Processo de Gerenciamento de Riscos de TIC
(Anexo II do Ato n. 980/2023-PR, DJe 136 de 25 de julho de 2023 - DJE - SEI)
Dono do processo: Secretário de Tecnologia da Informação e Comunicação
Definir as etapas e procedimentos a serem aplicados no processo de Gerenciamento de Riscos de Tecnologia da Informação e Comunicação, atribuir papéis e responsabilidades para garantir o andamento efetivo do processo e definir método de controle.
-
Integrar toda a cadeia de gestão de riscos;
-
Promover a análise de eventos internos e externos que podem impactar a STIC;
-
Estabelecer procedimentos que vão facilitar a gestão do risco de TIC;
-
Definir papéis e responsabilidades na identificação e no tratamento de riscos;
-
Conciliar o gerenciamento de riscos com o contexto interno e externo;
-
Atualizar o plano de riscos específicos de acordo com os riscos identificados ou potenciais;
-
Incentivar a adesão do processo por toda a STIC;
-
Promover constante evolução do nível de maturidade da gestão de riscos; e
-
Manter o plano de riscos de TIC alinhado ao plano de risco geral da instituição.
Fluxo:
(clique na imagem par ampliar)
Papeis e Responsabilidades:
|
Atividades/Funções |
Identificador do Risco |
Colaborador STIC |
Gestor do Risco |
Secretário(a) de TIC |
Unidade de Registro |
CGESTIC |
|
Informar o risco para algum colaborador da STIC |
R/A |
I |
- |
- |
- |
- |
|
Analisa o risco dentro do plano e identificar o gestor |
- |
R/A |
I |
- |
- |
- |
|
1. Encaminha para a consolidação de riscos |
- |
R/A |
- |
- |
I |
|
|
2. Registra risco e encaminha ao Gestor do Risco |
- |
R/A |
- |
I |
- |
- |
|
3. Avalia e Registra Ação de Tratamento |
- |
- |
R/A |
- |
- |
- |
|
4. Determinar o Processo de TIC |
- |
- |
I |
R/A |
- |
- |
|
5. Atualiza plano de risco relacionado |
- |
- |
R |
- |
I |
C |
|
6. Encaminha para a consolidação de riscos |
- |
- |
R/A |
- |
I |
- |
|
7. Consolidação em documento central de riscos da STIC |
- |
I |
I |
I |
R/A |
I |
|
8. Elabora relatório com as últimas atualizações |
- |
- |
- |
- |
R/A |
C/I |
|
9. Avalia e Delibera acerca dos riscos |
- |
- |
C/I |
- |
C/I |
R/A |
|
10. Encaminha sugestão de tratamento |
- |
- |
I |
- |
- |
R/A |
Descrição das Atividades:
|
Entrada(s): |
Identificação de risco potencial ou situação que pode ser percebida como tal |
|
Procedimentos: |
Informar o risco detectado a qualquer colaborador da STIC. |
|
Saída(s): |
Ciência a um colaborador da STIC sobre a informação de risco potencial ou situação que pode ser percebida como tal; |
|
Atividade: |
1. Encaminha para consolidação de riscos |
|
Entrada(s): |
Plano de Riscos; |
|
Procedimentos: |
Encaminhar para consolidação dos riscos. |
|
Saída(s): |
Informação para unidade de registro conhecer e documentar o Plano de Riscos no documento central. |
|
Atividade: |
2. Registra o risco e encaminhar ao gestor do risco |
|
Entrada(s): |
Informação de risco potencial ou situação que pode ser percebida como tal; |
|
Procedimentos: |
Colaborador da STIC registra o risco potencial. |
|
Saída(s): |
Informação sobre risco potencial sem gestor do risco identificado; Informação sobre risco potencial com gestor do risco identificado; |
|
Atividade: |
3. Avalia e Registra ação de tratamento |
|
Entrada(s): |
Informação sobre risco potencial com gestor do risco identificado; Despacho ao Gestor do Risco com sugestão de tratamento adicional ou em substituição ao utilizado. |
|
Procedimentos: |
Gestor do Risco avalia o risco de acordo com o resultado da análise de probabilidade e impacto e registra ação de tratamento. |
|
Saída(s): |
Risco potencial analisado e com tratamento definido. Risco potencial já conhecido e incluído em plano de risco relacionado. |
|
Atividade: |
4. Determina o processo de TIC |
|
Entrada(s): |
Informação sobre risco potencial sem gestor do risco identificado; |
|
Procedimentos: |
Secretário(a) de TIC analisa o risco e define um gestor observando os processos de TIC instituídos e as atribuições das unidades. |
|
Saída(s): |
Informação sobre risco potencial com gestor do risco identificado; |
|
Atividade: |
5. Atualiza plano de risco relacionado |
|
Entrada(s): |
Análise acerca da necessidade de alteração do plano de riscos. |
|
Procedimentos: |
5.1 Analisar o risco e alterar o plano de risco para inserir o tratamento aplicado. 5.2 Analisar o risco e não alterar o plano. |
|
Saída(s): |
Plano de risco atualizado com as novas informações de tratamento. |
|
Atividade: |
6. Encaminha para consolidação de riscos |
|
Entrada(s): |
Plano de risco atualizado com as novas informações de tratamento. |
|
Procedimentos: |
Gestor do Risco envia Plano de Riscos atualizado à Unidade de Registro. |
|
Saída(s): |
Plano de Riscos atualizado. |
|
Atividade: |
7. Consolida em documento central de riscos |
|
Entrada(s): |
Informação para unidade de registro conhecer e documentar o Plano de Riscos no documento central. Comunicação interna com o Plano de Riscos atualizado com as novas informações de tratamento. |
|
Procedimentos: |
Responsável pela Unidade de Registro cria versão do documento Central de Riscos com as atualizações. |
|
Saída(s): |
Documento Central de Riscos atualizado. |
|
Atividade: |
8. Elabora relatório trimestral com as últimas atualizações |
|
Entrada(s): |
Documento Central de Riscos atualizado. |
|
Procedimentos: |
Unidade de Registro elabora relatório com as alterações do trimestre no plano de risco. |
|
Saída(s): |
Relatório trimestral das atualizações do documento Central de Riscos. |
|
Atividade: |
9. Avalia e Delibera acerca dos Riscos |
|
Entrada(s): |
Relatório trimestral das atualizações do documento Central de Riscos. |
|
Procedimentos: |
Cgestic analisa o relatório trimestral e delibera sobre os riscos e ações de tratamento propostas. |
|
Saída(s): |
Ata do CGesTIC contendo sugestão de ações de tratamento; Ata do CGesTIC conhecendo e concordando com as informações apresentadas; |
|
Atividade: |
10. Encaminha sugestão de tratamento |
|
Entrada(s): |
Ata do CGesTIC contendo sugestão de ações de tratamento; |
|
Procedimentos: |
Cgestic encaminha despacho ao Gestor do Risco com sugestão de tratamento adicional ou em substituição ao utilizado. |
|
Saída(s): |
Despacho ao Gestor do Risco com sugestão de tratamento adicional ou em substituição ao utilizado. |
|
Atividade: |
11. Encaminha sugestão de tratamento |
|
Entrada(s): |
Ata do CGesTIC conhecendo e concordando com as informações apresentadas; |
|
Procedimentos: |
Cgestic encaminha as informações mais relevantes sobre riscos para conhecimento e se necessário deliberação. |
|
Saída(s): |
Despacho ao CGSI; Despacho ao CGTIC; |
Indicador do Processo
|
ID |
1 |
|
Processo |
Gerenciamento de Riscos de Tecnologia da Informação e Comunicação |
|
Dono do Processo |
Secretário(a) de TIC |
|
Indicador |
Índice de Atualização do Documento Central de Riscos |
|
Justificativa |
Manter o controle das atualizações realizadas no Documento Central de Riscos. |
|
Periodicidade |
Anual, em janeiro de cada exercício. |
|
Intervalo |
Janeiro a dezembro do exercício anterior. |
|
Regra de Cálculo |
 |
|
Meta |
4 Atualizações do Documento Central de Riscos |
|
Origem dos Dados |
SEI |
|
Responsável pela Coleta |
Divisão de Estratégia e Serviços de TIC |
|
Responsável pela análise do indicador |
Secretário(a) de TIC |
Matriz de Avaliação de Riscos
|
PROBABILIDADE |
IMPACTO |
|||||
|
Descrição (valor) |
Muito baixo (1) |
Baixo (3) |
Médio (5) |
Alto (7) |
Muito Alto (9) |
|
|
Muito baixa (1) |
1 |
3 |
5 |
7 |
9 |
|
|
Baixa (3) |
3 |
9 |
15 |
21 |
27 |
|
|
Média (5) |
5 |
15 |
25 |
35 |
45 |
|
|
Alta (7) |
7 |
21 |
35 |
49 |
63 |
|
|
Muito Alta (9) |
9 |
27 |
45 |
63 |
81 |
|
Molo de Plano de Riscos
|
||||||||||||||||||||||||||||||||||||||||||||
Versões Anteriores:
