Este artigo mostra instruções e exemplos de preenchimento do formulário "TIC: Compras: Mapa de Gerenciamento de Riscos", que faz parte do fluxo do processo "TIC: Compras: Serviços ou Fornecimento de Materiais", de acordo com o modelo apresentado pela SISP no site do Governo Digital, denominado "Templates e Listas de Verificação".
Introdução
O gerenciamento de riscos permite ações contínuas de planejamento, organização e controle dos recursos relacionados aos riscos que possam comprometer o sucesso da contratação, da execução do objeto e da gestão contratual.
O Mapa de Gerenciamento de Riscos deve conter a identificação e a análise dos principais riscos, consistindo na compreensão da natureza e determinação do nível de risco, que corresponde à combinação do impacto e de suas probabilidades que possam comprometer a efetividade da contratação, bem como o alcance dos resultados pretendidos com a solução de TIC.
Para cada risco identificado, define-se: a probabilidade de ocorrência dos eventos, os possíveis danos e impacto caso o risco ocorra, possíveis ações preventivas e de contingência (respostas aos riscos), a identificação de responsáveis pelas ações, bem como o registro e o acompanhamento das ações de tratamento dos riscos.
Os riscos identificados no projeto devem ser registrados, avaliados e tratados:
- Durante a fase de planejamento, a equipe de Planejamento da Contratação deve proceder às ações de gerenciamento de riscos e produzir o Mapa de Gerenciamento de Riscos;
- Durante a fase de Seleção do Fornecedor, o Integrante Administrativo com apoio dos Integrantes Técnico e Requisitante deve proceder às ações de gerenciamento dos riscos e atualizar o Mapa de Gerenciamento de Riscos;
- Durante a fase de Gestão do Contrato, a Equipe de Fiscalização do Contrato, sob coordenação do Gestor do Contrato, deverá proceder à atualização contínua do Mapa de Gerenciamento de Riscos, procedendo à reavaliação dos riscos identificados nas fases anteriores com a atualização de suas respectivas ações de tratamento, e à identificação, análise, avaliação e tratamento de novos riscos.
Como exemplo, parâmetros escalares podem ser utilizados para representar os níveis de probabilidade e impacto que, após a multiplicação, resultarão nos níveis de risco, que direcionarão as ações relacionadas aos riscos durante as fases de contratação (planejamento, seleção de fornecedor e gestão do contrato).
|
Classificação |
Valor |
|
Baixo |
5 |
|
Médio |
10 |
|
Alto |
15 |
Tabela 1: Escala de classificação de probabilidade e impacto.
A tabela a seguir apresenta a Matriz Probabilidade x Impacto, instrumento de apoio para a definição dos critérios de classificação do nível de risco.
Exemplo de diretrizes de tratamento de riscos:
O produto da probabilidade pelo impacto de cada risco deve se enquadrar em uma região da matriz probabilidade x impacto. Caso o risco enquadre-se na região verde, seu nível de risco é entendido como baixo, logo admite-se a aceitação ou adoção das medidas preventivas. Se estiver na região amarela, entende-se como médio; e se estiver na região vermelha, entende-se como nível de risco alto. Nos casos de riscos classificados como médio e alto, deve-se adotar obrigatoriamente as medidas preventivas previstas.
O gerenciamento de riscos deve ser realizado em harmonia com a Política de Gestão de Riscos do órgão prevista na Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016>.
Referência: Art. 38 IN SGD/ME nº 1, de 2019.
Identificação e Análise dos Principais Riscos
Exemplo de relação de riscos:
|
Risco 01 |
Risco: |
Atraso ou suspensão no processo licitatório em face de impugnações. |
||||||||||||||
|
Probabilidade: |
Alta |
|||||||||||||||
|
Impacto: |
Médio |
|||||||||||||||
|
Dano 1: |
Atraso na contratação e consequente indisponibilidade de sistemas por falta de manutenção em funcionalidades, acarretando a insatisfação e prejuízos aos usuários dos sistemas. |
|||||||||||||||
|
Tratamento: |
Mitigar. |
|||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
A seguir encontra-se um exemplo de relação de riscos, não exaustiva, de uma contratação de serviços de desenvolvimento e manutenção de software.
|
Id |
Risco |
Relacionado ao(à): |
P |
I |
Nível de Risco (P x I) |
|
R01 |
Alteração do escopo dos serviços a serem contratados. |
Planejamento da Contratação |
5 |
10 |
50 |
|
R02 |
Não elaboração do Roteiro Próprio de Métricas de Software. |
Planejamento da Contratação |
10 |
10 |
100 |
|
R03 |
Falta de clareza pelo requisitante quanto às demandas a serem desenvolvidas e manutenidas. |
Planejamento da Contratação |
10 |
15 |
150 |
|
R04 |
Atraso no processo administrativo de contratação. |
Planejamento da Contratação |
10 |
10 |
100 |
|
R05 |
Ausência do Processo de Desenvolvimento de Software. |
Planejamento da Contratação |
5 |
10 |
50 |
|
R06 |
Ausência dos templates dos documentos do Processo de Desenvolvimento de Software. |
Planejamento da Contratação |
10 |
5 |
50 |
|
R07 |
Prazo insuficiente para a adequada realização do planejamento da contratação |
Planejamento da Contratação |
10 |
15 |
150 |
|
R08 |
Atraso ou suspensão no processo licitatório em face de impugnações. |
Seleção do Fornecedor |
15 |
10 |
150 |
|
R09 |
Valores licitados superiores aos estimados para a contratação dos serviços. |
Seleção do Fornecedor |
5 |
15 |
75 |
|
R10 |
Contratação de fornecedor com baixa qualificação técnica. |
Seleção do Fornecedor |
5 |
15 |
75 |
|
R11 |
Falta de ferramenta própria para gestão de demandas de Fábrica de Software. |
Gestão Contratual |
15 |
15 |
225 |
|
R12 |
Falta de dotação orçamentária para execução do contrato. |
Gestão Contratual |
10 |
10 |
100 |
|
R13 |
Baixa qualificação técnica dos profissionais da empresa para execução do contrato. |
Gestão Contratual e Solução Tecnológica |
10 |
10 |
100 |
|
R14 |
Indisponibilidade de sistemas por erro no desenvolvimento ou falha na aplicação. |
Gestão Contratual e Solução Tecnológica |
10 |
15 |
150 |
|
R15 |
Vazamento de dados e informações pelos funcionários da contratada. |
Gestão Contratual |
10 |
15 |
150 |
|
R16 |
Ausência de ferramentas para controle do ciclo de desenvolvimento e manutenção de software (ferramenta de testes, repositório com versionamento, ferramenta de integração contínua, ferramenta de análise de qualidade de código). |
Gestão Contratual |
5 |
15 |
75 |
|
R17 |
Expedição de demandas (solicitações de execução do objeto) além da capacidade de controle e de fiscalização. |
Gestão Contratual |
15 |
15 |
225 |
|
R18 |
Qualificação técnica e operacional insuficiente dos Fiscais Técnicos do contrato. |
Gestão Contratual |
5 |
15 |
75 |
|
R19 |
Descumprimento dos níveis de serviço previstos no Planejamento da Contratação. |
Gestão Contratual |
5 |
15 |
75 |
Avaliação e Tratamento dos Riscos Identificados
A seguir são apresentados alguns riscos meramente exemplificativos.
|
Risco 08 |
Risco: |
Atraso ou suspensão no processo licitatório em face de impugnações. |
||
|
Probabilidade: |
Alta |
|||
|
Impacto: |
Médio |
|||
|
Dano 1: |
Atraso na contratação e consequente indisponibilidade de sistemas por falta de manutenção em funcionalidades, acarretando a insatisfação e prejuízos aos usuários dos sistemas. |
|||
|
Tratamento: |
Mitigar. |
|||
|
Id |
Ação Preventiva |
Responsável |
||
|
1 |
Elaboração do planejamento da contratação consultando soluções similares em outros órgãos. |
Equipe de Planejamento da Contratação |
||
|
2 |
Definição dos critérios de seleção de fornecedores com respaldo na jurisprudência dos órgãos de controle. |
Equipe de Planejamento da Contratação |
||
|
3 |
Verificação do teor de impugnações e recursos em contrações similares. |
Equipe de Planejamento da Contratação |
||
|
4 |
Estrita observância às recomendações da área jurídica do órgão/entidade. |
Equipe de Planejamento da Contratação |
||
|
Id |
Ação de Contingência |
Responsável |
||
|
1 |
Alocação integral da Equipe de Planejamento da Contratação na resposta e mitigação das causas que originaram a suspensão do processo licitatório. |
XXXXX |
||
|
2 |
Mitigação e eliminação das causas que obstruem o processo licitatório. |
XXXXX |
||
|
Risco 17 |
Risco: |
Expedição de demandas (solicitações de execução do objeto) além da capacidade de controle e de fiscalização. |
||
|
Probabilidade: |
Alta |
|||
|
Impacto: |
Alto |
|||
|
Dano 1: |
Sobrecarga de trabalho para os fiscais do contrato. |
|||
|
Dano 2: |
Fragilidades na gestão e fiscalização contratual, que geraram atestes errados dos resultados entregues e risco de pagamentos indevidos à empresa. |
|||
|
Dano 3: |
Falta de atendimento ou atraso no atendimento das demandas de desenvolvimento e manutenção de sistemas e portais. |
|||
|
Dano 4: |
Execução de projetos de sistemas e portais (novos e manutenção) sem acompanhamento da área de TIC ou com acompanhamento por pessoal sem a qualificação adequada, acarretando má qualidade nos produtos entregues. |
|||
|
Dano 5: |
Fragilidade do processo de gestão de requisitos. |
|||
|
Tratamento: |
Mitigar. |
|||
|
Id |
Ação Preventiva |
Responsável |
||
|
1 |
Providenciar capacitação em métricas de software para servidores do órgão/entidade que atuam como fiscais de contrato. |
Chefia da CGTI |
||
|
2 |
Priorizar as demandas de software a serem desenvolvidas. (Referência: Portaria STI/MP nº 20/2016, item 19.1 – O Comitê de Governança Digital é responsável pela validação e priorização de cada software a ser desenvolvido e deve deliberar e decidir sobre sua viabilidade e desenvolvimento antes de sua contratação ou antes que a demanda seja enviada à empresa contratada por meio de OS). |
Comitê de Governança Digital (CGD) |
||
|
Id |
Ação de Contingência |
Responsável |
||
|
1 |
Redução da emissão de Ordens de Serviço. |
Comitê de Governança Digital e CGTI |
||
|
2 |
Implantação de controles internos, como a realização de estudo da capacidade de execução de demandas de fábrica de software pela área de TI, a fim de compatibilizar as demandas de serviços à fábrica de software com a força de trabalho disponível para gerenciar e validar adequadamente os serviços entregues. |
Comitê de Governança Digital e Chefia da CGTI |
||