Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
Respostas aos Questionamentos
Nº
1
2
Itens
R T-1. 2. 4. 4; R T-1.3 .2.
2; R T-1.3 .3. 3; RT-2. 2.8;
RT-5 .7; RT-1.2 .4. 3; RT-1.
3.2 .1; RT-1. 3. 3. 2; R T2. 1. 2; R T-2. 2. 11;
RT-2.1.10; R T-2.1 .9;
3
RN-4.1 1; R N-4. 11 .1;
4
R T-2. 2
5
R T-1. 2. 6; R T- 1. 3. 2
6
RT 1.1.3
7
RT 1.2.10
8
RT 1.1; RF 1.1; RF 2.1
9
RF 1.1.1; R T-4 .1. 1 4
10
RF 1.1
Pergunta
Resposta
O sistema operacional que a solução de GRC deverá O sistema operacional onde
ser implementada é AIX ou Windows?
implementada não foi definido.
Os usuários que acessarão a solução irão utilizar o
browser Microsoft Internet Explorer ou Mozilla
Firefox?
Devemos prever a instalação da solução em
servidores distintos de desenvolvimento, produção,
homologação e teste?
Para a solução, podemos prever a utilização de um
servidor de aplicação, servidor de database e
servidor de reporting?
O Banco do Brasil pretende considerar a instalação
em alta disponibilidade? Qual o nível de
disponibilidade (Ativo x Ativo, Ativo x Passivo)? Por
favor, descrever a topologia.
O Banco do Brasil pretende usar que tipos de
“softwares de apoio”?
O Banco do Brasil pretende utilizar a tecnologia de
portais com a camada de reporting?
Quais são as ISOs e normas técnicas que a ferramenta
deverá atender?
A solução deverá efetuar o gerenciamento das
políticas internas do banco?
O Banco do Brasil prevê que a solução deve
contemplar a gestão e os processos de auditoria?
a
solução
será
Ambos os browsers serão utilizados pelos usuários.
A pergunta já especifica os ambientes em questão.
A Topologia da solução ainda não foi definida.
Não houve definição quanto à instalação em alta
disponibilidade. Queremos saber se a solução
suporta ser clusterizada.
A questão RT 1.1.3 visa verificar a dependência da
sua solução em relação a software de terceiros.
Não houve ainda a definição se a tecnologia de
portais será utilizada.
Gostaríamos de saber quais as ISOs e normas
técnicas que a solução atende atualmente.
O item RF 1.1.1 não faz referência a políticas
internas do Banco.
Não. No entanto, a solução deve permitir o
gerenciamento do fluxo de recomendações emitidas
pela Diretoria de Controles Internos, bem como dos
planos de ação elaborados pelas unidades
organizacionais.
Pág. 1 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
11
RF 1.7
12
RF 2.1.1, RF 2.2.1
13
RF 1.1.11
14
RF 2.2
15
16
RF 2.2.2, RF 2.2.13, RF
2.2.14, RF 2.2.15, RF
2.2.16, RF 2.2.17, RF
2.2.14, RF 2.2.15, RF
2.2.16, RF 2.2.17, RF
2.2.25, RF 2.2.26, RF
2.2.27
RF 2.2.26
17
RF 1.1; R T-4.1. 1 4
18
RF 1.1
19
RF 1.1
20
RF 1.8
O Banco utiliza o SAD como um relatório gerencial e Sim, apresentando as deficiências de controle
em qual nível na hierarquia dos processos? Quais são agregadas no nível de processo. Porém, a solução
os objetos que compõem a SAD?
deve ter flexibilidade para apresentar a informação
em níveis de macroprocesso e subprocessos, se
necessário.
Quais são os sistemas do Banco do Brasil relacionado São os sistemas internos do Banco, utilizados para
na pergunta?
contratação e condução dos processos selecionados
para verificação.
Em relação ao padrão BPMN v2.0, o Banco do Brasil A solução deve permitir o uso de qualquer software
utiliza qual ferramenta de BPM? (e.g. IBM BPM 7.5; que comprove implementar árvore de processos no
Websphere Process Server; IBM BPM 7.5)
padrão BPMN v2.0.
Sobre Amostragem, o Banco do Brasil possui alguma Sim, possuímos soluções departamentais para
ferramenta de amostragem? Se sim, qual?
geração das amostras, em Access.
O Banco do Brasil espera que a solução de Gestão de Sim.
Controles Internos possua funções de ferramenta de
modelagem de dados (para fins de data mining /
estatística)?
O Banco do Brasil espera que a solução de Gestão de
Controles Internos efetue validação em seu
conteúdo?
O Banco do Brasil pretende efetuar gestão de todas
as políticas do Banco, desde acompanhamento de
versão até validade de aprovação?
O Banco do Brasil almeja que a solução execute
alertas automáticos em situações de apontamento
crítico de testes, controles falhos, etc. ?
A ferramenta deverá efetuar avaliações de Sarbanes
Oxley (SOx) nos processos financeiros?
O relatório de gestão consolidada ou gestão de riscos
(ex: Risk Heat Map, Matriz de Riscos e Controles, Top
Sim.
O item RF 1.1 não faz referência a políticas do
Banco.
Sim.
Sim.
Sim.
Pág. 2 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
21
RF 1.8
22
RF 1.1
23
RF 2.1.1
24
RF 1.1
25
RT 1.1; RF 1.1; RF 2.1
26
RN 4;
27
RF-1.2.2
28
RF-1.2.5; RF-1.2.6
29
RF-1.2.6
30
RF-1.8
Risks, etc..) deve ser considerado como um dos
relatórios de gestão?
A solução prevê navegação no tipo drill-down em
relatórios. Devemos prever esse tipo de navegação
em KRI’s também?
O Banco do Brasil espera que a solução implemente
processos de Business Continuity Management (BCM)
?
O Banco do Brasil prevê que a solução faça previsão
do uso Risk Control Self Assessment (RCSA)?
O Banco do Brasil prevê que a solução contemple a
gestão de riscos nos processos envolvendo
fornecedores e terceiros?
O Banco do Brasil espera que a solução atenda os
requisitos dos padrões de CobiT, ITIL, assim como as
especificações da ISO27000, 31000, etc ?
Qual é a quantidade de usuários que o Banco do
Brasil irá disponibilizar acesso à solução?
Sim.
A questão não está em conformidade com o
objetivo da RFI.
Questionamento não alinhado ao item da RFI.
A questão não está em conformidade com o
objetivo da RFI.
Gostaríamos de saber quais os padrões e
especificações acima que a solução atende
atualmente.
A quantidade de licenças/usuários, ao que o item
se refere, ainda não foi definida.
Caso existam restrições quanto a este aspecto,
favor explicitar.
O Banco do Brasil espera que a solução crie Essa definição deverá ser definida quando da
diretamente na árvore de processos um campo implementação da solução. É esperado que a
específico com informações da conta contábil associação seja efetivada de alguma maneira.
referente?
O Banco do Brasil espera que a solução crie processos Este requisito deve ser desconsiderado.
automatizados de “peso nas notas” ou será efetuado
manualmente por tipo de variável? A criticidade está
por faixas / níveis?
A que refere ao quesito “criticidade” das notas? Este requisito deve ser desconsiderado.
Deverá haver notificações também?
O Banco do Brasil pretende criar quantos relatórios Deverão ser criados os relatórios básicos em
na solução?
quantidade a ser definida durante a implantação da
ferramenta. Outros relatórios deverão ser criados
Pág. 3 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
31
32
RF-1.10.11
RF-2.3.29; RF-2.10.6; RF2.2.4
33
RF-2.3.30
34
RF-2.9.13
35
RN-1.10.1
pela área gestora, em quantidade indefinida, sem a
necessidade de codificação.
Quantos usuários deverão receber esta permissão?
No máximo 20 (vinte) usuários.
Quantos sistemas ou bases em Access se comunicarão Não há número definido. O importante é saber se a
com a Solução?
solução contempla relacionamento com o aplicativo
Access.
Por favor, especificar o termo “avaliação pareada”
A avaliação pareada é uma forma de decisão em
grupo, baseada no método Analytic Hierarchy
Process (AHP)1 de comparações em pares,
derivadas de julgamentos de pessoas com
conhecimento e experiência no tema tratado.
A metodologia AHP oferece uma sistemática onde
se pode colocar os elementos de um problema em
uma hierarquia, entrar julgamentos e estabelecer
prioridades para tomada de decisão. Por sua vez, o
conceito AHP, desenvolvido pelo matemático norteamericano Thomas L. Saaty, em meados da década
de 1970, e estruturado em software para uso em
microcomputador na década seguinte, estabelece a
avaliação pareada dos tópicos em que se
decompõem o tema/questão principal (ponderação
de subquesitos nas FVC, por exemplo), de modo a
se construir gradativamente a priorização/
hierarquização do problema.
Por favor, especificar o termo “Registro de Registro de Manifestação é a resposta do
Manifestação”
destinatário do Sumário às observações realizadas
pela Diretoria de Controles Internos.
Além de português, existem outros idiomas que os O objetivo do item é saber da possibilidade da
manuais poderão ser disponibilizados?
empresa fornecer os manuais escritos em língua
portuguesa do Brasil.
Pág. 4 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
36
RN-3.7
37
RN 4.1
38
RN 4.1
39
RN 4.1
40
RN 4.2
41
RN-5.2.3
42
RT 1
43
RN-2.5
Quais são os tipos de treinamento mencionados nesta
questão? Poderão ser disponibilizados treinamentos
no formato Web-Learning?
Da quantidade de usuários informada na questão 23,
quantos terão perfil de “Administrador” na solução?
Da quantidade de usuários informada na questão 23,
quantos terão perfil de “Negócio” (acesso na solução
como ferramenta de trabalho diário ou com rotina
determinada) na solução?
Da quantidade de usuários informada na questão 23,
quantos terão perfil de “Visita” (acesso na solução
como ferramenta de trabalho esporádico, consultas,
visualização de documentos, etc...) na solução?
Da quantidade de usuários informada na questão 23,
quantos irão acessar simultaneamente a solução
(entende-se simultaneamente, usuários que irão
executar funções na solução)?
Para o fornecimento dos serviços relacionados à
entrega do projeto é possível utilização de fábrica de
software ou deverá ser executado nas dependências
do Banco do Brasil?
O modelo de fornecimento por grupo de empresas
será aceito? Pois a IBM é o fabricante do software
para gestão e participante do projeto como
fornecedor do software em parceria com a empresa
de consultoria Deloitte, responsável pelos serviços de
implementação das aplicações.
Qual o tempo total esperado para que a solução esteja
implantada e disponível aos usuários?
O objetivo deste item é identificar quais são as
soluções de treinamento do portfólio do
fornecedor.
A quantidade de usuários “Administradores” ainda
não foi definida.
Caso existam restrições quanto a este aspecto,
favor explicitar.
A quantidade de usuários “Negócio” ainda não foi
definida.
Caso existam restrições quanto a este aspecto,
favor explicitar.
A quantidade de usuários “Visita” ainda não foi
definida.
Caso existam restrições quanto a este aspecto,
favor explicitar.
A quantidade de usuários simultâneos ainda não foi
definida.
Caso existam restrições quanto a este aspecto,
favor explicitar.
O item RN-5.2.3 citado neste questionamento não
consta da RFI publicada.
Especificações quanto à forma de fornecimento
ainda não foram definidas.
Caso existam restrições quanto a este aspecto,
favor explicitar.
O objetivo da RFI é levantar informações sobre soluções
disponíveis no mercado. Quanto aos prazos necessários,
o fornecedor deverá informar, considerando seu
planejamento e experiência em projetos semelhantes.
Se
houver
uma
estratégia
recomendada
ou
Pág. 5 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
44
RN-2.4
Qual a quantidade de profissionais do Banco do Brasil que
será envolvida neste projeto?
45
RN-2
Está prevista a realização de implantação faseada e
modular? Espera-se que seja feito mais de um go-live ao
longo do projeto?
46
RN-2
É permitido o
implementação?
47
RN-2.3
48
Geral
Como será feito e quem será responsável pelo
detalhamento dos requisitos funcionais da solução?
Devemos prever isso na proposta?
Os processos e metodologias de avaliação de controles
internos do Banco estão definidos e implantados? Ou isso
deverá ser previsto na proposta de implantação, ou seja,
definir o processo e implantar na ferramenta?
49
RN-3
Qual a quantidade de usuários da solução?
48
RN-2.2
Deveremos contemplar na proposta de implantação a
integração da solução com outros sistemas do Banco? Caso
positivo, qual a quantidade de sistemas e que tipos de
integrações são esperados (ex. quais informações serão
trocadas entre os sistemas)? E quais as principais
linguagens de programação e banco de dados?
uso
de
recursos
remotos
para
a
condicionantes, solicitamos sua descrição como
comentário da resposta para permitir o melhor
estabelecimento da especificação de compra.
O objetivo da RFI é levantar informações sobre soluções
disponíveis no mercado. Quanto à quantidade de
profissionais necessários, o fornecedor deverá informar,
considerando seu planejamento e experiência em
projetos semelhantes.
A definição do tipo de implantação ainda não definida.
Se
houver
uma
estratégia
recomendada
ou
condicionantes, solicitamos sua descrição como
comentário da resposta para permitir o melhor
estabelecimento da especificação de compra.
Por convenção a organização não permite o acesso
remoto em ambientes de produção, caso exista esta
imposição por parte do fornecedor é necessário expor na
resposta.
O detalhamento dos requisitos funcionais será
implementado pelo Banco do Brasil.
Os processos e metodologias de avaliação de controles
internos do Banco estão definidos e implantados. No
entanto, são sujeitos a alterações e a ferramenta
deve ser flexível de forma a permitir a revisão dos
processos e das metodologias.
A quantidade de usuários para treinamento, ao que o
item se refere, ainda não foi definida, devem ser
previstas no mínimo 2 turmas para cada assunto de
forma a permitir continuidade de trabalhos e ajustes de
agenda do grupo. Se houver quantidade de alunos
recomendadas por turma, favor explicitar na resposta.
A solução deverá integrar-se com sistemas implantados
na intranet corporativa e no ambiente de mainframe. A
identificação dos sistemas e suas linguagens, que
incluem essencialmente Java e Cobol, serão objeto da
etapa de requisitos. As técnicas a serem utilizadas estão
previstas nos requisitos não funcionais.
Pág. 6 de 7
Banco do Brasil S.A.
Consulta ao Mercado – RFI – Request for Information
Solução para Gestão de Avaliação dos Controles Internos
49
RF 1.2.5 e 1.2.6
É possível, porém há necessidade de se fazer uma
modelagem no sistema (não é necessário codificar).
Devemos considerar em nossa proposta?
Quantos relatórios o Banco do Brasil estima que deverão
ser gerados pela ferramenta quando implementados?
50
RF 1.8.1 a 1.8.18
51
RF-1.10.11
Com relação à questão RF-1.10.11, qual a melhor
definição para “criação layout de relatório”?
52
RF-2.2.1
A questão cita o termo “populações”. Qual a definição do
termo “populações”?
53
RF-2.2.1
Favor detalhar quais sistemas do Banco do Brasil serão
utilizados para obtenção das populações.
54
RF-2.2.1
55
RN-2.7.4
Ao citar “implementa integração”, o que se espera de tal
integração? Exportação e importação de conteúdo ou
sincronização automática?
Por favor, cite exemplos de “outros tipos de garantia”.
Sim.
Deverão ser criados os relatórios básicos em quantidade
a ser definida durante a implantação da ferramenta.
Outros relatórios deverão ser criados pela área gestora,
em quantidade indefinida, sem a necessidade de
codificação.
Criação de layout define-se como a possibilidade de
elaborar estruturas de relatório (modelos) de acordo
com as necessidades do Banco, permitindo diferentes
visões sem recorrer à codificação.
População: conjunto de eventos de uma base de dados
que atendem aos parâmetros estabelecidos para
verificação.
Ex.: De 500.000 operações de crédito contratadas em
determinado período, a população foco da verificação foi
composta por 350.000 operações contratadas com valor
maior ou igual a X e menor que Y, pertencentes às linhas
de crédito A, B e C. Para estas 350.000 serão aplicadas
as regras de sorteio de amostra.
Serão os sistemas internos do Banco, utilizados para
contratação e condução dos processos selecionados para
verificação.
Espera-se que seja possível realizar filtros nas bases de
dados dos sistemas a serem integrados e importar
o resultado para compor as populações.
Esta questão se destina a evidenciar serviços agregados
de garantia ou suporte que venham a diferenciar a
solução apresentada. Incluem-se também as garantias
com custo adicional, que devem ser descritas como
tarifadas
Pág. 7 de 7