Cadastre-se e receba o nosso conteúdo

Legislação

INSTRUÇÃO NORMATIVA CONJUNTA CGU/MP Nº 001, DE 10.05.2016

Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal.
CONTEÚDO

INSTRUÇÃO NORMATIVA CONJUNTA CGU/MP Nº 001, DE 10.05.2016

Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal.

O MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO e a CONTROLADORIA-GERAL DA UNIÃO, no uso das atribuições que lhes conferem respectivamente, o inciso X do art. 1º do Anexo I do Decreto nº 8.578, de 26 de novembro de 2015, e o §2º do art. 1º do Anexo I do Decreto nº 8.109, de 17 de setembro de 2013,

Resolvem:

Art. 1º Os órgãos e entidades do Poder Executivo federal deverão adotar medidas para a sistematização de práticas relacionadas à gestão de riscos, aos controles internos, e à governança.

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Seção I
Dos Conceitos

Art. 2º Para fins desta Instrução Normativa, considera-se:

I - accountability: conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações;

II - apetite a risco: nível de risco que uma organização está disposta a aceitar;

III - auditoria interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da Administração Pública se constituem na terceira linha ou camada de defesa das organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (primeira linha ou camada de defesa, executada por todos os níveis de gestão dentro da organização) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada por instâncias específicas, como comitês de risco e controles internos). Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos;

IV - componentes dos controles internos da gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento;

V - controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados:

a - execução ordenada, ética, econômica, eficiente e eficaz das operações;

b - cumprimento das obrigações de accountability;

c - cumprimento das leis e regulamentos aplicáveis; e

d - salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica;

VI - fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física;

VII - gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;

VIII - governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos;

IX - governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;

X - incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;

XI - mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência;

XII - Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;

XIII - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade;

XIV - risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

XV - risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco; e

XVI - Sistema de Controle Interno do Poder Executivo federal: compreende as atividades de avaliação do cumprimento das metas previstas no plano plurianual, da execução dos programas de governo e dos orçamentos da União e de avaliação da gestão dos administradores públicos federais, utilizando como instrumentos a auditoria e a fiscalização, e tendo como órgão central a Controladoria- Geral da União. Não se confunde com os controles internos da gestão, de responsabilidade de cada órgão e entidade do Poder Executivo federal.

CAPÍTULO II
DOS CONTROLES INTERNOS DA GESTÃO

Art. 3º Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público. Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos.

Esses controles são operados por todos os agentes públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal. A definição e a operacionalização dos controles internos devem levar em conta os riscos que se pretende mitigar, tendo em vista os objetivos das organizações públicas. Assim, tendo em vista os objetivos estabelecidos pelos órgãos e entidades da administração pública, e os riscos decorrentes de eventos internos ou externos que possam obstaculizar o alcance desses objetivos, devem ser posicionados os controles internos mais adequados para mitigar a probabilidade de ocorrência dos riscos, ou o seu impacto sobre os objetivos organizacionais.

§1º Os controles internos da gestão, independentemente do porte da organização, devem ser efetivos e consistentes com a natureza, complexidade e risco das operações realizadas.

§2º Os controles internos da gestão baseiam-se no gerenciamento de riscos e integram o processo de gestão.

§3º Os componentes dos controles internos da gestão e do gerenciamento de riscos aplicam-se a todos os níveis, unidades e dependências do órgão ou da entidade pública.

§4º Os dirigentes máximos dos órgãos e entidades devem assegurar que procedimentos efetivos de implementação de controles internos da gestão façam parte de suas práticas de gerenciamento de riscos.

§5º Controles internos da gestão adequados devem considerar todos os componentes definidos na Seção III e devem ser integrados ao processo de gestão, dimensionados e desenvolvidos na proporção requerida pelos riscos, de acordo com a natureza, complexidade, estrutura e missão do órgão ou da entidade pública.

Art. 4º Os controles internos da gestão devem integrar as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão.

Art. 5º Os controles internos da gestão não devem ser implementados de forma circunstancial, mas como uma série de ações que permeiam as atividades da organização. Essas ações se dão em todas as operações da organização de modo contínuo, inerentes à maneira pela qual o gestor administra a organização.

Art. 6º Além dos controles internos da gestão, os órgãos e entidades do Poder Executivo federal podem estabelecer instâncias de segunda linha (ou camada) de defesa, para supervisão e monitoramento desses controles internos. Assim, comitês, diretorias ou assessorias específicas para tratar de riscos, controles internos, integridade e compliance, por exemplo, podem se constituir em instâncias de supervisão de controles internos.

Art. 7º Os controles internos da gestão tratados neste capítulo não devem ser confundidos com as atividades do Sistema de Controle Interno relacionadas no artigo 74 da Constituição federal de 1988, nem com as atribuições da auditoria interna, cuja finalidade específica é a medição e avaliação da eficácia e eficiência dos controles internos da gestão da organização.

Seção I
Dos Princípios

Art. 8º Os controles internos da gestão do órgão ou entidade devem ser desenhados e implementados em consonância com os seguintes princípios:

I - aderência à integridade e a valores éticos;

II - competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão;

III - coerência e harmonização da estrutura de competências e reponsabilidades dos diversos níveis de gestão do órgão ou entidade;

IV - compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização;

V - clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização;

VI - clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos;

VII - mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos;

VIII - identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão;

IX - desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos;

X - adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão;

XI - definição de políticas e normas que suportem as atividades de controles internos da gestão;

XII - utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão;

XIII - disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão;

XIV- realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão; e

XV - comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração.

Seção II
Dos Objetivos dos Controles Internos da Gestão

Art. 9º Os controles internos da gestão devem ser estruturados para oferecer segurança razoável de que os objetivos da organização serão alcançados. A existência de objetivos claros é pré-requisito para a eficácia do funcionamento dos controles internos da gestão.

Art. 10. Os objetivos dos controles internos da gestão são:

I - dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade;

II - proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações;

III - assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;

IV - assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e

V - salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

§1º Ética se refere aos princípios morais, sendo pré-requisito e suporte para a confiança pública.

§2º As operações de um órgão ou entidade serão econômicas quando a aquisição dos insumos necessários se der na quantidade e qualidade adequadas, forem entregues no lugar certo e no momento preciso, ao custo mais baixo.

§3º As operações de um órgão ou entidade serão eficientes quando consumirem o mínimo de recursos para alcançar uma dada quantidade e qualidade de resultados, ou alcançarem o máximo de resultado com uma dada qualidade e quantidade de recursos empregados.

§4º As operações de um órgão ou entidade serão eficazes quando cumprirem objetivos imediatos, traduzidos em metas de produção ou de atendimento, de acordo com o estabelecido no planejamento das ações.

§5º As operações de um órgão ou entidade serão efetivas quando alcançarem os resultados pretendidos a médio e longo prazo, produzindo impacto positivo e resultando no cumprimento dos objetivos das organizações.

Seção III
Da Estrutura dos Controles Internos da Gestão

Art. 11. Na implementação dos controles internos da gestão, a alta administração, bem como os servidores da organização, deverá observar os componentes da estrutura de controles internos, a seguir descritos:

I - ambiente de controle: é a base de todos os controles internos da gestão, sendo formado pelo conjunto de regras e estrutura que determinam a qualidade dos controles internos da gestão. O ambiente de controle deve influenciar a forma pela qual se estabelecem as estratégias e os objetivos e na maneira como os procedimentos de controle interno são estruturados. Alguns dos elementos do ambiente de controle são:

a) integridade pessoal e profissional e valores éticos assumidos pela direção e pelo quadro de servidores, incluindo inequívoca atitude de apoio à manutenção de adequados controles internos da gestão, durante todo o tempo e por toda a organização;

b) comprometimento para reunir, desenvolver e manter colaboradores competentes;

c) filosofia da direção e estilo gerencial, com clara assunção da responsabilidade de supervisionar os controles internos da gestão;

d) estrutura organizacional na qual estejam claramente atribuídas responsabilidades e delegação de autoridade, para que sejam alcançados os objetivos da organização ou das políticas públicas; e

e) políticas e práticas de recursos humanos, especialmente a avaliação do desempenho e prestação de contas dos colaboradores pelas suas responsabilidades pelos controles internos da gestão da organização ou política pública;

II - avaliação de risco: é o processo permanente de identificação e análise dos riscos relevantes que impactam o alcance dos objetivos da organização e determina a resposta apropriada ao risco.

Envolve identificação, avaliação e resposta aos riscos, devendo ser um processo permanente;

III - atividades de controles internos: são atividades materiais e formais, como políticas, procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou detectivas (possibilitam a identificação da ocorrência dos eventos de risco), implementadas de forma manual ou automatizada. As atividades de controles internos devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle. São exemplos de atividades de controles internos:

a) procedimentos de autorização e aprovação;

b) segregação de funções (autorização, execução, registro, controle);

c) controles de acesso a recursos e registros;

d) verificações;

e) conciliações;

f) avaliação de desempenho operacional;

g) avaliação das operações, dos processos e das atividades; e

h) supervisão;

IV - informação e comunicação: as informações produzidas pelo órgão ou entidade devem ser apropriadas, tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas e comunicadas de forma que, em determinado prazo, permitam que os funcionários e servidores cumpram suas responsabilidades, inclusive a de execução dos procedimentos de controle interno. A comunicação eficaz deve fluir para baixo, para cima e através da organização, por todos seus componentes e pela estrutura inteira. Todos os servidores/funcionários devem receber mensagem clara da alta administração sobre as responsabilidades de cada agente no que concerne aos controles internos da gestão. A organização deve comunicar as informações necessárias ao alcance dos seus objetivos para todas as partes interessadas, independentemente no nível hierárquico em que se encontram;

V - monitoramento: é obtido por meio de revisões específicas ou monitoramento contínuo, independente ou não, realizados sobre todos os demais componentes de controles internos, com o fim de aferir sua eficácia, eficiência, efetividade, economicidade, excelência ou execução na implementação dos seus componentes e corrigir tempestivamente as deficiências dos controles internos:

a) monitoramento contínuo: é realizado nas operações normais e de natureza contínua da organização. Inclui a administração e as atividades de supervisão e outras ações que os servidores executam ao cumprir suas responsabilidades. Abrange cada um dos componentes da estrutura do controle interno, fortalecendo os controles internos da gestão contra ações irregulares, antiéticas, antieconômicas, ineficientes e ineficazes. Pode ser realizado pela própria Administração por intermédio de instâncias de conformidade, como comitês específicos, que atuam como segunda linha (ou camada) de defesa da organização; e

b) avaliações específicas: são realizadas com base em métodos e procedimentos predefinidos, cuja abrangência e frequência dependerão da avaliação de risco e da eficácia dos procedimentos de monitoramento contínuo. Abrangem, também, a avaliação realizada pelas unidades de auditoria interna dos órgãos e entidades e pelos órgãos do Sistema de Controle Interno (SCI) do Poder Executivo federal para aferição da eficácia dos controles internos da gestão quanto ao alcance dos resultados desejados.

Parágrafo único. Os componentes de controles internos da gestão definem o enfoque recomendável para a estrutura de controles internos nos órgãos e entidades do setor público e fornecem bases para sua avaliação. Esses componentes se aplicam a todos os aspectos operacionais de cada organização.

Seção IV
Das Responsabilidades

Art. 12. A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação.

Parágrafo único. Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.

CAPÍTULO III
DA GESTÃO DE RISCOS

Art. 13. Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa.

Seção I
Dos Princípios da Gestão de Riscos

Art. 14. A gestão de riscos do órgão ou entidade observará os seguintes princípios:

I - gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

II - estabelecimento de níveis de exposição a riscos adequados;

III - estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização;

IV - utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e

V - utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais.

Seção II
Dos Objetivos da Gestão de Riscos

Art. 15. São objetivos da gestão de riscos:

I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso;

II - aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e

III - agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

Seção III
Da Estrutura do Modelo de Gestão de Riscos

Art. 16. Na implementação e atualização do modelo de gestão de riscos, a alta administração, bem como seus servidores ou funcionários, deverá observar os seguintes componentes da estrutura de gestão de riscos:

I - ambiente interno: inclui, entre outros elementos, integridade, valores éticos e competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas de recursos humanos. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;

II- fixação de objetivos: todos os níveis da organização (departamentos, divisões, processos e atividades) devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução;

III - identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis;

IV - avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser avaliados quando à sua condição de inerentes e residuais;

V - resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposição a riscos previamente estabelecido pela organização em confronto com a avaliação que se fez do risco;

VI - atividades de controles internos: são as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos;

VII - informação e comunicação: informações relevantes devem ser identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos; e

VIII - monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos.

Parágrafo Único. Os gestores são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos e atividades que lhes são afetos. A alta administração deve avaliar os riscos no âmbito da organização, desenvolvendo uma visão de riscos de forma consolidada.

Seção IV
Da Política de Gestão de Riscos

Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos:

I - princípios e objetivos organizacionais;

II - diretrizes sobre:

a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização;

b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos;

c) como será medido o desempenho da gestão de riscos;

d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos;

e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e

f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e

III - competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade.

Nota LegisCompliance: Sobre o art. 17, vei de a Portaria CGU nº 915, de 12.04.2017.

Art. 18. Os órgãos e entidades, ao efetuarem o mapeamento e avaliação dos riscos, deverão considerar, entre outras possíveis, as seguintes tipologias de riscos:

a) riscos operacionais: eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas;

b) riscos de imagem/reputação do órgão: eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional;

c) riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade; e

d) riscos financeiros/orçamentários: eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.

Seção V
Das Responsabilidades

Art. 19. O dirigente máximo da organização é o principal responsável pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

Art. 20. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.

§1º O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.

§2º São responsabilidades do gestor de risco:

I - assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização;

II - monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; e

III - garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.

CAPÍTULO IV
DA GOVERNANÇA

Seção I
Dos Princípios

Art. 21. São princípios da boa governança, devendo ser seguidos pelos órgãos e entidades do Poder Executivo federal:

I - liderança: deve ser desenvolvida em todos os níveis da administração. As competências e responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a se obter resultados adequados;

II - integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho;

III - responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao melhor atendimento dos interesses da sociedade;

IV - compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade, prática indispensável à implementação da governança;

V - transparência: caracterizada pela possibilidade de acesso a todas as informações relativas à organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil. As informações devem ser completas, precisas e claras para a adequada tomada de decisão das partes interessas na gestão das atividades; e

VI - Accountability: obrigação dos agentes ou organizações que gerenciam recursos públicos de assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma voluntária, assumindo integralmente a consequência de seus atos e omissões.

§1º Para uma efetiva governança, os princípios devem ser aplicados de forma integrada, como um processo, e não apenas individualmente, sendo compreendidos por todos na organização.

§2º Os agentes da governança institucional de órgãos e entidades, por subsunção a tais princípios, devem contribuir para aumentar a confiança na forma como são geridos os recursos colocados à sua disposição, reduzindo a incerteza dos membros da sociedade sobre a forma como são geridos os recursos e as organizações públicas.

CAPÍTULO V
DO COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES

Art. 22. Riscos e controles internos devem ser geridos de forma integrada, objetivando o estabelecimento de um ambiente de controle e gestão de riscos que respeite os valores, interesses e expectativas da organização e dos agentes que a compõem e, também, o de todas as partes interessadas, tendo o cidadão e a sociedade como principais vetores.

Art. 23. Os órgãos e entidades do Poder Executivo federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles.

§1º No âmbito de cada órgão ou entidade, o Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo Assessor Especial de Controle Interno.

§2º São competências do Comitê de Governança, Riscos e Controles:

I - promover práticas e princípios de conduta e padrões de comportamentos;

II - institucionalizar estruturas adequadas de governança, gestão de riscos e controles internos;

III - promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos;

IV - garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público;

V - promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos;

VI - promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações;

VII - aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos;

VIII - supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público;

IX - liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade;

X - estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade;

XI - aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão;

XII - emitir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos; e

XIII - monitorar as recomendações e orientações deliberadas pelo Comitê.

CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS

Art. 24. A Controladoria-Geral da União, no cumprimento de suas atribuições institucionais, poderá:

I - avaliar a política de gestão de riscos dos órgãos e entidades do Poder Executivo federal;

II - avaliar se os procedimentos de gestão de riscos estão de acordo com a política de gestão de riscos; e

III - avaliar a eficácia dos controles internos da gestão implementados pelos órgãos e entidades para mitigar os riscos, bem como outras respostas aos riscos avaliados.

Art. 25. Esta Instrução Normativa Conjunta entra em vigor na data de sua publicação.

VALDIR MOYSÉS SIMÃO
Ministro do Planejamento, Orçamento e Gestão

LUIZ AUGUSTO FRAGA NAVARRO DE BRITTO FILHO
Ministro Chefe da Controladoria-Geral da União

(DOU de 11.05.2016 - págs. 14 a 17 - Seção 1)