Cadastre-se e receba o nosso conteúdo

Legislação

RESOLUÇÃO TCU Nº 287, DE 12.04.2017

Dispõe sobre a política de gestão de riscos do Tribunal de Contas da União e altera as Resoluções-TCU 266, de 30 de dezembro de 2014, que define a estrutura, as competências e a distribuição das funções de confiança das unidades da Secretaria do Tribunal de Contas da União; a 261, de 11 de junho de 2014, que dispõe sobre a Política de Segurança Institucional (PSI/TCU) e o Sistema de Gestão de Segurança Institucional do Tribunal de Contas da União (SGSIN/TCU) e a 247, de 7 de dezembro de 2011, que dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União.

RESOLUÇÃO TCU Nº 287, DE 12.04.2017

Dispõe sobre a política de gestão de riscos do Tribunal de Contas da União e altera as Resoluções-TCU 266, de 30 de dezembro de 2014, que define a estrutura, as competências e a distribuição das funções de confiança das unidades da Secretaria do Tribunal de Contas da União; a 261, de 11 de junho de 2014, que dispõe sobre a Política de Segurança Institucional (PSI/TCU) e o Sistema de Gestão de Segurança Institucional do Tribunal de Contas da União (SGSIN/TCU) e a 247, de 7 de dezembro de 2011, que dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União.

O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas atribuições constitucionais, legais e regulamentares, considerando que a atuação do Tribunal de Contas da União envolve riscos relacionados a incertezas ou ao não aproveitamento de oportunidades que podem impactar no alcance de resultados e no cumprimento da missão institucional, assim como na imagem e na segurança da instituição e de pessoas;

considerando que a sistematização da gestão de riscos em nível institucional aumenta a capacidade da organização para lidar com incertezas, estimula a transparência organizacional e contribui para o uso eficiente, eficaz e efetivo de recursos, bem como para o fortalecimento da reputação da instituição;

considerando as recomendações atinentes à gestão de riscos na administração pública federal constantes dos acórdãos nº 2.467/2013, 242/2015, 548/2015, 605/2015, 673/2015, 1.220/2015, 1273/2015, 1.294/2015, 2.213/2015 e 2.524/2015, todos do Plenário;

considerando as recomendações das melhores práticas internacionais que tratam da gestão de riscos corporativos, como o COSO/ERM e as normas INTOSAI GOV 9130/2007 e ABNT NBR ISO 31000:2009; e

considerando os estudos e os pareceres constantes do processo nº TC 026.076/2015-2, resolve:

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 1º A política de gestão de riscos do Tribunal de Contas da União observa o disposto nesta Resolução.

§ 1º A política de gestão de riscos integra o Sistema de Gestão de Riscos do Tribunal de Contas da União (SGR/TCU), o qual consiste no conjunto de instrumentos de governança e de gestão que suportam a concepção, implementação, monitoramento e melhoria contínua da gestão de riscos através de toda a organização e compreende, entre outros: política, estruturas organizacionais, planos, relacionamentos, responsabilidades, atividades, processos e recursos.

§ 2º Integram-se e alinham-se à política de gestão de riscos as normas internas que regulamentam aspectos específicos dessas atividades no âmbito do TCU.

Art. 2º Para os efeitos desta Resolução, entende-se por:

I - risco: possibilidade de que um evento afete o alcance de objetivos;

II - oportunidade: possibilidade de que um evento afete positivamente o alcance de objetivos;

III - risco-chave: risco que, em função do impacto potencial ao TCU, deve ser conhecido pela alta administração;

IV - gestão de riscos: atividades coordenadas para dirigir e controlar a organização no que se refere a riscos e a oportunidades;

V - gestor de risco: pessoa, papel ou estrutura organizacional com autoridade e responsabilidade para gerenciar um risco;

VI - objeto de gestão de riscos (objeto de gestão): qualquer processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional, assim como os recursos que dão suporte à realização dos objetivos do TCU;

VII - evento: um ou mais incidentes ou ocorrências, proveniente do ambiente interno ou externo, ou mudança em um conjunto específico de circunstâncias, podendo também consistir em algo não acontecer;

VIII - nível do risco: medida da importância ou significância do risco, considerando a probabilidade de ocorrência do evento e o seu impacto nos objetivos; e

IX - organização estendida: o próprio TCU e mais as organizações que participam da sua cadeia de valor, dentro e fora do governo, a exemplo do Congresso Nacional, entidades fiscalizadoras superiores, outros órgãos públicos e fornecedores.

CAPÍTULO II
DA GESTÃO DE RISCOS

Art. 3º A gestão de riscos no TCU tem como objetivo auxiliar a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos institucionais.

Art. 4º Constituem princípios da gestão de riscos no TCU:

I - fomentar a inovação e a ação empreendedora responsáveis;

II - considerar riscos e também oportunidades;

III - aplicar-se a qualquer tipo de atividade ou projeto;

IV - aplicar-se de forma contínua e integrada aos processos de trabalho;

V - basear-se nas melhores informações disponíveis;

VI - ser implantada por meio de ciclos de revisão e melhoria contínua;

VII - considerar a importância dos fatores humanos e culturais; e

VIII - ser dirigida, apoiada e monitorada pela alta administração.

Seção I
Das diretrizes para o processo

Art. 5º O processo de gestão de riscos no TCU contempla o estabelecimento do contexto, a identificação, a análise, a avaliação, o tratamento de riscos, a comunicação e consulta com partes interessadas, o monitoramento e a melhoria contínua.

§ 1º O estabelecimento do contexto consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos encontra-se inserido e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos.

§ 2º A identificação do risco compreende o reconhecimento e descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos, eventos, causas e consequências.

§ 3º A análise do risco refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do risco.

§ 4º A avaliação do risco envolve a comparação do nível do risco com critérios, a fim de determinar se o risco é aceitável.

§ 5º O tratamento do risco compreende o planejamento e a realização de ações para modificar o nível do risco.

§ 6º O monitoramento compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos de tratamento de riscos, os controles e outros assuntos de interesse.

§ 7º A comunicação e consulta refere-se à identificação das partes interessadas em objetos de gestão de riscos e obtenção, fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto ao sigilo.

§ 8º A melhoria contínua compreende o aperfeiçoamento ou ajuste de aspectos da gestão de riscos avaliados no monitoramento.

Art. 6º O processo de gestão de riscos no TCU deve observar:

I - o ambiente interno, o ambiente externo e a organização estendida;

II - os objetivos estratégicos, táticos e operacionais;

III - a razoabilidade da relação custo-benefício nas ações para tratamento de riscos;

IV - a comunicação tempestiva sobre riscos às partes interessadas; e

V - o acompanhamento dos riscos-chave pela alta administração.

VI - a necessidade de oportunizar a participação dos Ministros Relatores na gestão dos riscos que impactem os processos finalísticos

Parágrafo único. Nas atividades de planejamento, considera-se, sempre que couber, o risco como um dos critérios para seleção e priorização de iniciativas e ações.

Seção II
Das competências e responsabilidades

Art. 7º São instâncias responsáveis pelo Sistema de Gestão de Riscos do Tribunal de Contas da União:

I - o Plenário;

II - o Presidente;

III - a Comissão de Coordenação Geral (CCG);

IV - a Secretaria de Planejamento, Governança e Gestão (Seplan);

V - as unidades-básicas;

VI - o coordenador setorial de gestão de riscos;

VII - os gestores de risco; e

VIII - a Secretaria de Auditoria Interna (Seaud).

§ 1º Propostas de mudanças na política de gestão de riscos devem ser submetidas ao Plenário.

§ 2º Compete ao Presidente definir os limites de exposição a riscos de abrangência institucional.

§ 3º Compete à CCG avaliar propostas de mudança no SGR/TCU, apreciar propostas de limites de exposição a riscos de abrangência institucional, acompanhar a situação dos riscos-chave e determinar eventuais ações corretivas.

§ 4º A Seplan desempenha o papel de unidade central de coordenação e supervisão da gestão de riscos, sendo responsável por avaliar e propor mudanças no SGR/TCU, coordenar a implantação e a operação do SGR/TCU, monitorar riscos-chave e propor limites de exposição a riscos de abrangência institucional e assessorar o Presidente e a CCG em matérias relacionadas à gestão de riscos.

§5º Compete ao dirigente de cada unidade básica examinar propostas de alterações no SGR/TCU, monitorar riscos-chave e propor limites de exposição a riscos relacionados à sua área de atuação e designar coordenador setorial de gestão de riscos.

§ 6º Coordenador setorial de gestão de riscos é a pessoa ou unidade responsável por coordenar ações e promover a execução do SGR/TCU no âmbito da unidade básica a que se vincula, prover informações à unidade central, bem como apoiar os dirigentes e os gestores de riscos no desempenho das competências definidas nesta Resolução.

§ 7º Os dirigentes de unidade básica, de coordenação-geral, de unidade e chefes de gabinete são os gestores dos riscos relativos aos objetos de gestão sob sua responsabilidade.

§ 8º Compete ao gestor de risco executar as atividades do processo de gestão de riscos descritas no art. 5º para os objetos de gestão sob sua responsabilidade.

§ 9º Quando houver dúvida sobre a identificação do gestor de determinado risco no âmbito interno das unidades citadas no § 7º, cabe à chefia comum imediata decidir.

§ 10. Na hipótese de dúvida quanto à responsabilidade pela gestão de determinado risco entre unidades representadas na Comissão de Coordenação Geral (CCG), cabe a esse colegiado decidir.

§ 11. Ato do Presidente pode designar outros gestores de riscos.

§ 12. Compete à Seaud avaliar o SGR/TCU, especialmente quanto aos seguintes aspectos: adequação e suficiência dos mecanismos de gestão de riscos estabelecidos, eficácia da gestão de riscos chave e conformidade das atividades executadas à política de gestão de riscos.

CAPÍTULO III
DAS ALTERAÇÕES EM RESOLUÇÕES

Seção I
Das alterações na Resolução-TCU 284, de 30 de dezembro de 2016.

Art. 8º Fica alterado o inciso I do art. 87 da Resolução-TCU nº 266, de 2014, que passa a vigorar com a seguinte redação:

"Art. 86. Compete à CCG:

I - assessorar o Presidente do TCU na formulação de diretrizes anuais, de políticas de gestão de pessoas, de tecnologia da informação, de riscos e de segurança institucional, assim como em outras matérias que necessitem da cooperação intersetorial das unidades cujos dirigentes compõem a CCG;"

Seção II

Das alterações na Resolução-TCU nº 261, de 11 de junho de 2014

Art. 9º. Fica alterado o § 1º do art. 3º da Resolução-TCU nº 261, de 2014, que passa a vigorar com a seguinte redação:

"Art. 3º (...)

"§ 1º A PSI/TCU é integrada pelas Políticas Corporativas de Segurança da Informação, Segurança Física e Patrimonial, Continuidade de Negócios e Segurança do Trabalho."

Art. 10. Fica excluído o inciso V do art. 7º da Resolução-TCU nº 261, de 2014.

Art. 11. Fica alterado o § 7º do art. 7º da Resolução-TCU nº 261, de 2014, que passa a vigorar com a seguinte redação:

"Art. 7º. (...)

§ 7º A gestão de riscos à segurança institucional tem por objetivo identificar, analisar, avaliar, dar tratamento adequado, comunicar e monitorar os riscos relacionados às dimensões que integram a segurança institucional e observa a política de gestão de riscos do Tribunal;"

Art. 12. Fica alterado o art. 24 da Resolução-TCU nº 261, de 2014, que passa a vigorar com a seguinte redação:

"Art. 24. As diretrizes inerentes às Políticas Corporativas de Continuidade de Negócios e de Segurança do Trabalho deverão ser oportunamente consolidadas na presente Política, com base em estudos e formulações específicos realizados pelas unidades e colegiados da Secretaria do Tribunal competentes, com posterior exame pela CCG."

Seção III
Das alterações na Resolução-TCU nº 247, de 7 de dezembro de 2011

Art. 13. Fica incluído o inciso IX no art. 10 da Resolução- TCU nº 247, de 2011, que passa a vigorar com a seguinte redação:

"Art. 10. (...)

IX - coordenar a formulação de estratégias e diretrizes de gestão de riscos de TI, de forma alinhada à política de gestão de riscos do TCU."

CAPÍTULO IV
DAS DISPOSIÇÕES TRANSITÓRIAS E FINAIS

Art. 14. A política de gestão de riscos do TCU será revista a cada 5 (cinco) anos ou sempre que necessário, no intuito de mantê-la atualizada diante de mudanças no ambiente interno ou externo, a partir de proposta elaborada pela Seplan.

Art. 15. Fica o Presidente do Tribunal autorizado a expedir os atos necessários à regulamentação desta Resolução e dirimir os casos omissos.

Art. 16. Esta Resolução entra em vigor na data de sua publicação.

TCU, Sala das Sessões Ministro Luciano Brandão Alves de Souza, em 12 de abril de 2017.

RAIMUNDO CARREIRO
Presidente do Tribunal

(DOU de 19.04.2017 – págs. 175 e 176 – Seção 1)