Análise de Riscos (ARIS)
Análise de Riscos (ARIS)
Contratação de serviços técnicos em Tecnologia da Informação para desenvolvimento e manutenção dos sistemas e portais
Planejamento da Contratação Conjunta IBAMA, ICM-Bio, SFB e MMA
Versão 1.0
Março de 2017
Histórico da Revisão
Data | Versão | Descrição | Autor |
27/03/17 | 1.0 | Conclusão da 1ª versão do documento. | Equipe de Planejamento da contratação – Ibama. |
Sumário
1 – INTRODUÇÃO 4
2 – RISCOS DO PROCESSO DE CONTRATAÇÃO 6
3 – RISCOS DO PROCESSO DE GESTÃO E DE TECNOLOGIA 12
4 – APROVAÇÃO 23
ANÁLISE DE RISCOS
1 – INTRODUÇÃO
A análise de riscos permite a identificação, avaliação e gerenciamento dos riscos que possam comprometer o sucesso da contratação e da gestão contratual.
Considerando que a presente contratação está sendo planejada de forma conjunta, este documento Análise de Riscos foi encaminhado aos partícipes para contribuição e revisão.
Para cada risco identificado, define-se: a probabilidade de ocorrência dos eventos, os possíveis danos potenciais em caso de acontecimento, possíveis ações preventivas e contingências, bem como a identificação de responsáveis por ação.
Após a identificação e classificação, deve-se executar uma análise qualitativa e quantitativa.
A análise qualitativa dos riscos é realizada por meio da classificação escalar da probabilidade e do impacto, conforme a tabela de referência a seguir.
Classificação | Valor |
Baixo | 5 |
Médio | 10 |
Alto | 15 |
Tabela 1: Escala qualitativa de classificação.
A análise quantitativa dos riscos consiste na classificação conforme a relação entre a probabilidade e o impacto. Tal classificação resultará no nível do risco e direcionará as ações relacionadas aos riscos durante a fase de planejamento e gestão do contrato.
15
10
5
Figura 1: Matriz Probabilidade x Impacto
15
10
Impacto ( I )
5
75
50
25
150
100
50
225
150
75
Probabilidade ( P )
A tabela a seguir apresenta a Matriz Probabilidade x Impacto, instrumento responsável pela definição dos critérios quantitativos de classificação do nível de risco.
O produto da probabilidade pelo impacto de cada risco deve se enquadrar em uma
região da matriz probabilidade x impacto. Caso o risco enquadre-se na região verde, seu nível de risco é entendido como baixo, logo admite-se a aceitação ou adoção das medidas preventivas. Se estiver na região amarela, entende-se como médio; e se estiver na região vermelha, entende-se como nível de risco alto. Nos casos de riscos classificados como médio e alto, deve-se adotar obrigatoriamente as medidas preventivas previstas.
A tabela a seguir apresenta uma síntese dos riscos identificados e classificados neste documento.
Id | Risco | Relacionado ao(à): | Nível de Risco (P x I) | ||
R01 | Alteração do escopo dos serviços a serem contratados (inclusão/retirada de sistemas). | Processo de Contratação | 10 | 15 | 150 |
R02 | Não utilização do Roteiro de Métricas de Software do Ibama. | Processo de Contratação | 5 | 10 | 50 |
R03 | Falta de clareza pelo requisitante quanto às demandas a serem desenvolvidas e manutenidas no processo de contratação. | Processo de Contratação | 10 | 15 | 150 |
R04 | Atraso no processo administrativo de contratação. | Processo de Contratação | 15 | 15 | 225 |
R05 | Não elaboração dos templates dos documentos do Processo de Desenvolvimento de Software do Ibama. | Processo de Contratação | 10 | 5 | 50 |
R06 | Ausência de recursos orçamentários ou financeiros. | Processo de Contratação | 10 | 15 | 150 |
R07 | Atraso ou suspensão no processo licitatório em face de impugnações. | Processo de Contratação | 15 | 10 | 150 |
R08 | Valores licitados superiores aos estimados para a contratação dos serviços. | Processo de Contratação | 5 | 15 | 75 |
R09 | Falta de ferramenta própria do Instituto para gestão de demandas de Fábrica de Software. | Gestão Contratual | 15 | 15 | 225 |
R10 | Ausência de ferramenta de registro e controle de contagens de Pontos de Função e Baseline de contagem ou contratação de empresa de métrica para aferição de contagem de Pontos de Função. | Gestão Contratual | 15 | 15 | 225 |
R11 | Quantitativo de Fiscais Técnicos do contrato insuficientes para monitorar e fiscalizar o contrato. | Gestão Contratual | 15 | 15 | 225 |
R12 | Quantitativo de Gerentes de Projetos insuficientes para acompanhar e conduzir os projetos. | Gestão Contratual | 15 | 15 | 225 |
R13 | Falta de comprometimento da área requisitante ou técnica na execução do contrato. | Gestão Contratual | 5 | 10 | 50 |
R14 | Baixa qualificação técnica dos profissionais da empresa para execução do contrato. | Gestão Contratual | 10 | 10 | 100 |
R15 | Indisponibilidade de sistemas por erro no desenvolvimento. | Gestão Contratual | 5 | 15 | 75 |
R16 | Vazamento de dados e informações pelos funcionários da contratada. | Gestão Contratual | 5 | 15 | 75 |
R17 | Falta de ferramentas para controle do ciclo de desenvolvimento e manutenção de software (ferramenta de testes, repositório com versionamento, ferramenta de integração contínua, ferramenta de análise de qualidade de código). | Gestão Contratual | 10 | 15 | 150 |
R18 | Expedição de demandas (solicitações de execução do objeto) além da capacidade de controle e de fiscalização. | Gestão Contratual | 15 | 15 | 225 |
R19 | Qualificação técnica e operacional insuficiente dos Fiscais Técnicos do contrato. | Gestão Contratual | 15 | 15 | 225 |
Tabela 2: Tabela de relação de riscos identificados.
2 – RISCOS DO PROCESSO DE CONTRATAÇÃO
(IN.04/2014 SLTI/MPOG. Art. 13)
Risco 01 | Risco: | Alteração do escopo dos serviços a serem contratados (inclusão/retirada de sistemas). | |
Probabilidade: | Média | ||
Impacto: | Alto | ||
Dano 1: | Alocação de servidores (recurso escasso) para mensurar as alterações do volume a ser contratado após as alterações de escopo. | ||
Dano 2: | Desgastes junto a empresas quanto a reiterados pedidos de envio de proposta técnica para pesquisa de preços, dadas estas possíveis alterações de escopo e consequente alteração do volume a ser contratado. | ||
Dano 3: | Atraso no processo de contratação. | ||
Id | Ação Preventiva | Responsável | |
1 | Determinar o escopo da contratação de forma tempestiva, definindo quais sistemas serão manutenidos e quais serão os novos a serem desenvolvidos (registrando no Documento de Oficialização de Demanda). | Comitê de TI e chefia da CGTI | |
Id | Ação de Contingência | Responsável | |
1 | Alocar servidor especialista em métricas de software para mensurar o novo escopo. As atividades que estavam a ele atribuídas deverão ser redistribuídas a outros servidores ou terem seus prazos de entrega dilatados. | Chefia do CGTI | |
2 | Solicitar nova pesquisa de mercado para atualizar os preços dados os novos volumes. | CGEAD |
Risco: | Não utilização do Roteiro de Métricas de Software do Ibama. | |||
Probabilidade: | Baixa | |||
Impacto: | Médio | |||
Conflitos entre contratante e contratada quanto à mensuração das | ||||
Dano 1: | funcionalidades a serem entregues pela empresa, considerando que há | |||
lacunas no Roteiro de Métricas de Software do SISP. | ||||
Prováveis pagamentos indevidos, pois sem a utilização do Roteiro, | ||||
Risco | Dano 2: | diversas interpretações equivocadas poderão ocorrer na mensuração das | ||
02 | demandas para fins de pagamento. | |||
Id | Ação Preventiva | Responsável | ||
1 | Inclusão no instrumento convocatório da obrigatoriedade | de | Equipe de | |
utilização do Roteiro de Métricas de Software do Ibama. | Planejamento | |||
Id | Ação de Contingência | Responsável | ||
Advertir a empresa quanto à obrigatoriedade da utilização do | Equipe de | |||
1 | Roteiro. | Fiscalização do | ||
Aplicar sanções em caso de reiteradas ocorrências. | Contrato | |||
Risco 03 | Risco: | Falta de clareza pelo requisitante quanto às demandas a serem desenvolvidas e manutenidas no processo de contratação. |
Probabilidade: | Média | |
Impacto: | Alto | |
Dano 1: | Frustração das partes interessadas durante a gestão contratual, dado o volume não realístico de demandas. |
Dano 2: | Volume de Pontos de Função insuficientes quando da execução contratual. | ||
Id | Ação Preventiva | Responsável | |
1 | Determinar o escopo da contratação de forma tempestiva, definindo quais sistemas serão manutenidos e quais serão os novos a serem desenvolvidos (registrando no Documento de Oficialização de Demanda). | Comitê de TI, chefia da CGTI, Gerente de Projetos e requisitantes. | |
2 | Alocar servidores especialistas em métricas de software para mensurar o novo escopo. As atividades que estavam a eles atribuídas deverão ser redistribuídas a outros servidores ou terem seus prazos de entrega dilatados. | Chefia da CGTI | |
Id | Ação de Contingência | Responsável | |
1 | Controlar e liberar as demandas dentro do quantitativo máximo previsto de Pontos de Função por sistema. | Equipe de Fiscalização do Contrato | |
2 | Se o quantitativo de Pontos de Função se mostrar insuficiente para atender as demandas, realizar estudos e, havendo viabilidade, proceder com aditivo contratual ou realização de nova contratação. | Equipe de Fiscalização do Contrato e CGEAD | |
Risco 04 | Risco: | Atraso no processo administrativo de contratação. | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Necessidade de realização de reiteradas pesquisas de mercado, devido à expiração da validade das propostas técnicas. | ||
Dano 2: | Atraso na contratação da nova empresa. | ||
Dano 3: | Indisponibilidade de sistemas por falta de manutenção em funcionalidades, acarretando a insatisfação e prejuízos aos usuários dos sistemas. | ||
Id | Ação Preventiva | Responsável | |
1 | Priorizar o planejamento da contratação, alijando os servidores responsáveis pelo planejamento de outras atividades a eles alocadas. | Chefia da CGTI | |
2 | Priorizar a confecção do Edital e Minuta do Contrato. | CGEAD | |
3 | Solicitar à PFE prioridade para a análise do processo administrativo de contratação. | DIPLAN | |
Id | Ação de Contingência | Responsável | |
1 | Solicitar nova pesquisa de mercado. | CGEAD | |
2 | Renovação do contrato atual com cláusula rescisória, até a efetiva contratação da nova empresa (quando aplicável). | DIPLAN | |
3 | Requisitar servidores que possuam expertise em desenvolvimento e manutenção de sistemas para suprir a necessidade transitoriamente. | Chefia da CGTI |
Risco 05 | Risco: | Não elaboração dos templates dos documentos do Processo de Desenvolvimento de Software do Ibama (PDS-Ibama). | |
Probabilidade: | Média | ||
Impacto: | Baixo | ||
Dano 1: | Falta de padronização dos artefatos a serem entregues pela empresa. | ||
Dano 2: | Entrega de produtos (sistemas e suas manutenções) com documentação insuficiente ou de baixa qualidade. | ||
Id | Ação Preventiva | Responsável | |
1 | Alocação de servidores da CGTI para a elaboração dos templates do PDS-Ibama. | Chefia da CGTI | |
Id | Ação de Contingência | Responsável | |
1 | Utilização dos atuais templates e elaboração daqueles faltantes. | Equipe de Planejamento da Contratação | |
2 | Utilização de templates da contratada até a elaboração dos templates do órgão/entidade. | Equipe de Fiscalização | |
Risco: | Ausência de recursos orçamentários ou financeiros para a contratação. | ||
Probabilidade: | Média | ||
Impacto: | Alto | ||
Indisponibilidade de sistemas por falta de manutenção em | |||
Dano 1: | funcionalidades, acarretando a insatisfação e prejuízos aos usuários dos | ||
sistemas. | |||
Risco | Dano 2: | Falta de evolução dos sistemas. | |
06 | Id | Ação Preventiva | Responsável |
1 | Intermediação e gestão com as áreas responsáveis com vistas a | DIPLAN e CTI | |
provimento dos recursos necessários. | |||
Id | Ação de Contingência | Responsável | |
1 | Prover meios para se viabilizar a contratação, como articulação | DIPLAN e CTI | |
com outros órgãos. | |||
2 | Havendo recursos mínimos, contratar os serviços para atender | DIPLAN e CTI | |
apenas às demandas de sistemas essenciais e urgentes. | |||
Risco 07 | Risco: | Atraso ou suspensão no processo licitatório em face de impugnações. | |
Probabilidade: | Alta | ||
Impacto: | Médio | ||
Dano 1: | Atraso na contratação e consequente indisponibilidade de sistemas por falta de manutenção em funcionalidades, acarretando a insatisfação e prejuízos aos usuários dos sistemas. | ||
Id | Ação Preventiva | Responsável | |
1 | Elaboração do planejamento da contratação consultando soluções similares em outros órgãos. | Equipe de Planejamento da Contratação | |
2 | Definição dos critérios de seleção de fornecedores com respaldo na jurisprudência dos órgãos de controle. | Equipe de Planejamento da Contratação | |
3 | Verificação do teor de impugnações e recursos em contrações similares. | Equipe de Planejamento da Contratação | |
4 | Estrita observância às recomendações da área jurídica do Instituto. | Equipe de Planejamento da Contratação | |
Id | Ação de Contingência | Responsável | |
1 | Alocação integral da Equipe de Planejamento da Contratação na resposta e mitigação das causas que originaram a suspensão do processo licitatório. | CGEAD e CGTI | |
2 | Mitigação e eliminação das causas que obstruem o processo licitatório. | CGEAD e CGTI |
Risco 08 | Risco: | Valores licitados superiores aos estimados para a contratação dos serviços. | |
Probabilidade: | Baixa | ||
Impacto: | Alto | ||
Dano 1: | Comprometimento da economicidade da contratação. | ||
Dano 2: | Não adjudicação do objeto. | ||
Id | Ação Preventiva | Responsável | |
1 | Revisar as estimativas de custos estimados do Estudo Técnico com os integrantes administrativos e requisitantes. | CGTI e CGEAD | |
Id | Ação de Contingência | Responsável | |
1 | Não havendo possibilidade de redução do valor negociado, deve- se suspender o certame com vistas a reexame do objeto e do processo de planejamento da contratação. | DIPLAN e CGTI | |
3 – RISCOS DO PROCESSO DE GESTÃO E DE TECNOLOGIA
(IN.04/2010 SLTI/MPOG. Art. 13)
Risco 09 | Risco: | Falta de ferramenta própria do Instituto para gestão de demandas de Fábrica de Software. | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Dificuldades na realização do controle durante a gestão contratual. Sem uma ferramenta automatizada, o controle acabará sendo realizado com registros manuais em planilhas. | ||
Dano 2: | Morosidade na operacionalização das demandas e consequente atraso na entrega dos produtos de software. | ||
Id | Ação Preventiva | Responsável | |
1 | Alocar equipe da CGTI para a pesquisa de ferramentas de gestão de demandas apropriadas para manutenção e desenvolvimento de sistemas, para que realize um estudo de viabilidade e aponte a ferramenta mais adequada, providenciando a implantação da mesma antes da contratação da nova empresa. | Chefia da CGTI | |
Id | Ação de Contingência | Responsável | |
1 | Utilização de ferramenta simples de gestão de demandas gerais (como o OTRS), acarretando um controle adicional para a equipe de fiscalização, como registro manual de níveis de serviço específicos para fábrica de software, controle de datas das fases do ciclo de desenvolvimento de sistemas, etc. Tal adoção acarretará na redução da emissão de Ordens de Serviço, dado o esforço extra no controle. | Chefia da CGTI e Equipe de Fiscalização do Contrato | |
2 | Utilização de controles manuais no gerenciamento do contrato e emissão de Ordens de Serviço em papel. Tal adoção acarretará na redução da emissão de Ordens de Serviço, dado o esforço extra no controle. | Chefia da CGTI e Equipe de Fiscalização do Contrato | |
Risco 10 | Risco: | Ausência de ferramenta de registro e controle de contagens de Pontos de Função e Baseline de contagem ou contratação de empresa de métrica para aferição de contagem de Pontos de Função. | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Dificuldades na realização do controle durante a gestão contratual. Sem uma ferramenta automatizada, o controle acabará sendo realizado com registros manuais em planilhas. | ||
Dano 2: | Morosidade na fase de aferição de contagem de Pontos de Função. | ||
Dano 3: | Potenciais inconsistências nos identificadores de processos elementares, conforme vivenciado em contrato anterior, uma vez que o uso de planilha deixa margem para uso de nomes diversos para os processos elementares. | ||
Dano 4: | Dificuldade de criar e manter atualizada a Baseline de contagem da aplicação, por falta de automatização do processo de contagem. | ||
Dano 5: | Redução da já escassa força de trabalho da equipe de fiscais técnicos. Atualmente (processo não automatizado), os fiscais técnicos gastam em média 50% do seu tempo nos processos de análise e registro das contagens de Pontos de Função. | ||
Dano 6: | Aferição imprecisa nas contagens, que poderá acarretar em pagamentos indevidos. | ||
Id | Ação Preventiva | Responsável | |
1 | Realizar aquisição de ferramenta de registro e controle de contagens de Pontos de Função e Baseline de contagem. | Chefia da CGTI e CGEAD | |
2 | Realizar a contratação de fábrica de métricas para a análise de contagem e controle de pontos de função, verificando a viabilidade da empresa fornecer também a ferramenta de controle. | CGTI e DIPLAN | |
Id | Ação de Contingência | Responsável | |
1 | Continuação do uso de Planilhas para registro de contagem de Pontos de Função. Porém, haverá a necessidade de redução da emissão de demandas à nova empresa, dados os controles adicionais que os fiscais deverão aplicar no processo de aferição e registro da contagem. | Fiscais Técnicos | |
Risco 11 | Risco: | Quantitativo de Fiscais Técnicos do contrato insuficientes para monitorar e fiscalizar o contrato. (Identificado também nas Constatações nº 1.1.1.1 e 1.1.1.4 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama: Número reduzido de fiscais no Contrato nº 22/2011 e ausência de recursos humanos com capacidade para fiscalização do contrato de desenvolvimento de software). | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Redução na quantidade de demandas a serem encaminhadas à nova empresa. | ||
Dano 2: | Possível encaminhamento de demandas sem conhecimento e controle do fiscal técnico. | ||
Dano 3: | Falta de atendimento ou atraso no atendimento das demandas de desenvolvimento e manutenção de sistemas e portais. | ||
Dano 4: | Fragilidade do processo de fiscalização do contrato. | ||
Id | Ação Preventiva | Responsável | |
1 | Realizar recrutamento de servidores do Instituto para serem alocados em fiscalização técnica de contratos de TI. | Chefia da CGTI e DIPLAN | |
2 | Solicitar ao MPDG mais vagas e servidores Analistas em Tecnologia da Informação (ATI) para atuarem como fiscais de contratos. (Esta Ação também corresponde à Recomendação 2 da Constatação nº 1.1.1.4 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama). | Chefia da CGTI e DIPLAN | |
3 | Solicitar ao MPDG realização de concurso de servidor do Instituto com o perfil de Tecnologia da Informação – Gestão de TI. | DIPLAN e Presidência | |
4 | Realizar a contratação de Fábrica de Métricas para validar as contagens de Pontos de Função estimadas e detalhadas da empresa de desenvolvimento e manutenção de sistemas. (Esta Ação está associada à Recomendação 6 da Constatação nº 1.1.1.4 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama). | Chefia da CGTI e DIPLAN | |
Id | Ação de Contingência | Responsável | |
1 | Priorizar as demandas de sistemas e portais (novos e manutenção) que serão monitoradas e controladas pela reduzida equipe de fiscalização do contrato (Controle de Fluxo), até que o número adequado de fiscais seja reestabelecido. | Comitê de TI |
Risco 12 | Risco: | Quantitativo de Gerentes de Projetos insuficientes para acompanhar e conduzir os projetos. | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Redução na quantidade de demandas a serem encaminhadas à nova empresa. | ||
Dano 2: | Falta de atendimento ou atraso no atendimento das demandas de desenvolvimento e manutenção de sistemas e portais. | ||
Dano 3: | Execução de projetos de sistemas (novos e manutenção) e portais sem acompanhamento do Gerente de Projetos, acarretando má qualidade nos produtos e documentação entregues. | ||
Dano 4: | Fragilidade do processo de gestão de requisitos (Uma das causas identificadas na Constatação nº 1.1.1.1 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama: Fragilidade do processo de gestão de requisitos). | ||
Id | Ação Preventiva | Responsável | |
1 | Realizar recrutamento de servidores do Instituto para serem lotados na CGTI e atuarem como Gerentes de Projetos. | Chefia da CGTI e DIPLAN | |
2 | Solicitar ao MPDG realização de concurso de servidor do Instituto com o perfil de Tecnologia da Informação – Gestão de Projetos. | DIPLAN e Presidência | |
Id | Ação de Contingência | Responsável | |
1 | Priorizar as demandas de sistemas (novos e manutenção) e portais que serão conduzidas e acompanhadas pela reduzida equipe de gestão de projetos (Controle de Fluxo), até que o número adequado de pessoal seja reestabelecido. | Comitê de TI | |
Risco 13 | Risco: | Falta de comprometimento da área requisitante ou técnica na execução do contrato. | |
Probabilidade: | Baixa | ||
Impacto: | Médio | ||
Dano 1: | Atraso na entrega dos produtos. | ||
Dano 2: | Não entrega dos produtos. | ||
Dano 3: | Entregas de produtos com má qualidade. | ||
Id | Ação Preventiva | Responsável | |
1 | Selecionar adequadamente os servidores que comporão a equipe de fiscalização do contrato e de levantamento de requisitos. | Chefia da CGTI e Diretores | |
2 | Dimensionar adequadamente a carga de trabalho dos servidores que comporão a equipe de fiscalização do contrato e de levantamento de requisitos, para que possam realizar as atividades de fiscalização e acompanhamento do contrato. | Chefia da CGTI e Diretores | |
Id | Ação de Contingência | Responsável | |
1 | Realizar a substituição do servidor por outro mais comprometido com o sucesso da execução do projeto de sistemas (novo ou manutenção) e portais. | Chefia da CGTI e Diretores | |
Risco 14 | Risco: | Baixa qualificação técnica dos profissionais da empresa para execução do contrato. | |
Probabilidade: | Média | ||
Impacto: | Médio | ||
Dano 1: | Indisponibilidade de sistemas e portais por falta de manutenção adequada nas funcionalidades. | ||
Dano 2: | Não entrega dos produtos. | ||
Dano 3: | Atraso na entrega dos produtos. | ||
Dano 4: | Entregas de produtos com má qualidade. | ||
Id | Ação Preventiva | Responsável | |
1 | Estabelecer requisitos adequados de formação e experiência profissional da equipe que projetará e implementará os projetos de sistemas (novos e manutenções) e portais. | Equipe de Planejamento da Contratação | |
2 | Estabelecer critérios de aceitação para os produtos a serem entregues. | Equipe de Planejamento da Contratação | |
3 | Adotar critério escalar de penalidade em conformidade com o nível de risco. | Equipe de Planejamento da Contratação | |
Id | Ação de Contingência | Responsável | |
1 | Verificação dos atestados de capacidade técnica por meio de diligências. | Integrantes Administrativo e Técnico | |
2 | Controle dos perfis mínimos de profissional necessário para execução do objeto, efetuando-se eventuais recusas de profissionais sem a qualificação técnica mínima. | Fiscal Administrativo | |
3 | Responsabilização da empresa pela entrega de produtos pela má qualidade e determinação para que a mesma corrija as não conformidades. | Gestor do Contrato e DIPLAN |
Risco 15 | Risco: | Indisponibilidade de sistemas e portais por erro no desenvolvimento. | |
Probabilidade: | Baixa | ||
Impacto: | Alto | ||
Dano 1: | Prejuízo a usuários externos, que não conseguirão utilizar as funcionalidades das aplicações, a exemplo: emissão de guias de pagamento e guias de autorização (transporte de madeiras, de exportação, de importação, etc). | ||
Dano 2: | Prejuízo a usuários internos, que não conseguirão controlar seus sistemas e nem autorizar emissão de licenças, guias de transporte, autorização de importação/exportação, etc. | ||
Dano 3: | Imagem negativa do órgão/entidade perante o cidadão. | ||
Id | Ação Preventiva | Responsável | |
1 | Estabelecer Níveis de Serviço quanto ao tempo de resolução de problemas de software críticos para o órgão/entidade. | Equipe de Planejamento da Contratação | |
Id | Ação de Contingência | Responsável | |
1 | Aplicar glosas e sanções à empresa pelo não cumprimento dos Níveis Mínimos de Serviço e determinação para que a mesma corrija as não conformidades. | Gestor do Contrato e DIPLAN | |
2 | Caso seja viável, retornar à release anterior àquela que gerou o problema em ambiente de produção, mantendo-a até a resolução definitiva do problema. | Equipe técnica da CGTI |
Risco 16 | Risco: | Vazamento de dados e informações pelos funcionários da contratada. | |
Probabilidade: | Baixa | ||
Impacto: | Alto | ||
Dano 1: | Divulgação de informações privilegiadas e restritas. | ||
Dano 2: | Quebra de confidencialidade de dados, informações e documentos. | ||
Dano 3: | Frustração de operações policiais, de fiscalização e de investigação. | ||
Dano 4: | Redução da credibilidade do órgão/entidade. | ||
Id | Ação Preventiva | Responsável | |
1 | Exigir dos funcionários da Contratada assinatura do Termo de Compromisso de obediência às normas de Segurança e Sigilo do órgão/entidade. | Equipe de Fiscalização do Contrato | |
2 | Estabelecer o Gerenciamento de Configuração e Ativo de Serviço para controlar os recursos computacionais, incluindo a concessão de acesso aos recursos. | CGTI | |
Id | Ação de Contingência | Responsável | |
1 | Aplicar sanções administrativas, cíveis e criminais. | DIPLAN e PFE | |
2 | Exigir reparação do dano, quando aplicável. | DIPLAN | |
Falta de ferramentas para controle do ciclo de desenvolvimento e | ||||
Risco: | manutenção de software (ferramenta de testes, repositório com versionamento, ferramenta de integração contínua, ferramenta de | |||
análise de qualidade de código). | ||||
Probabilidade: | Média | |||
Impacto: | Alto | |||
Dificuldades na realização do controle durante a gestão contratual. Sem | ||||
Dano 1: | ferramentas automatizadas, o controle acabará sendo realizado com registros manuais em planilhas, procedimentos arcaicos para | |||
implantação em produção, etc. | ||||
Inviabilidade de análise de código. Sem a ferramenta automatizada, não | ||||
há pessoal qualificado no órgão/entidade para análise linha-a-linha. | ||||
Dano 2: | Além do mais, este procedimento aumentaria o risco de não detecção de | |||
Risco 17 | falhas e aumentaria substancialmente o prazo para entrega dos produtos de software. | |||
Morosidade na operacionalização das demandas e consequente atraso | ||||
Dano 3: | na entrega dos produtos de software. | |||
Id | Ação Preventiva | Responsável | ||
Alocar equipe da CGTI para a pesquisa | de ferramentas | |||
1 | apropriadas e adequadas, providenciando a | implantação das | Chefia da CGTI | |
mesmas antes da contratação da nova empresa. | ||||
2 | Realização de testes das ferramentas antes da contratação da nova | CGTI | ||
empresa. | ||||
Id | Ação de Contingência | Responsável | ||
Redução da emissão de Ordens de Serviço, dado o esforço extra no | CTI e | |||
1 | controle não automatizado do ciclo de desenvolvimento e | Chefia da | ||
manutenção de software. | CGTI | |||
Providenciar a implantação das ferramentas, mesmo com o | Chefia da CGTI | |||
2 | contrato em execução, com vistas a mitigar o tempo de | e equipe técnica | ||
indisponibilidade das ferramentas. | da CGTI | |||
Risco 18 | Risco: | Expedição de demandas (solicitações de execução do objeto) além da capacidade de controle e de fiscalização. | |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Sobrecarga de trabalho para os fiscais do contrato. | ||
Dano 2: | Fragilidades na gestão e fiscalização contratual, que geraram atestes errados dos resultados entregues e risco de pagamentos indevidos à empresa. (mesma Constatação nº 1.1.1.3 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama). | ||
Dano 3: | Falta de atendimento ou atraso no atendimento das demandas de desenvolvimento e manutenção de sistemas e portais. | ||
Dano 4: | Execução de projetos de sistemas (novos e manutenção) e portais sem acompanhamento da área de TI ou com acompanhamento por pessoal sem a qualificação adequada, acarretando má qualidade nos produtos e documentação entregues. | ||
Dano 5: | Fragilidade do processo de gestão de requisitos (Uma das causas identificadas na Constatação nº 1.1.1.1 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama: Fragilidade do processo de gestão de requisitos). | ||
Dano 6: | Inconformidade com o item 10 da Portaria nº 20/2016 STI/MP, que consta: “O órgão deve avaliar, durante a fase de Planejamento da Contratação, se dispõe de servidores em quantidade e capacidade suficientes para a fiscalização de todos os controles, acompanhamento processual e demais atividades necessárias à aferição das exigências contratuais. Caso não haja servidores suficientes, o órgão deve abster-se de contratar.” | ||
Id | Ação Preventiva | Responsável | |
1 | Providenciar capacitação dos servidores do órgão/entidade que atuam como fiscais de contrato de fábricas de software, tanto em contagens de pontos de função segundo o IFPUG, quanto na aplicação do Roteiro de Métricas de Software do SISP. (Recomendação 1 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama). | Chefia da CGTI | |
2 | Solicitar ao Ministério do Planejamento número adequado de servidores com perfis de fiscais de contrato, considerando a quantidade de sistemas geridos pela Unidade. | Chefia da CGTI e DIPLAN | |
(Recomendação 2 do Relatório de 201317521, ocorrida em 2014 no Ibama). | Auditoria | da | CGU | nº | |||
3 | Priorizar as demandas de software a serem desenvolvidas. (Referência: Portaria nº 20/2016 STI/MP, item 19.1 – O Comitê de Governança Digital é responsável pela validação e priorização de cada software a ser desenvolvido e deve deliberar e decidir sobre sua viabilidade e desenvolvimento antes de sua contratação ou antes que a demanda seja enviada à empresa contratada por meio de Ordem de Serviço). | Comitê de TI | |||||
Id | Ação de Contingência | Responsável | |||||
1 | Redução da emissão de Ordens de Serviço. | Comitê de TI e Chefia da CGTI | |||||
2 | Implantação de controles internos, como o proposto na Recomendação 7 do Relatório de Auditoria da CGU nº 201317521, relacionado ao estudo da capacidade de execução de demandas de fábrica de software pela área de TI, a fim de compatibilizar as demandas de serviços à fábrica de software com a força de trabalho disponível para gerenciar e validar adequadamente os serviços entregues. Tal estudo consta no Parecer nº 02001.004663/2015-11 CNT/IBAMA, no qual consta a estimativa de 2.433,6 PF por ano por fiscal técnico, para a realização das 17 atividades de fiscalização e aferição de contagem de pontos de função. Esta estimativa, que foi baseada em um histórico de 3 anos, poderá servir de parâmetro para o controle de fluxo das demandas, de acordo com o quantitativo de pessoal de TI alocado para a fiscalização do contrato. | Comitê de TI e Chefia da CGTI | |||||
Risco 19 | Risco: | Qualificação técnica e operacional insuficiente dos Fiscais Técnicos do contrato. (Identificado também nas Constatações nº 1.1.1.1 e 1.1.1.4 do Relatório de Auditoria da CGU nº 201317521, ocorrida em 2014 no Ibama: Número reduzido de fiscais no Contrato nº 22/2011 e ausência de recursos humanos com capacidade para fiscalização do contrato de desenvolvimento de software). |
Probabilidade: | Alta | ||
Impacto: | Alto | ||
Dano 1: | Entrega de produtos com baixa qualidade. | ||
Dano 2: | Possível encaminhamento de demandas sem conhecimento e controle do fiscal técnico. | ||
Dano 3: | Não detecção de códigos maliciosos e vulnerabilidades nos produtos entregues, como backdoors. | ||
Dano 4: | Fragilidade do processo de fiscalização do contrato. | ||
Id | Ação Preventiva | Responsável | |
1 | Realizar capacitação dos Fiscais Técnicos e servidores da CGTI em cursos das linguagens de programação e tecnologias constante contratação, banco de dados e segurança da informação. Tal ação visa, entre outros aspectos, a qualificação para verificar os critérios de aceitação dos produtos. | Chefia da CGTI e DIPLAN | |
2 | Criar de equipe de Análise de Códigos ou Auditoria de Códigos na CGTI. | Chefia da CGTI e DIPLAN | |
3 | Realizar recrutamento de servidores do Instituto para serem alocados em fiscalização técnica de contratos de TI. | Chefia da CGTI e DIPLAN | |
Id | Ação de Contingência | Responsável | |
1 | Priorizar as demandas de sistemas e portais (novos e manutenção) que serão monitoradas e controladas pela reduzida equipe de fiscalização do contrato (Controle de Fluxo), até que o número adequado de fiscais capacitados seja reestabelecido. | Chefia da CGTI e Comitê de TI | |
2 | Criar de Equipe de Análise de Códigos ou Auditoria de Códigos na CGTI no âmbito do Ibama. | Chefia da CGTI e DIPLAN | |
3 | Solicitar apoio externo (MMA, órgãos do meio ambiente, MPDG, etc.) para criação da Equipe de Análise de Códigos ou Auditoria de Códigos na CGTI. | Chefia da CGTI e DIPLAN | |
Com base na Tabela 2, identificou-se que o risco R04 é aquele que apresenta maior grau de comprometimento do sucesso do processo de contratação. Já os riscos X00, X00, X00, X00, R18 e R19 são os que mais comprometem o bom andamento da execução contratual.
Uma atenção especial deverá ser dada aos Riscos R11, R12 e R19, pois a insuficiência de recursos humanos para fiscalizar e gerenciar as demandas poderá afetar potencialmente a
capacidade do Instituto na criação de valor para si e para a sociedade.
Os Riscos “Não publicação do Processo de Desenvolvimento de Software do Ibama (PDS-Ibama)” e “Não publicação do Roteiro de Métricas de Software do Ibama” deixaram de figurar nesta Análise de Riscos pois deixaram de ser riscos, uma vez que foram publicados tempestivamente.
Deste modo, durante a fase de planejamento, seleção de fornecedores e gestão contratual, os responsáveis deverão realizar o acompanhamento dos fatores relacionados aos riscos citados e executar as ações preventivas, com vistas a evitá-los ou mitigá-los.
4 – APROVAÇÃO
A Equipe de Planejamento da Contratação do Ibama foi instituída pela Portaria nº 332, de 24 de fevereiro de 2017, alterada pela Portaria nº 572, de 24 de março de 2017.
Conforme o § 2º do Art. 13 da IN 04/2014 STI/MP, a Análise de Riscos deverá ser aprovada e assinada pela Equipe de Planejamento da Contratação.
Xxxxxx xx Xxxxx Xxxxxxx Xxxxxxx
Integrante Requisitante
Xxxxxx Xxxxxxxx Xxxxxxxxx Xxxxxx
Integrante Requisitante
Xxxxxxx Xxxxxx xx Xxxxxx
Integrante Requisitante
Xxxxxxxx Xxxxxxxx Xxxxx Xxxxxxx
Integrante Requisitante
Xxxxxx Xxxxxxx Xxxx
Integrante Técnico
Xxxx Xxxxxxx Xxxx xx Xxxxxxxx
Integrante Técnico
Xxx Xxxxxxx Xxxxxxx Xxxxxx
Integrante Administrativo
Xxxxxxxxx Xxxxx Xxxxxxx Xxxxx Xxxxx
Integrante Técnico
Aprovamos,
Brasília – DF, 27 de março de 2017.