PORTARIA CGU Nº 915, DE 12.04.2017
CONTEÚDO
PORTARIA CGU Nº 915, DE 12.04.2017
Institui a Política de Gestão de Riscos - PGR do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.
O MINISTRO DE ESTADO DA TRANSPARÊNCIA, FISCALIZAÇÃO E CONTROLADORIA-GERAL DA UNIÃO, no uso das atribuições que lhe confere o inciso I do parágrafo único do art. 87 da Constituição Federal, e considerando o disposto no art. 17 da Instrução Normativa Conjunta CGU/MP nº 01, de 10 de maio de 2016,
Resolve:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Política de Gestão de Riscos - PGR, que estabelece a Gestão de Riscos do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.
Art. 2º Para fins desta Portaria, considera-se:
I - processo: conjunto de ações e atividades inter-relacionadas, que são executadas para alcançar produto, resultado ou serviço predefinido;
II - governança: combinação de processos e estruturas implantadas pela alta administração da organização, para informar, dirigir, administrar, avaliar e monitorar atividades organizacionais, com o intuito de alcançar os objetivos e prestar contas dessas atividades para a sociedade;
III - objetivo organizacional: situação que se deseja alcançar de forma a se evidenciar êxito no cumprimento da missão e no atingimento da visão de futuro da organização;
IV - meta: alvo ou propósito com que se define um objetivo a ser alcançado;
V - risco: possibilidade de ocorrência de um evento que tenha impacto no atingimento dos objetivos da organização;
VI - risco inerente: risco a que uma organização está exposta sem considerar quaisquer medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
VII - risco residual: risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento do risco;
VIII - gestão de riscos: arquitetura (princípios, objetivos, estrutura, competências e processo) necessária para se gerenciar riscos eficazmente;
IX - gerenciamento de risco: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações e fornecer segurança razoável no alcance dos objetivos organizacionais;
X - controle interno da gestão: processo que engloba o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável de que os objetivos organizacionais serão alcançados;
XI - medida de controle: medida aplicada pela organização para tratar os riscos, aumentando a probabilidade de que os objetivos e as metas organizacionais estabelecidos sejam alcançados; e
XII - apetite a risco: nível de risco que uma organização está disposta a aceitar.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º A Gestão de Riscos da CGU deverá observar os seguintes princípios: Ministério da Transparência, Fiscalização e Controladoria-Geral da União.
I - agregar valor e proteger o ambiente interno da CGU;
II - ser parte integrante dos processos organizacionais;
III - subsidiar a tomada de decisões;
IV - abordar explicitamente a incerteza;
V - ser sistemática, estruturada e oportuna;
VI - ser baseada nas melhores informações disponíveis;
VII - considerar fatores humanos e culturais;
VIII - ser transparente e inclusiva;
IX - ser dinâmica, iterativa e capaz de reagir a mudanças;
X - apoiar a melhoria contínua da CGU; e
XI - estar integrada às oportunidades e à inovação.
CAPÍTULO III
DOS OBJETIVOS
Art. 4º A Gestão de Riscos tem por objetivos:
I - aumentar a probabilidade de atingimento dos objetivos da CGU;
II - fomentar uma gestão proativa;
III - atentar para a necessidade de se identificar e tratar riscos em toda a CGU;
IV - facilitar a identificação de oportunidades e ameaças;
V - prezar pelas conformidades legal e normativa dos processos organizacionais;
VI - melhorar a prestação de contas à sociedade;
VII - melhorar a governança;
VIII - estabelecer uma base confiável para a tomada de decisão e o planejamento;
IX - melhorar o controle interno da gestão;
X - alocar e utilizar eficazmente os recursos para o tratamento de riscos;
XI - melhorar a eficácia e a eficiência operacional;
XII - melhorar a prevenção de perdas e a gestão de incidentes;
XIII - minimizar perdas;
XIV - melhorar a aprendizagem organizacional; e
XV - aumentar a capacidade da organização de se adaptar a mudanças.
Parágrafo único. A Gestão de Riscos deverá estar integrada aos processos de planejamento estratégico, tático e operacional, à gestão e à cultura organizacional da CGU.
Art. 5º O gerenciamento de riscos deverá ser implementado de forma gradual em todas as áreas da CGU, sendo priorizados os processos organizacionais que impactam diretamente no atingimento dos objetivos estratégicos definidos no Planejamento Estratégico da CGU.
Parágrafo único. Os ocupantes de cargo do Grupo-Direção e Assessoramento Superiores - DAS, de nível 5 ou superior, e equivalentes, e os Superintendentes das Controladorias Regionais da União nos Estados poderão implementar o processo de gerenciamento de riscos em seus processos organizacionais, independente de priorização prévia, desde que a implementação esteja de acordo com esta PGR.
CAPÍTULO IV
DA OPERACIONALIZAÇÃO
Art. 6º A operacionalização da Gestão de Riscos deverá ser descrita pela Metodologia de Gestão de Riscos da CGU, que deverá contemplar, no mínimo, as seguintes etapas:
I - entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;
II - identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;
III - análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
IV - avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
V - priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa anterior;
VI - definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas; e
VII - comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento de riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria Gestão de Riscos, com vistas a sua melhoria.
Parágrafo único. A Metodologia de Gestão de Riscos deverá contemplar critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos.
CAPÍTULO V
DAS COMPETÊNCIAS
Art. 7º Compete ao Comitê de Gestão Estratégica, criado pelo art. 3º da Portaria nº 1.308, de 22 de maio de 2015:
I - definir e atualizar as estratégias de implementação da Gestão de Riscos, considerando os contextos externo e interno;
II - definir os níveis de apetite a risco dos processos organizacionais;
III - definir os responsáveis pelo gerenciamento de riscos dos processos organizacionais;
IV - definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos para cada um dos processos organizacionais;
V - aprovar as respostas e as respectivas medidas de controle a serem implementadas nos processos organizacionais;
VI - aprovar a Metodologia de Gestão de Riscos e suas revisões;
VII - aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;
VIII - monitorar a evolução de níveis de riscos e a efetividade das medidas de controle implementadas;
IX - avaliar o desempenho da arquitetura de Gestão de Riscos e fortalecer a aderência dos processos à conformidade normativa;
X - definir indicadores de desempenho para a Gestão de Riscos, alinhados com os indicadores de desempenho da CGU;
XI - garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores;
XII - garantir o alinhamento da gestão de riscos aos padrões de ética e de conduta, em conformidade com o Programa de Integridade da CGU; e
XIII - supervisionar a atuação das demais instâncias da Gestão de Riscos.
Art. 8º Compete ao Comitê Gerencial, criado pelo art. 5º da Portaria nº 1.308, de 22 de maio de 2015:
I - auxiliar o Comitê de Gestão Estratégica na definição e nas atualizações da estratégia de implementação da Gestão de Riscos, considerando os contextos externo e interno;
II - auxiliar na definição dos níveis de apetite a risco dos processos organizacionais;
III - auxiliar na definição dos responsáveis pelo gerenciamento de riscos dos processos organizacionais;
IV - auxiliar na definição da periodicidade máxima do ciclo do processo de gerenciamento de riscos para cada um dos processos organizacionais;
V - auxiliar na aprovação das respostas e das respectivas medidas de controle a serem implementadas nos processos organizacionais;
VI - avaliar a proposta de Metodologia de Gestão de Riscos e suas revisões;
VII - avaliar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;
VIII - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;
IX - auxiliar na avaliação do desempenho e da conformidade legal e normativa da Gestão de Riscos; e
X - auxiliar na definição dos indicadores de desempenho para a Gestão de Riscos, alinhados com os indicadores de desempenho da CGU.
Art. 9º Compete ao Núcleo de Gestão de Riscos:
I - propor a Metodologia de Gestão de Riscos e suas revisões;
II - definir os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;
III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;
IV - dar suporte à identificação, análise e avaliação dos riscos dos processos organizacionais selecionados para a implementação da Gestão de Riscos;
V - consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los ao Comitê Gerencial e ao Comitê de Gestão Estratégica;
VI - oferecer capacitação continuada em Gestão de Riscos para os servidores da CGU;
VII - elaborar Plano de Comunicação de Gestão de Riscos;
VIII - medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;
IX - construir e propor ao Comitê Gerencial e ao Comitê de Gestão Estratégica os indicadores de desempenho para a Gestão de Riscos, alinhados com os indicadores de desempenho da CGU; e
X - requisitar aos responsáveis pelo gerenciamento de riscos dos processos organizacionais as informações necessárias para a consolidação dos dados e a elaboração dos relatórios gerenciais.
Art. 10. Compete aos responsáveis pelo gerenciamento de riscos dos processos organizacionais:
I - identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define esta PGR;
II - propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;
III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas nos processos organizacionais sob sua responsabilidade;
IV - informar o Núcleo de Gestão de Riscos sobre mudanças significativas nos processos organizacionais sob sua responsabilidade;
V - responder às requisições do Núcleo de Gestão de Riscos; e
VI - disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade a todos os níveis da CGU e demais partes interessadas.
Parágrafo único. Os responsáveis pelo gerenciamento de riscos dos processos organizacionais devem ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.
Art. 11. Compete a todos os servidores da CGU o monitoramento da evolução dos níveis de riscos e da efetividade das medidas de controles implementadas nos processos organizacionais em que estiverem envolvidos ou que tiverem conhecimento.
Parágrafo único. No monitoramento de que trata o caput deste artigo, caso sejam identificadas mudanças ou fragilidades nos processos organizacionais, o servidor deverá reportar imediatamente o fato ao responsável pelo gerenciamento de riscos do processo em questão.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 12. O Comitê de Gestão Estratégica, o Comitê Gerencial, o Núcleo de Gestão de Riscos e os responsáveis pelo gerenciamento de riscos dos processos organizacionais deverão manter fluxo regular e constante de informações entre si.
Art. 13. A Diretoria de Planejamento e Desenvolvimento Institucional - DIPLAD absorverá as responsabilidades do Núcleo de Gestão de Riscos até que sejam designados servidores e estrutura própria.
Art. 14. As iniciativas relacionadas à Gestão de Riscos existentes na CGU anteriormente à publicação desta Portaria deverão ser gradualmente alinhadas à Metodologia de Gestão de Riscos aprovada pelo Comitê de Gestão Estratégica.
§1º A Metodologia de Gestão de Riscos deverá ser aprovada em até 12 (doze) meses após a publicação desta PGR.
§2º O alinhamento de que trata o caput deste artigo deve ser feito no prazo máximo de 12 (doze) meses após a aprovação da Metodologia de Gestão de Riscos.
Art. 15 Os casos omissos ou as excepcionalidades serão resolvidos pelo Comitê de Gestão Estratégica.
Art. 16. Esta Portaria entra em vigor na data de sua publicação.
TORQUATO JARDIM
(DOU de 13.04.2017 - págs. 66 e 67 - Seção 1)