{"schema":"fapes.contract-risk-matrix.v1","generatedAt":"2026-06-09T14:59:58.565Z","version":"v0-pre-proposta","legalBasis":["Lei 14.133/2021","Anexo IV - Minuta contratual CPSI FAPES","Plano de Teste CPSI M1-M12"],"contractAnnex":"Matriz de risco","remunerationMode":"fixed_price_by_milestone","recommendedUse":"Anexo de negociação contratual e apoio à diligência; não substitui respostas oficiais da CTA.","risks":[{"id":"auth_provider_definition","clauseReference":"Integração e acesso institucional","risk":"Padrão oficial de autenticação não confirmado antes da PoC.","trigger":"FAPES/PRODEST define Acesso Cidadão, gov.br ou outro provedor após submissão.","probability":"medium","impact":"high","allocation":"contratante","status":"requires_cta_clarification","mitigation":"Manter ADR de autenticação com adaptador e pergunta oficial à CTA antes do SUBMETER.","contingency":"Executar M1 com mock autenticado e substituir adaptador quando a Contratante confirmar o padrão.","owner":"FAPES/CTA","annexViFields":["2.A","5.A","5.E"]},{"id":"fapes_api_availability","clauseReference":"Ambiente de testes e APIs institucionais","risk":"API/sandbox oficial indisponível no início do CPSI.","trigger":"Não há endpoint, credencial ou massa autorizada em M1.","probability":"medium","impact":"high","allocation":"compartilhado","status":"requires_cta_clarification","mitigation":"Publicar OpenAPI, cliente mock e plano de integração incremental.","contingency":"Rodar validação com dataset autorizado exportado pela FAPES até liberação da API.","owner":"FAPES NUTIC + Contratada","annexViFields":["1.D","2.A","5.A"]},{"id":"sensitive_data_return","clauseReference":"Sigilo, LGPD e devolução/destruição de dados","risk":"Uso de dados FAPES além do período de teste ou fora da finalidade autorizada.","trigger":"Dados reais de projetos entram no ambiente controlado do CPSI.","probability":"medium","impact":"high","allocation":"contratada","status":"controlled","mitigation":"DPIA preliminar, minimização, segregação de dados institucionais e trilha de devolução/destruição.","contingency":"Suspender processamento, isolar evidência, registrar incidente e executar devolução/destruição conforme orientação da Contratante.","owner":"Contratada","annexViFields":["2.A","5.E","9.A"]},{"id":"acceptance_criteria_ambiguity","clauseReference":"Aceite por marcos do Plano de Teste","risk":"Critério de aceite interpretado de forma diferente por CTF/CTA e Contratada.","trigger":"Marco M1-M12 tem evidência técnica entregue, mas aceite institucional não é objetivo.","probability":"medium","impact":"medium","allocation":"compartilhado","status":"requires_contract_negotiation","mitigation":"Usar tabela Atividade x Meta x Indicador x Prazo x Evidência e aceite por marco.","contingency":"Abrir registro de divergência, pactuar evidência complementar e não avançar pagamento do marco sem aceite formal.","owner":"CTF/FAPES + Contratada","annexViFields":["5.A","5.B","7.B"]},{"id":"scope_change_after_validation","clauseReference":"Escopo CPSI e fornecimento futuro","risk":"Demanda de funcionalidades fora do CPSI ou do teto de R$ 115.000.","trigger":"Após validação, surgem integrações, relatórios ou automações não previstas no Plano de Teste.","probability":"medium","impact":"medium","allocation":"contratante","status":"controlled","mitigation":"Separar PoC CPSI, custo da solução completa e fornecimento futuro até o limite aplicável.","contingency":"Registrar mudança como backlog ou negociação de fornecimento futuro, sem consumir verba do marco atual.","owner":"FAPES/CTF","annexViFields":["4.A","5.C","5.D"]},{"id":"method_calibration_error","clauseReference":"Qualidade técnica da régua TRL/BRL/MRL/SRL","risk":"Régua inicial superestima ou subestima maturidade de projetos reais.","trigger":"Validação M1/M8 mostra baixa concordância entre ferramenta e avaliadores.","probability":"medium","impact":"high","allocation":"contratada","status":"controlled","mitigation":"Golden set, protocolo interavaliadores, divergência adversarial preservada e revisão humana obrigatória.","contingency":"Recalibrar pesos, registrar versão da régua e republicar somente após validação cruzada.","owner":"Contratada","annexViFields":["3.B","5.A","7.A","7.B"]},{"id":"external_evidence_delay","clauseReference":"Documentação externa e habilitação","risk":"Cartas, certidões, datas ou respostas CTA não chegam antes do envio.","trigger":"Terceiros não devolvem documentos assinados ou válidos no prazo D+1-D+6.","probability":"high","impact":"high","allocation":"contratada","status":"controlled","mitigation":"Outbox, dispatch log, follow-up, upload whitelisted e bloqueio explícito de SUBMETER prematuro.","contingency":"Não declarar evidência ausente; submeter somente quando arquivos reais estiverem no tracker ou retirar alegação documental.","owner":"Contratada","annexViFields":["6.A","8.B","8.C","9.A"]},{"id":"payment_acceptance_mismatch","clauseReference":"Remuneração por preço fixo por marcos","risk":"Pagamento por marco fica desalinhado ao aceite físico-financeiro.","trigger":"Marco técnico executado sem evidência de aceite ou com métrica incompleta.","probability":"low","impact":"medium","allocation":"compartilhado","status":"requires_contract_negotiation","mitigation":"Declarar preço fixo por marcos, com evidência objetiva por parcela no Plano de Teste.","contingency":"Reter emissão de nota do marco até checklist de aceite, relatório e evidência ficarem completos.","owner":"CTF/FAPES + Contratada","annexViFields":["4.A","5.A","5.B"]}],"gates":[{"id":"fixed_price_by_milestone","label":"Modalidade de remuneração definida","status":"ready","evidence":"Preço fixo por marcos no Plano de Teste CPSI."},{"id":"risk_allocation_complete","label":"Alocação de riscos sem campo em branco","status":"ready","evidence":"Cada risco tem probabilidade, impacto, alocação, mitigação e contingência."},{"id":"cta_clarification_pending","label":"Dúvidas oficiais de autenticação/API/remuneração","status":"needs_external_confirmation","evidence":"Tracker CTA deve arquivar respostas oficiais quando chegarem."}],"runbook":["Usar esta matriz como anexo interno de negociação do CPSI, não como promessa de alteração do edital/TR.","Manter preço fixo por marcos como posição inicial e amarrar pagamento a evidências do Plano de Teste.","Antes da assinatura, conferir se a minuta contratual preserva sigilo, devolução/destruição de dados e aceite por marco.","Quando a CTA responder autenticação/API/remuneração/consórcio, atualizar proposta técnica e matriz sem apagar o histórico.","Não transferir para a Contratada riscos que dependem exclusivamente de credenciais, sandbox ou dados fornecidos pela Contratante."],"summary":{"riskCount":8,"highImpactRiskCount":5,"highProbabilityRiskCount":1,"contractorAllocatedRiskCount":3,"contractingAllocatedRiskCount":2,"sharedAllocatedRiskCount":3,"clarificationRiskCount":2,"negotiationRiskCount":2,"annexViFieldCount":15,"readyGateCount":2,"gateCount":3,"fixedPriceModeSelected":true,"readyForContractNegotiation":true}}