PORTARIA MDIC/SEI Nº 1.001, DE 30.06.2017
CONTEÚDO
PORTARIA MDIC/SEI Nº 1.001, DE 30.06.2017
Dispõe sobre a Política de Gestão de Riscos do Ministério da Indústria, Comércio Exterior e Serviços - MDIC.
O MINISTRO DE ESTADO DA INDÚSTRIA, COMÉRCIO EXTERIOR E SERVIÇOS, SUBSTITUTO, no uso da atribuição que lhe confere o art. 87, parágrafo único, inciso II, da Constituição e considerando o disposto no art. 17 da Instrução Normativa Conjunta CGU/MP nº 01, de 10 de maio de 2016, resolve:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
SEÇÃO I
DAS DISPOSIÇÕES INICIAIS
Art. 1º. Instituir a Política de Gestão de Riscos, no âmbito do Ministério da Indústria, Comércio Exterior e Serviços - MDIC, com o objetivo de definir conceitos, fixar princípios e diretrizes, estabelecer a estrutura de gestão de risco, suas atribuições e responsabilidades, e orientar a identificação, a análise, a avaliação, o tratamento, o monitoramento, a análise crítica e a comunicação dos riscos institucionais.
SEÇÃO II
DOS CONCEITOS
Art. 2º. Para os fins do disposto nesta Portaria, considera-se:
I. Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos da organização, medida em termos de impacto e probabilidade;
a. Risco inerente: risco ao qual a organização está exposta sem considerar ações gerenciais que possam alterar a probabilidade de sua ocorrência ou seu impacto;
b. Risco residual: risco ao qual a organização está exposta após a implementação de ações gerenciais para o tratamento do risco;
II. Probabilidade: chances de o risco se materializar no futuro previsível;
III. Impacto: consequências da materialização do risco para os resultados do programa, projeto ou processo afetado;
IV. Apetite a risco: nível de risco que uma organização está disposta a aceitar;
V. Fraude: atos que, destituídos de ameaça e do uso de violência ou força física, sejam caracterizados pela desonestidade, dissimulação ou quebra de confiança;
VI. Gestão de riscos: arquitetura (princípios, objetivos, estrutura, competências e processo) necessária para se gerenciar riscos eficazmente;
VII. Gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;
VIII. Componentes dos controles internos da gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento;
IX. Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os objetivos organizacionais serão alcançados;
X. Accountability: conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações;
XI. Governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos;
XII. Processo: conjunto de atividades interligadas e organizadas de maneira a usar insumos pré-determinados para a produção regular de um resultado desejado;
XIII. Projeto: empreendimento delimitado no tempo pelo qual se reúnem esforços em prol da produção de um resultado singular;
XIV. Gestores: são os ocupantes de cargos de Direção e Assessoramento Superior (DAS) do tipo 101 ou de Funções Comissionadas do Poder Executivo (FCPE) do tipo 101.
SEÇÃO III
DAS PREMISSAS E DIRETRIZES
Art. 3º. São premissas da Política de Gestão de Riscos do MDIC:
I. O alinhamento ao Planejamento Estratégico do órgão,
II. A sistematização e estruturação da gestão de riscos,
III. O comprometimento dos gestores e envolvimento dos servidores,
IV. A integração aos processos organizacionais de tomada de decisões.
Art. 4º. São diretrizes para o alcance dos objetivos da Política de Gestão de Riscos do MDIC:
I. O comprometimento da alta administração quanto à implementação da Política de Gestão de Riscos, mediante a definição da estrutura adequada, mecanismos de controle interno e de comunicação das ações adotadas no âmbito do MDIC;
II. A construção e fortalecimento do ambiente de controle interno necessário para a implementação da gestão de riscos;
III. O alinhamento aos objetivos organizacionais constantes do Planejamento Estratégico e a necessária integração das áreas e respectivos processos;
IV. A realização de ações contínuas voltadas à internalização, capacitação e divulgação na implementação da gestão de riscos;
V. O estímulo ao desenvolvimento de um ambiente baseado no respeito a princípios éticos e direcionado ao incentivo de ações de integridade interna e externamente;
VI. A utilização de uma linguagem que facilite o entendimento e a integração da gestão de riscos em todos os níveis organizacionais.
SEÇÃO IV
DOS PRINCÍPIOS
Art. 5º. A Gestão de Riscos do MDIC seguirá os seguintes princípios:
I. Uso de linguagem comum em prol da transparência e inclusão;
II. Utilização das melhores informações disponíveis na abordagem às incertezas de forma oportuna e tempestiva;
III. Aplicação de boas práticas de governança corporativa para qualificação do processo de tomada de decisões;
IV. Estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização;
V. Melhoria contínua de processos e da gestão de projetos;
VI. Priorização da essência sobre a forma;
VII. Consideração dos fatores humanos e culturais.
SEÇÃO V
DOS OBJETIVOS
Art. 6º. A implementação da Gestão de Riscos do MDIC observará os seguintes objetivos:
I. Aumentar a probabilidade de alcance dos objetivos, reduzindo os riscos a níveis aceitáveis;
II. Fomentar uma gestão proativa, mediante o aprimoramento da governança e dos controles internos;
III. Atentar para a necessidade de identificar e tratar riscos em todo o órgão;
IV. Facilitar a identificação de oportunidades e ameaças;
V. Prezar pela conformidade normativa dos processos organizacionais;
VI. Ampliar mecanismos de accountability e de prestação de contas à sociedade, incentivando em âmbito interno e externo, o fortalecimento de ações relacionadas à observância de práticas voltadas à ética e à integridade;
VII. Alocar e utilizar eficazmente os recursos para a implementação da gestão de riscos;
VIII. Buscar a eficácia e a eficiência operacional, mediante a melhoria dos processos de planejamento e de tomada de decisão;
IX. Atuar com dinamismo, interatividade e incrementar a capacidade de reagir a mudanças;
Parágrafo único. A Gestão de Riscos deve ter como pressuposto a integração de suas ações no âmbito estratégico, tático e operacional para consecução de seus programas e respectivas políticas, na gestão e na cultura organizacional do MDIC.
CAPÍTULO II
DA ESTRUTURAÇÃO E OPERACIONALIZAÇÃO DA GESTÃO DE RISCOS
SEÇÃO VI
DA ESTRUTURA DE GESTÃO DE RISCOS
Art. 7º. São elementos estruturais da Gestão de Riscos do MDIC:
I. A Política de Gestão de Riscos;
II. O Comitê de Governança Estratégica,
III. O Processo de Gerenciamento de Riscos.
Art. 8º. A Política de Gestão de Riscos será revisada periodicamente em intervalo não superior a 3 (três) anos, divulgando-se a versão vigente no sítio eletrônico do Ministério.
Art. 9º. O Comitê de Governança Estratégica é responsável pela supervisão da implementação da Política de Riscos do MDIC.
SEÇÃO VII
DO PROCESSO DE GERENCIAMENTO DE RISCOS
Art. 10. O Processo de Gerenciamento de Riscos tem caráter contínuo e consiste no estabelecimento de contexto, na avaliação de riscos e no tratamento de riscos, interligadas essas atividades pelo monitoramento e análise crítica e amparados em fluxo de comunicação e consulta entre os interlocutores.
Art. 11. As seguintes fases compõem o processo de gerenciamento de riscos:
I. Estabelecimento de contexto - definição dos parâmetros externos e internos essenciais à execução dos objetivos institucionais a partir do processo ou projeto objeto do gerenciamento de riscos;
II. Identificação de riscos - atividade contínua ao longo do processo ou projeto e envolve o reconhecimento e a descrição do risco e caracterização de suas causas e possíveis consequências aos objetivos institucionais.
III. Análise de riscos - estimação da probabilidade e do impacto dos eventos identificados como riscos aos objetivos institucionais
IV. Avaliação de riscos - análise qualitativa e, sempre que possível, quantitativa dos riscos aos quais um processo ou projeto está exposto de forma consolidada;
V. Tratamento de riscos - mitigar, eliminar, transferir ou aceitar o risco ao qual estejam vinculadas consequências negativas, explorar o risco ao qual estejam vinculadas consequências positivas ou evitar o risco, pela decisão de não iniciar ou de descontinuar atividade que lhe dê origem;
VI. Monitoramento e análise crítica, incluindo a avaliação de controles internos - revisão e análise periódicas das demais etapas do processo de gerenciamento, com o fim de aprimora-lo pela correção de falhas e identificar boas práticas que aperfeiçoem a Gestão de Riscos;
VII. Comunicação e consulta - fluxo de troca de informações entre as partes envolvidas no processo de gerenciamento de riscos, a fim de assegurar a compreensão necessária à tomada de decisão envolvendo os riscos.
§ 1º. Os riscos avaliados abaixo do limite mínimo fixado pelo Comitê de Governança Estratégica poderão, a cargo do gestor, ser monitorados sem a adoção de ações de tratamento.
§ 2º. Subsistindo risco residual avaliado acima do limite máximo fixado pelo Comitê de Governança Estratégica, sem que novos ou melhores controles possam ajustar tal risco ao apetite de risco da organização, o gestor, em conjunto com o dirigente máximo da unidade e, a critério deste último, com o Secretário Executivo do Ministério, decidirão pela manutenção ou suspensão de atividades no processo ou projeto, prevalecendo tal decisão até que o Comitê delibere sobre a questão.
SEÇÃO VIII
DAS ATRIBUIÇÕES E RESPONSABILIDADES
Art. 12. As competências do Comitê de Governança Estratégica anteriormente fixadas no artigo 2º da Portaria nº 08, de 18 de janeiro de 2017, passam a ser as seguintes:
I. Institucionalizar o processo de planejamento estratégico do MDIC;
II. Estabelecer diretrizes, objetivos, iniciativas e indicadores estratégicos;
III. Monitorar a implementação e avaliar os resultados das ações previstas no planejamento estratégico;
IV. Revisar periodicamente a estratégia ministerial;
V. Empreender ações no sentido de buscar os meios e os recursos suficientes e necessários para execução e sustentação dos projetos relacionados à estratégia ministerial;
VI. Instituir, a seu critério, comitês ou grupos de trabalho para assessoramento em temas específicos.
VII. Aprovar a estratégia de implementação da Gestão de Riscos, considerando os contextos externo e interno;
VIII. Estabelecer metodologia de gestão de riscos aplicável ao Ministério, nível de risco a partir do qual os gestores adotarão ações de tratamento de riscos e o apetite a risco da organização;
IX. Supervisionar o processo de gerenciamento de riscos levando em consideração relatório evolutivo da aplicação de tal processo;
X. Monitorar o aprimoramento da governança, da gestão de riscos e dos controles internos decorrente de recomendações e orientações do próprio Comitê e suas instâncias, bem como dos órgãos de controle;
XI. Liderar e supervisionar a institucionalização de estruturas de governança, gestão de riscos e controles internos adequadas ao desenvolvimento do ambiente de controle;
XII. Fomentar o desenvolvimento contínuo dos agentes públicos, a comunicação e a adoção de boas práticas de governança, compliance, gestão de riscos e controles internos;
XIII. Estimular a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público;
XIV. Promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos;
XV. Atuar em prol da desburocratização, simplificação administrativa, modernização da gestão pública e melhoria da prestação dos serviços públicos.
§ 1º. A SIGE apoiará o Comitê na definição da estratégia de implementação da Gestão de Riscos a ser aprovada e suas atualizações.
§ 2º. A AECI apoiará o Comitê na definição do apetite a risco da organização e na avaliação do desempenho e da conformidade normativa da Gestão de Riscos.
§ 3º. O Comitê de Governança Estratégica atuará também na qualidade de comitê permanente para desburocratização, com o objetivo de identificar as ações e os projetos de simplificação administrativa, modernização da gestão pública e melhoria da prestação dos serviços públicos às empresas, aos cidadãos e à sociedade civil, nos termos do Art. 1º, § 2º do Decreto s/nº de 07/03/2017.
Art. 13. O Comitê de Governança Estratégica poderá instituir comitês temáticos associados ao tema de gestão de riscos, inclusive para tratar da implementação da gestão de riscos no Ministério.
Nota LegisCompliance: Arts. 12 e 13 revogados pela Portaria MDIC/SEI nº 504, de 19.03.2018.
Art. 14. Os gestores do MDIC deverão aplicar a Política de Gestão de Riscos do MDIC e operacionalizar o processo de gerenciamento de riscos.
§ 1º. A aplicação da Política de Gestão de Riscos do MDIC se mantém em relação ao que couber ao Ministério quando sua atuação for conjunta com outros órgãos ou entidades.
§ 2º. A operacionalização do processo de gerenciamento de riscos se dará a partir do estabelecimento da metodologia aplicável ao Ministério e será gradual, seguindo estratégia aprovada pelo Comitê de Governança Estratégica.
Art. 15. Os gestores do MDIC são responsáveis por:
I. Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos do MDIC;
II. Coordenar as atividades necessárias para execução e registro das etapas do processo de gerenciamento de riscos;
III. Promover a contínua identificação, análise e avaliação de riscos pelos integrantes do respectivo processo ou projeto;
IV. Designar agente encarregado do detalhamento e registro das atividades de gestão de risco desenvolvidas em processo ou projeto;
V. Implementar os controles necessários ao tratamento de riscos em processo ou projeto, respeitando os parâmetros fixados pelo Comitê de Governança Estratégica e os princípios da razoabilidade e da economicidade;
VI. Monitorar o processo ou projeto a fim de que os controles adotados sejam suficientes para maximizar as probabilidades de sucesso das atividades;
VII. Dar ciência a sua chefia imediata, ao dirigente máximo da unidade e às áreas de apoio (Subsecretaria de Informação e Gestão Estratégica e Assessoria Especial de Controle Interno) na identificação, avaliação, tratamento e monitoramento de riscos, acerca de qualquer alteração nas condições do processo ou do projeto que impliquem incremento do nível de risco residual.
Art. 16. A Subsecretaria de Informação e Gestão Estratégica - SIGE apoiará os gestores do MDIC na fase de avaliação de riscos, compartilhando ferramentas e técnicas para identificação, análise e determinação do nível de risco.
§ 1º. Priorizar-se-á os processos e projetos vinculados ao Planejamento Estratégico do órgão no apoio prestado pela SIGE.
Art. 17. A Assessoria Especial de Controle Interno - AECI apoiará os gestores do MDIC, acompanhando o tratamento de riscos, monitorando e avaliando os controles adotados, e orientando tais gestores para maximizar a efetividade dos controles e também manter o risco residual do projeto ou processo em nível aceitável ao Ministério.
Parágrafo Único. O apoio de que trata o presente artigo contempla, sempre que necessário, o desenvolvimento de atividades de capacitação aos agentes no MDIC.
Art. 18. Cabe à SIGE e à AECI elaborar relatório conjunto evolutivo da aplicação de melhorias e controles nos processos mapeados e projetos modelados com a utilização das ferramentas de gestão de riscos.
§ 1º A SIGE se responsabilizará pelo relato a respeito das fases de estabelecimento de contexto, identificação, análise e avaliação de riscos.
§ 2º A AECI se responsabilizará pelo relato a respeito do tratamento de riscos, e das etapas de monitoramento e análise crítica.
Art. 19. Os agentes públicos em atuação no MDIC auxiliarão na identificação, análise e avaliação de riscos nos processos e projetos organizacionais em que estiverem envolvidos ou de que tiverem conhecimento, dando ciência ao superior hierárquico imediato ou ao responsável pelo processo ou projeto dos elementos que importem novos riscos ou que alterem a probabilidade e/ou o impacto de riscos já existentes.
CAPÍTULO III
DISPOSIÇÕES FINAIS
Art. 20. As iniciativas já existentes quanto à temática de gestão de risco no âmbito do MDIC até a data da publicação desta Política deverão ser informadas pelos respectivos responsáveis à SIGE e à AECI, para fins de análise e avaliação de sua incorporação, se for o caso, na implementação da Gestão de Riscos no Ministério.
§ 1º. As atividades desenvolvidas no âmbito dos programas e projetos informados transcorrerão em paralelo à estruturação do processo de gerenciamento de riscos no Ministério e fornecerão subsídios adicionais à aplicação desta Política e à adoção do mencionado gerenciamento nos demais processos e projetos do MDIC.
§ 2º. Os gestores dos programas e projetos enquadrados no caput do presente artigo deverão adotar providências para convergir tais iniciativas à Metodologia de Gestão de Riscos resultante desta Política em até 18 (dezoito) meses contados a partir da divulgação da referida metodologia.
Art. 21. A Metodologia de Gestão de Riscos deverá ser aprovada em até 18 (dezoito) meses após a publicação desta Política de Gestão de Riscos.
Art. 22. Durante o processo de implementação da Gestão de Riscos, o Ministério poderá incorporar procedimentos e práticas emanadas pelo Ministério do Planejamento, Desenvolvimento e Gestão, haja vista o disposto no inc. VII do art. 1º do Anexo I do Decreto nº 8.818/2016.
Art. 23. Na operacionalização do processo de gerenciamento de riscos devem ser priorizados os processos e projetos que impactam diretamente no atingimento dos objetivos estratégicos definidos no Planejamento Estratégico do Ministério.
Art. 24. Esta Portaria entra em vigor na data de sua publicação.
MARCOS JORGE DE LIMA
(DOU de 03.07.2017 - págs. 39 e 40 - Seção 1)