(Anexo Único do Ato n. 964/2018, DJe n. 106, de 12/6/2018)
VERSÃO DESCONTINUADA
Voltar para versão mais recente do processo
Dono do processo: Secretário de Tecnologia da Informação e Comunicação
O Processo de Gerenciamento de Risco e Controle Interno, instituído em 2017, revisado em 2018 por meio do Ato n. 964/2018 de 12/6/2018, tem como objetivo melhorar a eficiência do processo de gerenciamento de riscos a partir do estabelecimento de um padrão para o Plano de Gerenciamento de Riscos e Controle Interno (PGRCI). Assim, desejas-se apresentar um padrão institucional e facilitar o entendimento, a comunicação e os processos de tomada de decisões de riscos elencados nos projetos, nas contratações, nos processo e na área de Segurança de TIC.
- Suportar e reportar os riscos para a execução dos macrodesafios estratégicos do PETIC relacionados à governança e à gestão de recursos;
- Identificar, controlar, registrar, reportar, auditar e verificar os riscos elencados na STIC;
- Apresentar uma proposta de processos e artefatos a serem utilizados no gerenciamento de riscos de TIC;
- Definição das etapas, papéis e responsabilidades, modelos e periodicidade para o plano de gerenciamento de riscos; e
- Definição dos requisitos que devem constituir o plano de riscos.
Fluxo:
Papeis e Responsabilidades:
|
Papel |
Responsabilidade |
Responsável |
|
Dono do processo |
Assegurar a efetividade do processo de Gerenciamento de riscos e controle interno. Registrar e monitorar a execução dos PGRCIs elaborados |
Secretário (a) de TIC |
|
Identificador |
Registrar um risco |
Qualquer pessoa que possa registar e encaminhar o risco para o Gestor do risco |
|
Gestor do risco |
Analisar o risco, colocar no plano de gerenciamento de riscos, definir o responsável pelo risco e a resposta a ele, além de manter o monitoramento periódico |
Gestor do PGRCI especifico |
|
Responsável |
Realizar a execução do tratamento de risco |
Pessoa elencado no formulário para executar a resposta definida ao risco |
|
CGesTIC |
Registrar, analisar, aprovar o PGRCI, encaminhando-o para o Comitê competente. |
Presidente do CGesTIC |
|
CGSI |
Conhecer e analisar o PGRCI, segundo a competência do Comitê (segurança da informação) |
Presidente do CGSI |
|
CGTIC |
Conhecer e analisar o PGRCI, segundo a competência do Comitê (estratégia, investimentos e priorização das ações e projetos) |
Presidente do CGTIC |
Descrição das Atividades:
|
Id |
Atividade |
Objetivo |
Responsável |
|
1 |
Registrar o risco e encaminhar para o avaliador |
Registrar um possível risco a ser avaliado e tratado |
Identificador |
|
2 |
Receber o risco e analisar |
O responsável pelo plano de risco de uma unidade, processo, projeto ou segurança de TIC recebe o possível risco, analisando-o e o avaliando (qualitativamente e quantitativamente) |
Gestor do risco |
|
3 |
Elaborar o PGRCI |
Caso não exista um plano de gerenciamento de riscos anterior, gerar um novo documento utilizando a metodologia e o processo definido por esse normativo |
Gestor do risco |
|
4 |
Registrar o risco no PGRCI, fazendo a avaliação e encaminhando para ciência ao responsável |
Registrar o risco, sua avaliação, bem como a ação de resposta, se existir. Após isso, encaminhar ao gestor do risco para avaliação |
Gestor do risco |
|
5 |
Dar ciência e encaminhar ao CGesTIC |
O responsável conhecerá os riscos e respostas sob sua responsabilidade, dando ciência no documento e encaminhará o PGRCI ao CGesTIC |
Responsável |
|
6 |
Registrar e informar o Gestor do risco |
Registrar a concordância avaliação do risco e alteração no plano de gerenciamento de riscos e informar o Gestor do risco |
Responsável |
|
7 |
Registrar |
Registrar o plano, analisando as respostas elencadas e sua aplicação. Caso seja aprovado, encaminhar ao comitê competente. Caso não seja aprovado, volta ao item 4 |
Presidente do CGesTIC |
|
8 |
Verificar para onde encaminhar |
Verificar qual comitê é competente para conhecer e analisar o PGRCI elaborado |
Presidente do CGesTIC |
|
9 e 10 |
Conhecer e analisar |
O comitê competente conhecerá e analisará o PGRCI |
Presidente do CGTIC ou do CGSI |
|
11 |
Registrar e monitorar |
O dono do processo registrará o PGRCI e monitorará a ocorrência dos riscos elencados |
Dono do processo |
Versões Anteriores: