A atividade de identificação do contexto de riscos deve definir o ambiente no qual a gestão dos riscos da contratação de TI está inserida, analisando qual o escopo de atuação, as premissas, restrições e os responsáveis pela atividade. Os objetivos dão subsídios para a elaboração da gestão de riscos, informando qual o resultado esperado para a metodologia. O escopo define onde atuará a gestão de riscos, explicitando qual natureza da contratação, quais unidades envolvidas (divisões, setores, departamentos, processos, sistemas) e quais unidades que não serão tratadas [54]. Essa análise deve focar na natureza das atividades
e das informações em cada unidade e as justificativas para a escolha das unidades devem ser documentadas. As tarefas previstas para o processo estão definidas no Quadro 5.2:
Quadro 5.2: Estrutura do processo de definição do contexto. (Fonte: Adaptado de [54, 36, 16]).
Definição do contexto
Atividades Tarefas Fonte
Definição do contexto
Definir Objetivos, Premissas, Restrições e Escopo [54] Definição das Partes Interessadas Envolvidas [36] Definição do Ciclo de Acompanhamento e Revisão [16] As tarefas indicam para uma definição introdutória das informações do projeto de con- tratação de TI, podem ser levados em consideração as leis e demais documentos internos que sejam necessários para a definição do contexto da gestão de riscos. Todas as informa- ções devem ser registradas e atualizadas para o devido acompanhamento do projeto. A definição do contexto pode ainda considerar o estabelecimento de parâmetros externos e internos que se relacionam com o ambiente de gestão de riscos do projeto de contratação de TI em questão [54]. As entradas, técnicas utilizadas, requisitos do processo e saída esperada são descritas na Figura 5.3:
Figura 5.3: Definição do contexto dos riscos: entradas, técnicas, requisitos e saídas. (Fonte: Elaboração própria).
A entrada do processo de definição do contexto, considera o primeiro documento a ser produzido no planejamento da contratação de TI, que é o documento de oficialização da demanda, na qual definem-se o objetivo, escopo e a equipe integrante que irá conduzir o planejamento da contratação da solução de TI. Para a definição do escopo da gestão de riscos é necessário que a equipe de planejamento se reúna e interaja entre si colhendo as informações iniciais dispostas no documento de oficialização da demanda e documentando de acordo como solicitado nas tarefas.
Definir Objetivos, Premissas, Restrições e Escopo
A equipe de planejamento da contratação deve iniciar o projeto de gestão de riscos da con- tratação de TI informando os objetivos genéricos e os objetivos específicos da contratação (tais como os relacionados aos processos de negócios ou nas informações de sistemas, obri- gações legais ou regulatórias, atividades que podem afetar a ordem pública que requerem alta disponibilidade, sistemas e informações cruciais para a tomada de decisões). Além disso, devem ser identificados os tipos de restrições que se apliquem (tais como técnicas, jurídicas, financeiras, de prazos) e descrever em detalhes as premissas, informando, se necessário, valores como de prazo ou de orçamento. A equipe de planejamento da contra- tação responsável pela gestão de riscos deve identificar também as unidades relacionadas ao escopo do projeto que mereçam atenção e que devam ser tratadas na gestão de riscos [36].
A condição necessária para finalização da tarefa é a definição dos objetivos, premissas e restrições do projeto de contratação de TI e devem ser documentados de acordo com a Figura 5.4:
Figura 5.4: Template para o registro de objetivos, escopo, premissas e restrições do projeto. (Fonte: Elaboração própria).
As atividades dos integrantes da equipe de planejamento da contratação não devem ser realizadas de forma isolada. Para o gerenciamento dos riscos das contratações de TI, é necessário que haja, entre a equipe de planejamento, interação durante todo o ciclo do projeto. Nesta primeira tarefa, a equipe de planejamento da contratação deve se encontrar em reuniões iniciais com o objetivo de obter ideias em uma sessão tradicional de brainstoming de forma livre, de modo que os participantes interajam entre si e coletem informações que possam dar subsídios para as respostas sobre os objetivos, premissas, restrições e escopo do projeto, preenchendo inicialmente o documento de identificação dos riscos com os dados coletados [67]. A equipe de planejamento da contratação deverá coletar as seguintes informações:
• Objetivos da contratação da solução de TI; 59
• Nível de criticidade do projeto; • Regulamentações específicas; • Restrições financeiras;
• Restrições de prazo; • Restrições técnicas.
Definição das Partes Interessadas Envolvidas
Para a tarefa de definição das partes interessadas envolvidas, devem ser identificados os responsáveis por cada unidade levantada no escopo, informando os dados de contato e as situações as quais as partes interessadas deverão ser comunicadas. Poderá ser utilizada a técnica de reuniões do tipo brainstorming para obtenção das informações, com interação livre dos participantes.
A condição para finalização da tarefa é que os profissionais estejam identificados e papéis atribuídos. A tarefa pode ser documentada de acordo com a Figura 5.5:
Figura 5.5: Template para o registro das partes interessadas. (Fonte: Elaboração própria).
As informações necessárias desta tarefa, são responsabilidade da equipe de planeja- mento que deverá levantar os seguintes dados:
• Informações sobre profissionais da organização e organograma;
• Informações sobre as unidades relacionadas com a contratação de TI.
Definição do Ciclo de Acompanhamento e Revisão
O registro dos riscos é uma tarefa iterativa que deve ser desenvolvida durante todo o ciclo de vida do projeto [16]. Dessa maneira, devem ser definidos, no início do processo de gestão de riscos, um cronograma de acompanhamento e revisão dos riscos identificados, atualizando os documentos com as informações necessárias.
A responsabilidade da tarefa ficará à cargo da equipe de planejamento da contratação que deverá elaborar o cronograma com o ciclo de acompanhamento e revisão de acordo com a Figura 5.6:
Figura 5.6: Template para a definição do ciclo de acompanhamento. (Fonte: Elaboração própria).
A equipe poderá utilizar a reunião inicial das tarefas anteriores, com a utilização da técnica de reuniões do tipo brainstorming para obtenção das informações, para reunir todas as informações necessárias para a tarefa de definição do ciclo de acompanhamento e revisão. No final da tarefa, a equipe deverá ter documentado as informações sobre um cronograma com marcos de acompanhamento e revisão da identificação dos riscos do projeto.