Dispõe sobre a atualização da Política de Gestão de Riscos da Fundação Hemocentro de Brasília.
O COMITÊ INTERNO DE GOVERNANÇA PÚBLICA DA FUNDAÇÃO HEMOCENTRO DE BRASÍLIA - FHB, no uso das atribuições que lhe confere a Instrução Normativa n° 245, de 11 de agosto de 2022, que “altera o Comitê Interno de Governança Pública da FHB”, e,
CONSIDERANDO a Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes para a implantação da gestão de riscos, ABNT NBR ISO 9001:2015 (Gestão da qualidade), ABNT NBR ISO 19011:2018 (Diretrizes para auditoria de sistemas de gestão), agregadas ao COSO ERM 2017 (Gerenciamento de Riscos Corporativos), e ainda;
CONSIDERANDO o Decreto nº 39.736, de 28 de março de 2019, que “Dispõe sobre a Política de Governança Pública e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal”, resolve:
Art. 1° Aprovar a alteração da Política de Gestão de Riscos da Fundação Hemocentro de Brasília, conforme Anexo único desta resolução.
Art. 2° Esta Resolução entra em vigor na data de sua publicação.
POLÍTICA DE GESTÃO DE RISCOS DA FUNDAÇÃO HEMOCENTRO DE BRASÍLIA
Art. 1º A Política de Gestão de Riscos da Fundação Hemocentro de Brasília (FHB) compreende:
V - o processo de gestão de riscos.
Art. 2º A Política de Gestão de Riscos tem como premissa o alinhamento ao parágrafo único do artigo 13 do Decreto nº 39.736, de 28 de março de 2019, que versa sobre a Política de Governança e Compliance no âmbito do Poder Executivo do Distrito Federal.
Art. 3º A Política de Gestão de Riscos tem por objetivo estabelecer os princípios, as diretrizes, as responsabilidades e o processo de gestão de riscos na Fundação Hemocentro de Brasília, com vistas à ampliação e ao fortalecimento da análise de riscos como subsídio às tomadas de decisão, em conformidade com as boas práticas de governança adotadas no setor público.
Parágrafo único. A Política definida nesta instrução deverá ser observada por todas as áreas e níveis de atuação da Fundação Hemocentro de Brasília, sendo aplicável a seus respectivos processos de trabalho, projetos, atividades e ações.
Art. 4º A implementação da gestão de riscos promoverá:
I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;
II - o alinhamento do apetite ao risco com as estratégias adotadas;
III - o fortalecimento das decisões em resposta aos riscos;
IV - o aprimoramento dos controles internos institucionais administrativos.
DOS PRINCÍPIOS DE GESTÃO DE RISCOS
Art. 5º A gestão de riscos observará os seguintes princípios:
I - criação e proteção de valores institucionais;
II - integração aos processos organizacionais;
III - estrutura e abrangência;
IV - personalização, estando alinhada ao contexto e ao perfil de risco da instituição;
V - inclusão, envolvendo as partes interessadas;
VI - abordagem explícita de incertezas;
VII - melhor informação disponível;
VIII - consideração de fatores humanos e culturais;
IX - dinamicidade, interação e capacidade de reagir a mudanças;
X - melhoria contínua da organização.
DAS DIRETRIZES DE GESTÃO DE RISCOS
Art. 6º Para fins desta Política, considera-se:
I - Risco: efeito da incerteza nos objetivos a serem atingidos pela instituição;
II - Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco;
III - Estrutura de gestão de riscos: conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização;
IV - Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;
V - Atitude perante os riscos: abordagem da organização para avaliar e, eventualmente, buscar, manter, assumir ou se afastar do risco;
VI - Apetite a risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir;
VII - Aversão ao risco: atitude de se afastar de riscos;
VIII - Plano de ação de gestão de riscos: esquematização das medidas a serem tomadas dentro de uma estrutura de gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;
IX - Proprietário do risco: pessoa ou área com a responsabilidade e a autoridade para gerenciar o risco;
X - Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto e de identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;
XI - Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou se perceber afetada por uma decisão ou atividade;
XII - Processo de avaliação de riscos: processo global de identificação, análise e avaliação de riscos;
XIII - Fonte de risco: elemento que, individualmente ou de modo combinado, tem o potencial para dar origem ao risco;
XIV - Evento: ocorrência ou mudança em um conjunto específico de circunstâncias;
XV - Consequência: resultado de um evento que afeta os objetivos;
XVI - Probabilidade: chance de algo acontecer;
XVII - Nível de risco: magnitude de um risco, expressa por meio da combinação das consequências e de suas probabilidades;
XVIII - Controle: medida que mantém ou modifica o risco;
XIX - Risco negativo: é o efeito da incerteza que afeta negativamente o alcance dos objetivos;
XX - Risco positivo: é o efeito da incerteza que potencializa o alcance dos objetivos;
XXI - Risco residual: risco remanescente após o tratamento do risco;
XXII - Risco inerente: risco ao qual se expõe em face da inexistência de controles que alterem o impacto ou a probabilidade do evento;
XXIII - Tolerância ao risco: é o nível de variação aceitável quanto à realização dos seus objetivos;
XXIV - Impacto: efeito resultante da ocorrência de evento relacionado a um risco.
Art. 7º A Política de Gestão de Riscos abrange as seguintes categorias de riscos:
I - Riscos estratégicos: decorrentes da falta de capacidade/habilidade da instituição em se proteger ou se adaptar às mudanças ou aos riscos inerentes a processos que possam interromper o alcance de objetivos e a execução da estratégia planejada;
II - Riscos Conformidade: decorrentes da instituição não ser capaz ou hábil para cumprir com as legislações aplicáveis ao seu negócio e não elaborar, divulgar e fazer cumprir suas normas e procedimentos internos;
III - Riscos Financeiros: decorrentes da escassez de recursos orçamentários e financeiros ou em decorrência da inadequada gestão desses recursos em operações conhecidas, desconhecidas e/ou complexas de alto risco;
IV - Riscos Operacionais: decorrentes da inadequação ou falha dos processos internos, das pessoas ou de eventos externos ou riscos inerentes a limitações técnicas;
V - Riscos Ambientais: decorrentes da gestão inadequada de questões ambientais, como emissão de poluentes, disposição de resíduos sólidos, segurança no trabalho e outros;
VI - Riscos Tecnologia da informação: decorrentes da inexistência, indisponibilidade ou inoperância de equipamentos e sistemas informatizados que prejudiquem ou impossibilitem o funcionamento ou a continuidade das atividades da instituição. Representados, também, por erros ou falhas nos sistemas informatizados;
VII - Riscos Recursos humanos: decorrentes da escassez de recursos humanos, falhas ou limitações da instituição em gerir seus recursos humanos de forma alinhada aos objetivos estratégicos definidos;
VIII - Riscos Integridade: riscos decorrentes da não aderência aos valores, princípios e normas éticas da instituição, principalmente aqueles ligados a fraudes e a atos de corrupção.
Art. 8º São elementos estruturantes da gestão de riscos da Fundação Hemocentro de Brasília a Política de Gestão de Riscos, o Comitê Interno de Governança Pública, o Comitê de Integridade e Gestão de Riscos, a Assessoria de Controle Interno e o Processo de Gestão de Riscos.
DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS
Art. 9º São considerados proprietários dos riscos, em seus respectivos âmbitos e escopos de atuação, as áreas operacionais, táticas e todos os servidores e colaboradores da FHB.
Art. 10. Compete ao Comitê Interno de Governança Pública (CIG) da Fundação Hemocentro de Brasília:
I - implementar e manter processos e mecanismos adequados à incorporação dos princípios e das diretrizes da governança previstos no Decreto nº 39.736, de 28 de março de 2019, entre eles a gestão de riscos;
II - decidir sobre os processos de trabalho institucionais que devem ter os riscos gerenciados e tratados com prioridade, considerando a dimensão dos prejuízos que possam causar no funcionamento do sistema e no cumprimento da missão institucional;
III - assegurar a existência, o monitoramento e a avaliação de um sistema efetivo de gestão de riscos;
IV - utilizar as informações resultantes desse sistema para apoiar seus processos decisórios e gerenciar riscos estratégicos;
V - delegar a implantação e a operação da gestão de riscos ao Comitê de Integridade e Gestão de Riscos da Fundação Hemocentro de Brasília;
VI - definir os níveis de riscos aceitáveis na instituição; e,
VII - aprovar o plano periódico de auditoria de controles.
Art. 11. Compete ao Comitê de Integridade e Gestão de Riscos (CIGR) da Fundação Hemocentro de Brasília:
I - coordenar as atividades relacionadas ao programa de gestão de riscos na Fundação Hemocentro de Brasília, nos âmbitos tático e operacional;
II - estimular a cultura de gestão de riscos;
III - organizar as informações sobre o gerenciamento dos riscos e sobre a implantação de controles;
IV - gerenciar a implantação de controles;
V - revisar e atualizar os artefatos produzidos na gestão de riscos, quais sejam, o contexto e a matriz de riscos, no período de um ano, ou mediante eventos que requeiram adaptações;
VI - revisar a Política de Gestão de Riscos a cada três anos ou sempre que necessário, no intuito de mantê-la atualizada diante de mudanças no ambiente interno e externo;
VII - garantir o alinhamento da gestão de riscos às diretrizes institucionais, ao planejamento estratégico e à gestão da qualidade;
VIII - estabelecer plano de auditoria de riscos e definir a forma de realização das auditorias com o apoio da instância institucional responsável pela gestão do Sistema de Gestão da Qualidade;
IX - prezar pelo efetivo gerenciamento de riscos nos processos de trabalho da Fundação Hemocentro de Brasília.
Art. 12. Compete aos proprietários de risco da Fundação Hemocentro de Brasília:
I - executar as atividades relacionadas ao programa de gestão de riscos na Fundação Hemocentro de Brasília, quais sejam: identificar, analisar, avaliar, tratar e monitorar os riscos relativos aos processos de trabalho.
II - fornecer as informações sobre o gerenciamento dos riscos e sobre a implantação de controles.
DO PROCESSO DE GESTÃO DE RISCOS
Art. 13. A gestão de riscos terá como referências técnicas as normas ABNT NBR ISO 31000:2018 (Gestão de riscos), ISO 9001:2015 (Gestão da qualidade), ISO 19011:2018 (Diretrizes para auditoria de sistemas de gestão), agregadas ao COSO ERM 2017 (Gerenciamento de Riscos Corporativos) e será compreendida pelas seguintes fases:
I - Comunicação e consulta: processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;
II - Estabelecimento do contexto: identificação dos objetivos relacionados ao processo organizacional e definição dos contextos externo e interno a serem levados em consideração ao gerenciar riscos;
III - Identificação dos riscos: busca, reconhecimento e descrição dos riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;
IV - Análise dos riscos: compreensão da natureza do risco e a determinação do seu respectivo nível mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;
V - Avaliação dos riscos: processo de comparação dos resultados da análise de risco com os critérios do risco para determinar se o risco e/ou sua respectiva magnitude é aceitável ou tolerável;
VI - Tratamento dos riscos: processo para modificar o risco;
VII - Monitoramento dos riscos: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;
VIII - Identificação dos controles: identificação dos procedimentos, ações ou documentos que garantam o alcance dos objetivos do processo e diminuam a exposição aos riscos;
IX - Estabelecimento dos controles: políticas e procedimentos que assegurem o alcance dos objetivos da administração, diminuindo a exposição aos riscos das atividades que acontecem ao longo do processo organizacional, em todos os níveis e funções, incluindo aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança de recurso e segregação de funções.
Art. 14. O gerenciamento dos riscos na Fundação Hemocentro de Brasília será feito por meio de Sistema de Gestão informatizado próprio, do Sistema de Gestão de Auditoria do Distrito Federal (SaeWeb), de outro que vier a substituí-lo ou complementá-lo.
Art. 15. O processo de gestão de riscos deve ser realizado em ciclos não superiores a um ano, abrangendo os processos de trabalho de todas as instâncias da Fundação Hemocentro de Brasília.
Art. 16. Os artefatos produzidos pela gestão de riscos, quais sejam, o contexto, a matriz de riscos e o plano de ação, são considerados documentos preparatórios para tomada de decisão pela governança e gestão da Fundação Hemocentro de Brasília.
Art. 17. As competências relacionadas ao CIGR/FHB serão definidas em regimento interno próprio.
Art. 18. Os casos omissos ou excepcionais serão dirimidos pelo CIG/FHB em conformidade com as orientações emitidas pela Controladoria-Geral do Distrito Federal - CGDF.
Este texto não substitui o publicado no DODF nº 232, seção 1, 2 e 3 de 16/12/2022 p. 72, col. 1