# Matriz de risco contratual CPSI FAPES

Versão: v0-pre-proposta
Gerado em: 2026-06-09T15:04:09.581Z
Anexo: Matriz de risco
Modalidade proposta: fixed_price_by_milestone
Pronta para negociação contratual: sim

## Base e uso recomendado

- Lei 14.133/2021
- Anexo IV - Minuta contratual CPSI FAPES
- Plano de Teste CPSI M1-M12
- Anexo de negociação contratual e apoio à diligência; não substitui respostas oficiais da CTA.

## Resumo

| Riscos | Alto impacto | Alta prob. | Contratada | Contratante | Compartilhado | CTA | Negociação | Anexo VI |
| --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 8 | 5 | 1 | 3 | 2 | 3 | 2 | 2 | 15 |

## Matriz

| ID | Risco | Prob. | Impacto | Alocação | Status | Mitigação | Contingência |
| --- | --- | --- | --- | --- | --- | --- | --- |
| auth_provider_definition | Padrão oficial de autenticação não confirmado antes da PoC. | medium | high | contratante | requires_cta_clarification | Manter ADR de autenticação com adaptador e pergunta oficial à CTA antes do SUBMETER. | Executar M1 com mock autenticado e substituir adaptador quando a Contratante confirmar o padrão. |
| fapes_api_availability | API/sandbox oficial indisponível no início do CPSI. | medium | high | compartilhado | requires_cta_clarification | Publicar OpenAPI, cliente mock e plano de integração incremental. | Rodar validação com dataset autorizado exportado pela FAPES até liberação da API. |
| sensitive_data_return | Uso de dados FAPES além do período de teste ou fora da finalidade autorizada. | medium | high | contratada | controlled | DPIA preliminar, minimização, segregação de dados institucionais e trilha de devolução/destruição. | Suspender processamento, isolar evidência, registrar incidente e executar devolução/destruição conforme orientação da Contratante. |
| acceptance_criteria_ambiguity | Critério de aceite interpretado de forma diferente por CTF/CTA e Contratada. | medium | medium | compartilhado | requires_contract_negotiation | Usar tabela Atividade x Meta x Indicador x Prazo x Evidência e aceite por marco. | Abrir registro de divergência, pactuar evidência complementar e não avançar pagamento do marco sem aceite formal. |
| scope_change_after_validation | Demanda de funcionalidades fora do CPSI ou do teto de R$ 115.000. | medium | medium | contratante | controlled | Separar PoC CPSI, custo da solução completa e fornecimento futuro até o limite aplicável. | Registrar mudança como backlog ou negociação de fornecimento futuro, sem consumir verba do marco atual. |
| method_calibration_error | Régua inicial superestima ou subestima maturidade de projetos reais. | medium | high | contratada | controlled | Golden set, protocolo interavaliadores, divergência adversarial preservada e revisão humana obrigatória. | Recalibrar pesos, registrar versão da régua e republicar somente após validação cruzada. |
| external_evidence_delay | Cartas, certidões, datas ou respostas CTA não chegam antes do envio. | high | high | contratada | controlled | Outbox, dispatch log, follow-up, upload whitelisted e bloqueio explícito de SUBMETER prematuro. | Não declarar evidência ausente; submeter somente quando arquivos reais estiverem no tracker ou retirar alegação documental. |
| payment_acceptance_mismatch | Pagamento por marco fica desalinhado ao aceite físico-financeiro. | low | medium | compartilhado | requires_contract_negotiation | Declarar preço fixo por marcos, com evidência objetiva por parcela no Plano de Teste. | Reter emissão de nota do marco até checklist de aceite, relatório e evidência ficarem completos. |

## Gatilhos e donos

| ID | Referência | Gatilho | Dono | Anexo VI |
| --- | --- | --- | --- | --- |
| auth_provider_definition | Integração e acesso institucional | FAPES/PRODEST define Acesso Cidadão, gov.br ou outro provedor após submissão. | FAPES/CTA | 2.A, 5.A, 5.E |
| fapes_api_availability | Ambiente de testes e APIs institucionais | Não há endpoint, credencial ou massa autorizada em M1. | FAPES NUTIC + Contratada | 1.D, 2.A, 5.A |
| sensitive_data_return | Sigilo, LGPD e devolução/destruição de dados | Dados reais de projetos entram no ambiente controlado do CPSI. | Contratada | 2.A, 5.E, 9.A |
| acceptance_criteria_ambiguity | Aceite por marcos do Plano de Teste | Marco M1-M12 tem evidência técnica entregue, mas aceite institucional não é objetivo. | CTF/FAPES + Contratada | 5.A, 5.B, 7.B |
| scope_change_after_validation | Escopo CPSI e fornecimento futuro | Após validação, surgem integrações, relatórios ou automações não previstas no Plano de Teste. | FAPES/CTF | 4.A, 5.C, 5.D |
| method_calibration_error | Qualidade técnica da régua TRL/BRL/MRL/SRL | Validação M1/M8 mostra baixa concordância entre ferramenta e avaliadores. | Contratada | 3.B, 5.A, 7.A, 7.B |
| external_evidence_delay | Documentação externa e habilitação | Terceiros não devolvem documentos assinados ou válidos no prazo D+1-D+6. | Contratada | 6.A, 8.B, 8.C, 9.A |
| payment_acceptance_mismatch | Remuneração por preço fixo por marcos | Marco técnico executado sem evidência de aceite ou com métrica incompleta. | CTF/FAPES + Contratada | 4.A, 5.A, 5.B |

## Gates

| Gate | Status | Evidência |
| --- | --- | --- |
| Modalidade de remuneração definida | ready | Preço fixo por marcos no Plano de Teste CPSI. |
| Alocação de riscos sem campo em branco | ready | Cada risco tem probabilidade, impacto, alocação, mitigação e contingência. |
| Dúvidas oficiais de autenticação/API/remuneração | needs_external_confirmation | Tracker CTA deve arquivar respostas oficiais quando chegarem. |

## Runbook

- Usar esta matriz como anexo interno de negociação do CPSI, não como promessa de alteração do edital/TR.
- Manter preço fixo por marcos como posição inicial e amarrar pagamento a evidências do Plano de Teste.
- Antes da assinatura, conferir se a minuta contratual preserva sigilo, devolução/destruição de dados e aceite por marco.
- Quando a CTA responder autenticação/API/remuneração/consórcio, atualizar proposta técnica e matriz sem apagar o histórico.
- Não transferir para a Contratada riscos que dependem exclusivamente de credenciais, sandbox ou dados fornecidos pela Contratante.