Legislação Correlata - Portaria 251 de 31/05/2019
Legislação Correlata - Portaria 250 de 31/05/2019
(Revogado(a) pelo(a) Portaria 207 de 12/05/2023)
(Revogado(a) pelo(a) Portaria 207 de 12/05/2023)
(Revogado(a) pelo(a) Portaria 207 de 12/05/2023)
Aprova a Política de Gestão de Riscos da Procuradoria-Geral do Distrito Federal e dá outras providências.
A PROCURADORA-GERAL DO DISTRITO FEDERAL, no exercício das atribuições que lhe confere o art. 6º, incisos I, V e XVII, da Lei Complementar nº 395, de 31.7.2001, RESOLVE:
Art. 1º Aprovar, na forma do Anexo Único desta Portaria, a Política de Gestão de Riscos da Procuradoria-Geral do Distrito Federal (PGR-PGDF).
Art. 2º Esta Portaria entra em vigor na data da sua publicação.
Art. 3º Revogam-se as disposições em sentido contrário.
LUDMILA LAVOCAT GALVÃO VIEIRA DE CARVALHO
DA POLÍTICA DE GESTÃO DE RISCOS (PGR) DA PROCURADORIA-GERAL DO DISTRITO FEDERAL (PGDF)
Art. 1º A Política de Gestão de Riscos da Procuradoria-Geral do Distrito Federal (PGR-PGDF) tem por objetivo fornecer diretrizes e estabelecer uma abordagem comum para gerenciar os riscos enfrentados, com vistas à integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis relevantes para a execução da estratégia, para o alcance dos objetivos institucionais e para a melhoria contínua de desempenho da Procuradoria-Geral do Distrito Federal - PGDF.
§ 1º A política de gestão de riscos é o instrumento fundamental para garantir a gestão de riscos, apresentando os princípios, a estrutura e o processo de gestão de riscos.
§ 2º São objetivos da gestão de riscos:
I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis da PGDF, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a instituição, inclusive para determinar questões relativas à delegação, se for o caso;
II - aumentar a probabilidade de alcance dos objetivos da instituição, reduzindo os riscos a níveis aceitáveis; e
III - agregar valor à instituição por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
Art. 2º São princípios que regem a gestão de riscos da PGDF:
I - criar e proteger valor institucional;
II - melhorar o desempenho, encorajar a inovação e apoiar o alcance dos objetivos;
III - ser parte integrante dos processos institucionais;
IV - ser parte da tomada de decisão;
V - gerenciar os efeitos da incerteza nos objetivos;
VI - ser sistemática, estruturada, oportuna, documentada e estar subordinada ao interesse público;
VII - ser personalizada e proporcional aos contextos externo e interno da instituição, relacionada aos seus objetivos;
IX - ser dinâmica, iterativa e capaz de reagir a mudanças;
X - ser baseada na melhor informação disponível;
XI - considerar fatores humanos e culturais;
XII - ser melhorada continuamente por meio do aprendizado e experiências.
Art. 3º Para os fins da PGR-PGDF, consideram-se:
I - risco: efeito da incerteza nos objetivos institucionais;
II - evento: ocorrência ou mudança em um conjunto específico de circunstâncias;
III - fonte de risco: elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco;
IV - consequência: resultado de um evento que afeta os objetivos;
V - probabilidade: chance de algo acontecer;
VI - impacto: efeito resultante da ocorrência do evento;
VII - nível de risco: magnitude de um risco expressa na combinação da probabilidade e do impacto;
VIII - critérios de risco: termos de referência pelos quais a importância de um risco é avaliada;
IX - gestão de riscos: atividades coordenadas para direcionar e controlar uma instituição no que se refere a riscos;
X - política de gestão de risco: declaração de diretrizes e abordagem de uma instituição relacionadas à gestão de riscos;
XI - metodologia de gestão de risco: documento que detalha as etapas do processo de gestão de riscos;
XII - estrutura de gestão de risco: conjunto de elementos que fornecem os fundamentos e os arranjos institucionais para integrar, conceber, implementar, avaliar e melhorar continuamente a gestão do riscos;
XIII - processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos;
XIV - processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;
XV - plano de gestão de riscos: documento que identifica e prioriza os processos institucionais que serão objeto do processo de gestão de riscos e contempla os planos de tratamento especificando, no mínimo, a iniciativa, com proposta de projeto ou ação que implementará o conjunto de medidas de tratamento, as medidas de tratamento, os objetivos/benefícios esperados, a unidade institucional responsável pela implementação da iniciativa, as unidades institucionais corresponsáveis pela implementação da iniciativa, o servidor ou cargo responsável pela implementação, uma breve descrição sobre a implementação, o custo estimado para a implementação, as datas previstas para início e término da implementação e a situação da iniciativa;
XVI - tratamento de riscos: processo de seleção de implementação de medidas para abordar um risco;
XVII - controle: ações que implementam as decisões da gestão de riscos;
XVIII - risco inerente: risco a que uma instituição está exposta sem considerar quaisquer medidas de controle que possam reduzir a probabilidade de sua ocorrência ou de seu impacto;
XIX - risco residual: risco a que uma instituição está exposta após a implementação de medidas de controle para o tratamento do risco;
XX - apetite ao risco: quantidade total de riscos que uma instituição está disposta a aceitar na busca de sua missão ou visão;
XXI - tolerância ao risco: variação aceitável relativa à realização de um objetivo;
XXII - proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco;
XXIII - parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade.
Art. 4º Na aplicação e na interpretação das diretrizes estabelecidas nesta PGR-PGDF, devem ser observados os seguintes atos normativos, sem prejuízo da aplicação dos atos que venham a ser editados posteriormente:
I - Decreto nº 39.736, de 28 de março de 2019: dispõe sobre a Política de Governança Pública e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal;
II - Decreto nº 37.302, de 29 de abril de 2016: estabelece os modelos de boas práticas gerenciais em Gestão de Riscos e Controle Interno a serem adotados no âmbito da Administração Pública do Distrito Federal;
III - ABNT ISO 31000:2018 – Gestão de riscos – Diretrizes. Esse Guia é utilizado por pessoas que criam e protegem valor nas instituições, gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando desempenho;
IV - ABNT ISO GUIA 73:2009 - Gestão de riscos - Vocabulário. Esse Guia fornece as definições de termos genéricos relativos à gestão de riscos. Destina-se a incentivar uma compreensão mútua e consistente, uma abordagem coerente na descrição das atividades relativas à gestão de riscos e a utilização de terminologia uniforme de gestão de riscos em processos e estruturas para gerenciar riscos;
V - COSO ERM 2017 - Gerenciamento de Riscos Corporativos - Estrutura Integrada. Esse Guia tem o objetivo de apresentar um modelo conceitual para o gerenciamento de riscos corporativos, proporcionando as diretrizes para a evolução e aprimoramento do gerenciamento de riscos e dos procedimentos para a sua análise;
VI - Portaria nº 250, de 31 de maio de 2019, PGDF: institui o Sistema de Governança Pública da Procuradoria-Geral do Distrito Federal;
VII - Portaria nº 251, de 31 de maio de 2019, PGDF: estabelece a área de atuação e competência das instâncias da Unidade de Governança Pública da Procuradoria-Geral do Distrito Federal.
Art. 5º São diretrizes da PGR-PGDF:
I – estar integrada aos processos de planejamento estratégico, tático e operacional, à gestão e à cultura institucional da PGDF;
II - prezar pelas conformidades legal e normativa dos processos institucionais;
III – desenvolver continuamente os agentes públicos em gestão de riscos.
Art. 6º O processo de gestão de riscos deve ser realizado em ciclos não superiores a 1 (um) ano.
Parágrafo único. O limite temporal a ser considerado para o ciclo de gestão de riscos de cada processo de trabalho será decidido pelo proprietário do risco, levando em consideração o limite máximo estipulado no caput.
Art. 7º A operacionalização da gestão de riscos será descrita pela Metodologia de Gestão de Riscos da PGDF, que contemplará critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos.
Art. 8º A gestão de riscos será instruída e documentada no Sistema Eletrônico de Informações (SEI), seguindo os procedimentos das etapas estabelecidas na Metodologia de Gestão de Riscos da PGDF, e deve ser apoiado por adequado suporte de tecnologia de informação.
Art. 9º São elementos estruturais da gestão de risco da PGDF:
I - as instâncias de gestão de riscos e de supervisão: Comitê Interno de Governança Pública da PGDF, Comissão Técnica do Comitê Interno de Governança Pública da PGDF, Núcleo Especial de Governança de Integridade Pública da PGDF, Núcleos de Governança da PGDF e proprietários de risco dos processos institucionais.
III - a capacitação continuada;
IV - as normas, os manuais, os procedimentos e os planos;
Art. 10 Compete ao Comitê Interno de Governança Pública da PGDF:
I - definir e atualizar as estratégias de implementação da gestão de riscos, considerando os contextos externo e interno;
II - definir os níveis de apetite a risco;
III - aprovar as respostas e as respectivas medidas de controle a serem implementadas nos processos institucionais priorizados pelo CIG-PGDF;
IV - aprovar a Metodologia de Gestão de Riscos da PGDF e suas revisões;
V - aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gestão de riscos;
VI - monitorar a evolução de níveis dos riscos dos processos institucionais priorizados pelo CIG-PGDF e a efetividade das medidas de controle implementadas;
VII - avaliar o desempenho da arquitetura de gestão de riscos e fortalecer a aderência dos processos institucionais à conformidade normativa;
VIII - aprovar os indicadores de desempenho para a gestão de riscos, alinhados com os indicadores de desempenho da PGDF;
IX - garantir o apoio institucional para promover a gestão de riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo de procuradores e servidores da PGDF;
X - garantir o alinhamento da gestão de riscos aos padrões de ética e de conduta, em conformidade com o Programa de Integridade da PGDF; e
XI - supervisionar a atuação das demais instâncias da gestão de riscos.
Art. 11 Compete à Comissão Técnica do Comitê Interno de Governança Pública da PGDF:
I - auxiliar o CIG-PGDF na definição e nas atualizações da estratégia de implementação da gestão de riscos, considerando os contextos externo e interno;
II - auxiliar na definição dos níveis de apetite a risco dos processos institucionais;
III - auxiliar na definição dos proprietários de riscos dos processos institucionais;
IV - auxiliar na definição da periodicidade máxima do ciclo do processo de gestão de riscos para cada um dos processos institucionais;
V - auxiliar na aprovação das respostas e das respectivas medidas de controle a serem implementadas nos processos institucionais;
VI - avaliar a proposta de Metodologia de Gestão de Riscos e suas revisões;
VII - avaliar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gestão de riscos;
VIII - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;
IX - auxiliar na avaliação do desempenho e da conformidade jurídica da gestão de riscos; e
X - auxiliar na definição dos indicadores de desempenho para a gestão de riscos, alinhados com os indicadores de desempenho da PGDF.
Art. 12 Compete aos Núcleos de Governança da PGDF auxiliar o Comitê Interno de Governança Pública da PGDF e a sua Comissão Técnica em suas atividades, em especial para:
I - propor a Metodologia de Gestão de Riscos e suas revisões;
II - definir os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gestão de riscos;
III - monitorar a evolução dos níveis de riscos dos processos institucionais priorizados pelo CIG-PGDF e a efetividade das medidas de controle implementadas;
IV - dar suporte à identificação, análise e avaliação dos riscos dos processos institucionais priorizados pelo CIG-PGDF e selecionados para a implementação da gestão de riscos;
V - consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los à CT-CIG-PGDF e ao CIG-PGDF;
VI - oferecer capacitação continuada em gestão de riscos para os procuradores e servidores da PGDF;
VII - elaborar a proposta de Plano de Comunicação de gestão de riscos;
VIII - medir o desempenho da gestão de riscos objetivando a sua melhoria contínua;
IX - construir e propor à CT-CIG-PGDF e ao CIG-PGDF os indicadores de desempenho para a gestão de riscos, alinhados com os indicadores de desempenho da PGDF; e
X - requisitar aos responsáveis pelo gerenciamento de riscos dos processos organizacionais as informações necessárias para a consolidação dos dados e a elaboração dos relatórios gerenciais.
Art. 13 Compete ao proprietário de riscos dos processos institucionais:
I - identificar, analisar e avaliar os riscos dos processos institucionais sob sua responsabilidade, em conformidade ao que define esta PGR-PGDF;
II - propor respostas e respectivas medidas de controle a serem implementadas nos processos institucionais sob sua responsabilidade;
III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas nos processos institucionais sob sua responsabilidade;
IV - informar os Núcleos de Governança da PGDF sobre mudanças significativas nos processos institucionais sob sua responsabilidade;
V - responder às solicitações dos Núcleos de Governança da PGDF; e
VI - disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade a todos os níveis da PGDF e demais partes interessadas.
§ 1º É considerado proprietário de riscos, em seu respectivo âmbito de atuação, o responsável pelo processo de trabalho, projeto, atividade ou ação desenvolvido nos níveis estratégico, tático e operacional da PGDF.
§ 2º O proprietário de riscos dos processos institucionais deve ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.
Art. 14 Compete a todos os procuradores e servidores da PGDF o monitoramento da evolução dos níveis de riscos e da efetividade das medidas de controles implementadas nos processos institucionais em que estiverem envolvidos ou que tiverem conhecimento.
Parágrafo único. No monitoramento de que trata o caput deste artigo, caso sejam identificadas mudanças ou fragilidades nos processos institucionais, o procurador ou o servidor deverá reportar imediatamente o fato ao responsável pela gestão de riscos do proce sso em questão.
Art. 15 O Comitê Interno de Governança Pública da PGDF, a Comissão Técnica do Comitê Interno de Governança Pública da PGDF, o Núcleo Especial de Governança de Integridade Pública da PGDF, os Núcleos de Governança da PGDF e os proprietários de riscos dos processos institucionais deverão manter fluxo regular e constante de informações entre si.
Art. 16 O processo de gestão de riscos deverá contemplar, no mínimo, as seguintes etapas:
I - comunicação e consulta - processo contínuo e iterativo que uma instituição conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas, com relação a gerenciar riscos;
II - escopo, contexto e critérios - compreender os ambientes externo e interno no qual a instituição opera, definir o escopo das atividades de gestão de riscos, dos objetivos a serem considerados e de seu alinhamento aos objetivos institucionais e fixar parâmetros para avaliar a significância do risco;
III - identificação de riscos - encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que a instituição alcance seus objetivos, mediante a identificação da fonte de risco, causas e eventos, ameaças e oportunidades, vulnerabilidades e capacidades, consequências e impactos nos objetivos;
IV - análise de riscos - compreender a natureza do risco e suas características, incluindo o nível de risco;
V - avaliação de riscos - comparar os resultados da análise do risco com os critérios de riscos estabelecidos para determinar onde é necessária ação adicional;
VI - tratamento de riscos - selecionar e implementar opções para abordar riscos;
VII - monitoramento contínuo e análise crítica periódica - assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo de gestão de riscos;
VIII - registro e relato - documentar e relatar por meio de mecanismos apropriados o processo de gestão de riscos e seus resultados, para comunicar atividades em toda a organização, fornecer informações para a tomada de decisões, melhorar as atividades de gestão de riscos e auxiliar a interação com as partes interessadas.
Art. 17 No processo de avaliação de riscos serão consideradas, entre outras possíveis, as seguintes categorias de riscos:
I - estratégico: eventos que afetam a estratégia de negócio ou os objetivos estratégicos da instituição;
II - conformidade: eventos decorrentes da inobservância da legislação aplicável ao negócio, da omissão na elaboração ou do descumprimento de normas e procedimentos internos;
III - financeiro/orçamentário: eventos que podem comprometer a capacidade da instituição de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações;
IV - operacional: eventos que podem comprometer as atividades da instituição, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas;
V - legal: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades da instituição;
VI - tecnologia da informação: eventos decorrentes da impossibilidade de entrega de serviços de tecnologia da informação, quando a performance ou da disponibilidade desses serviços impactam o negócio; da não realização de solução de negócio, quando os serviços de TI não conseguem viabilizar novas soluções ou serviços de negócio; ou quando o negócio não consegue usar a tecnologia de forma eficiente e efetiva para otimizar processos ou dar mais confiabilidade aos mesmos;
VII - pessoal: eventos causados por falta de pessoal qualificado e de profissionais preparados para exercer suas funções;
VIII - imagem/reputação: eventos que podem comprometer a confiança da sociedade, de parceiros, de clientes ou de fornecedores em relação à capacidade da PGDF em cumprir sua missão institucional;
IX - integridade – eventos decorrentes de ações ou omissões que possam favorecer a ocorrência de fraudes ou atos de corrupção.
Art. 18 A gestão de riscos deverá ser implementada de forma gradual em todas as áreas da PGDF, sendo priorizados os processos institucionais que impactam diretamente o atingimento dos objetivos estratégicos definidos no Planejamento Estratégico da PGDF.
Art. 19 A Metodologia de Gestão de Riscos deverá ser aprovada em até 12 (doze) meses após a publicação desta PGR-PGDF.
Art. 20 Os casos omissos ou excepcionalidades serão encaminhados à Comissão Técnica e decididos pelo Comitê Interno de Governança Pública da Procuradoria-Geral do Distrito Federal.
Este texto não substitui o publicado no BI-PGDF nº 35, seção 1, 2 e 3 de 16/09/2019 p. 2