 são indicativos de revisão das práticas atualmente adotadas na Prefeitura, com destaque aos processos concernentes ao Tratamento de riscos e ao Registro do processo de gestão de riscos. Conclui-se que há baixa aderência dos processos das práticas de gestão de riscos nas aquisições de TI considerando a ISO 31000.

ABNT - Associação Brasileira de Normas Técnicas. NBR 31000: Gestão de riscos - Princípios e diretrizes. Rio de janeiro, 2009. Recuperado de https://gestravp.files.wordpress.com/2013/06/iso31000-gestc3a3o-de-riscos.pdf. Acesso em: 03 mar. 2022. Santos, T. J. (2021). Gestão de riscos e a norma ISO 31000: uma abordagem literária. Management Journal 3(1), 1-14. Vieira, J. B., & Barreto, R. T. D. S. (2019). Governança, gestão de riscos e integridade. Brasília: Enap. 240 p. Recuperado de http://repositorio.enap.gov.br/handle/1/4281. Acesso em: 06 maio 2022.