Análise de risco
O que é?
1Análise dos riscos relativos à contratação e à gestão do contrato, que inclui as ações para mitigar os riscos identificados (1).

No que consiste?
2Avaliar os riscos da contratação e da gestão do contrato, que deve ser usado na análise de viabilidade da contratação, consiste em identificar esses riscos (inclusive considerando as lições aprendidas em outras contratações da organização, para evitar problemas já ocorridos em contratações passadas), e para cada risco identificado:
a) descrever o risco;
b) estimar a probabilidade de ocorrência (e.g. alta, média e baixa);
c) estimar o impacto, caso se materialize em um evento (e.g. alto, médio e baixo);
d) estimar o risco, como função da probabilidade e do impacto (e.g. alto, médio e baixo);
e) para os riscos que ensejarem tratamento:
e1)definir as ações necessárias para mitigar a probabilidade de ocorrência ou o impacto, caso se concretize;
e2) definir os responsáveis por cada ação de mitigação;
e3) definir os períodos de execução das ações de mitigação (2).

Inexistência de análise de riscos
3Risco: Inexistência de análise de risco, levando a desconsideração dos riscos existentes na contratação e gestão do contrato, com consequente impacto causado por todos os riscos desconsiderados.
4Sugestão de controle interno: Equipe de planejamento da contratação elabora análise de risco da contratação e da gestão contratual.

Análise de risco deficiente
5Risco: Análise de risco deficiente, levando a desconsideração de riscos relevantes, com consequente impacto causado por estes riscos relevantes.
6Sugestão de controle interno: Servidor sênior revisa os artefatos do planejamento, incluindo a análise de riscos (3).
Fundamentação:
1 
BRASIL. Decreto-lei n° 200, de 25 de fevereiro de 1967.
• Art. 14. O trabalho administrativo será racionalizado mediante simplificação de processos e supressão de contrôles que se evidenciarem como puramente formais ou cujo custo seja evidentemente superior ao risco.
2 
BRASIL. Secretaria de Logística e Tecnologia da Informação. Instrução Normativa n° 04, de 12 de novembro de 2010.
• Art. 16. A Análise de Riscos será elaborada pela Equipe de Planejamento da Contratação contendo os seguintes itens: I - identificação dos principais riscos que possam comprometer o sucesso dos processos de contratação e de gestão contratual; II - identificação dos principais riscos que possam fazer com que a Solução de Tecnologia da Informação não alcance os resultados que atendam às necessidades da contratação; III - identificação dos principais riscos que possam fazer com que os serviços prestados ou bens entregues não atendam às necessidades da contratante; IV - mensuração das probabilidades de ocorrência e dos danos potenciais relacionados a cada risco identificado; V - definição das ações previstas a serem tomadas para reduzir ou eliminar as chances de ocorrência dos eventos relacionado a cada risco; VI - definição das ações de contingência a serem tomadas caso os eventos correspondentes aos riscos se concretizem; e VII - definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência. § 1º A análise de riscos permeia todas as etapas da fase de Planejamento da Contratação e será consolidada no documento final Análise de Riscos. § 2º A Análise de Riscos será aprovada e assinada pela Equipe de Planejamento da Contratação.
3 
BRASIL. Tribunal de contas da União. Guia de Boas Práticas em Contratação de Soluções de Tecnologia da Informação - Riscos e Controles para o Planejamento da Contratação - versão 1.0.
• p. 122. (1) publicar normativo estabelecendo a obrigação da revisão dos artefatos produzidos no planejamento das contratações por servidor sênior, de modo a verificar a consistência da análise de risco, considerando lições aprendidas em outras contratações. Convém que a responsabilidade por esse controle seja da alta administração.