ABCDEFGHIJKLMNOPQRSTUVWXYZAA
1
COLETA DE DADOS - RISCOS INERENTES E INDICADORES DA GESTÃO DE RISCOS
ANÁLISE E AVALIAÇÃO DOS RISCOS:
RISCOS INERENTES
2
3
Processo: DTI012 – Doc. e Informação: Criação de conta ClusterObjetivo EstratégicoObjetivo PDI ?
Exemplo: PDI24 - Gestão administrativa, financeira e econômica; TI
4
5
6
Código do Risco:Fatores de Risco:
(Descreva as dificuldades ou fatores que caso ocorram causarão impactos ao processo ou a UFV):		Fator de Risco relacionado a(o) Processo / Pessoas / Tecnologia:Fraqueza (Interna) ou
Ameaça (Externa):		Possíveis Soluções
(Ações propostas):		Indicadores
(Como calcular?)		Situação Atual
/ Linha de Base
(De onde partimos?)		Situação Futura
/ Após implantar a solução
(Onde queremos chegar?)		Evento de Risco:
(qual é o evento que caso aconteça trará impactos?)
(ator responsável + verbo de ação + complemento)
Ex.: "Coordenador instruir de forma incorreta"		Causa/Fonte:Efeitos / Consequências / Impacto:Tipologia do Risco:ANÁLISE:AVALIAÇÃO:
7
Probabilidade de Ocorrência:PImpacto (Consequência):IRisco Inerente
(P * I):		Nível de Risco:Resposta ao Risco:
8

DTI012.R1		Etapa de Processo de Registro da conta cluster: Atraso ou esquecimento para efetuar a aprovação da conta do usuário via sistema por parte do líder do projeto. O que impede o andamento do processo e costuma atrasar o prazo para criação da conta no cluster.

O sistema envia e-mail ao lider do projeto para aprovação ou não da solicitação de terceiros e muitas vezes o lider não verifica o e-mail e atrasa o processo.		ProcessoFraqueza (Interna)Estabelecer um prazo para que o líder possa efetuar a avaliação; Em caso de atraso reenviar o e-mail cobrando a aprovação; Notificar o solicitante que está pendente a aprovação do líder;

Email do sistema poderia ser enviado tanto ao lider quanto ao solicitante para saberem a situação atual do processo. Hoje envia-se apenas ao lider. O solicitante fica esperando sem saber o porque.		Tempo total de tramitação do processo152Líder de projeto não aprovar a solicitação de criação de conta no cluster no prazo.Falta de atenção (acabam não fazendo na hora que recebe o e-mail e deixam pra depois).

Falta de acompanhamento do e-mail institucional. Etc.

Falta de informar um prazo para que a ação seja realizada.		Gera atraso e/ou retrabalho no processo. O solicitante fica sem acesso ao cluster até essa aprovação.OperacionalBaixa2Moderado36Risco ModeradoCompartilhar ou Transferir
9
10
11
12
DTI012.R2Compatilhamento de credenciais de acesso a conta do cluster por parte dos usuários. Usuários compartilha a senha com outras pessoas. Usuário pode ser colaborador externo a UFV. Deve estar vinculado a UFV em algum projeto de pesquisa.

É possível que várias pessoas usem a mesma seção simultaneamento. UFV só descobre quando um usuário sem registro solicita algum serviço a DTI sobre um determinado cluster. UFV não sabe quantos usuários indevidos estão utilizando.		PessoasAmeaça (Externa)Viabilizar apenas uma seção de acesso ao cluster, de modo que ao entrar com a segunda seção a primeira sejá bloqueada.

DTI deveria pensar em algum forma de medir quantos acessos ocorrem simultaneamente em determinado usuário, se for possivel.		Quantidade de acesso do usuário em tempo real.2...Usuário sem permissão acessar o clusterUsuários internos compartilham a senha de acesso para outros usuários (internos ou externos a UFV).Permitir que usuários sem conta registrada acessem e utilizem o cluster.

Irá sobrecarregar recursos computacionais do Cluster (Hardware da UFV).		Conformidade ou LegalMédia2Grande24Risco ModeradoCompartilhar ou Transferir
13
...
14
DTI012.R3Acesso sem vínculo institucinal - Estudantes ou colaboradores externos que acabam perdendo o vínculo e possuem conta no cluster.

O periodo de cadastro do usuário é igual ao periodo do projeto de pesquisa (normalmente duram 1 a 2 anos). Mas pode ocorrer de usuários vinculados a UFV perderem o vinculo e continuarem com acesso ao cluster no periodo do projeto.		ProcessoFraqueza (Interna)Desenvolver um script que monitora o vínculo ativo de membros que possuem conta no cluster, desativando-a assim que perderem o vínculo.

Sistema Cluster não utiliza a mesma senha do guardião. Talvez poderia incluir no guardião uma matricula temporária para pesquisadores colaboradores. E tentar centralizar todos os acessos ao guardião.

Contudo, acredito que pessoas externas a UFV (pesquisador colaborador) não estão vinculados ao guardião. No guardião vincula-se apenas servidores da UFV, terceirizados e estudantes que querem acessar sistemas da UFV. DGI e PPO criam matriculas temporarias no guardião para Terceirzados e Estudantes.		Levantamento de contas ativas de usuários sem vínculo...Usuário inativo (pessoa que tinha vinculo anteriormente) ter permissão para acessar o clusterUsuário perde o vínculo ativo com a instituição durante o período do projeto de pesquisa.

DTI não consegue indetificar de forma automatica a perda de vinculo dos usuários do cluster, uma que não há integração entre todos os sistema da UFV, por exemplo este do cluster não esta vinculado ao guardião.		Oferecer recursos computacionais a um usuário sem vínculo ativo, não é possível responsabilizá-lo pelas ações.OperacionalBaixa2Moderado24Risco ModeradoCompartilhar ou Transferir
15
...
16
DTI012.R4Backup dos dados de usuários - Atualmente não fazemos backup dos dados dos usuários. As informações que usuário cria no CLUSTER (o Banco de dados dos projetos de pesquisa). Hoje tem-se aproximadamente 200 terabytes de dados de usuários no sistema. A DTI precisaria de mais 200 terabytes no minimo para fazer backup, o que não tem-se hoje.

Falta hardware para fazer backup. Muitos usuários desconhecem esta questão. Exemplo: Discos da UFV podem queimar, incendio, usuários não autorizados podem deletar trabalho de terceiros etc.		TecnologiaFraqueza (Interna)Solicitar assinatura de um termo de responsabilidade por parte dos usuários que não realizamos o backup dos dados e não compatilhar senha, e que esse backup é de reponsabilidade dos próprios usuários.

Caso o risco seja muito grande para a imagem da UFV, a DTI poderia pensar em adquirir mais hardware e fornecer backup a todo os dados de pesquisa incluidos nos cluster.		Usuários que solicitam backup dos dados....Informações inclusas nos cluster serem perdidas por incidentes ou ações não planejadas.
Usuário não ter todal ciência que o backup é responsabilidade dele.

Incidentes na infraestrutura dos clusters da UFV (incendio, etc).

Usuários não autorizados excluirem dados de projetos de pesquisa.

Usuários excluirem dados "sem querer". etc.		Perca dos dados de pesquisa dos usuários sem possibilidade de restauração.

Pode comprometer pesquisas da UFV. 		Imagem ou ReputaçãoAlta4Grande416Risco CríticoEvitar
17
......
18
19
20
21
Art. 14. (Resolução nº 07/2021/Consu). A UFV adota as seguintes Tipologias dos Riscos:
22
23
I - Imagem ou reputação do órgão: eventos que podem comprometer a confiança da sociedade em relação à capacidade da UFV em cumprir sua missão institucional, interferindo diretamente na imagem do órgão;
24
II - Financeiros ou orçamentários: eventos que podem comprometer a capacidade da UFV de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária e financeira;
25
III - Legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades da UFV; e
26
IV - Operacionais: eventos que podem comprometer as atividades da unidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas, afetando o esforço da gestão quanto à eficácia e eficiência dos processos organizacionais.
27
28
Três pilares de uma organização (tente identificar fatores de risco em cada pilar):
29
30
(i) Pessoas: São os responsáveis por pensar, planejar e executar todas as atividades da organização.
31
(ii) Tecnologia: Infraestrutura de rede local, servidores, estações de trabalho, telefonia, equiapamentos, softewares, bancos de dados, ...
32
(iii) Processos: Qualquer agrupamento de atividades de uma organização que tem por objetivo desenvolver e entregar produtos ou serviços ao cliente (usuário final) interno ou externo.
33
34
- Atividade: é sempre executada por um agente (usuário ou sistema). Atividade sempre consume algum tipo de recurso (ex.: tempo). Toda atividade deve ter um prazo de entrega.
35
36
Obs.: Se a solução de um problema for alterar o processo, então o fator de risco será relacionado ao processo.
Se a solução envolver capacitação de usuários, será relacionado a pessoas.
Se envolver aquisições de TI etc., será tecnologia.
37
38
Fraquezas ou Ameaças:
39
40
(i) Fraquezas:
- Os processos são confiáveis?
- Quais são as falhas que impactam os processos ou a organização?
- Há problemas no produto ou serviço que impactam negativamente a organização?
41
42
(ii) Ameaças:
- O que pode vir a influenciar negativamente o processo ou a organização?
- Há alguma questão pontual, sazonal ou de legislação que não favoreça o processo ou a organização?
- Há outras organizações ou ações políticas que possam prejudicar o processo ou a organização?
43
44
45
Exemplo de Indicadores que Afetam um processso:
46
- Tempo Total de Tramitação do Processo?
47
- Quantidade de Entregas por período de tempo (ano ....)?
48
- Nível de Segurança Jurídica (qualitativo)?
49
- Valor Arrecado por período de tempo (ano, ...)?
50
?
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100