PORTARIA PGDF Nº 235, DE 23 DE MAIO DE 2023
Aprova a Metodologia de Gestão de Riscos da Procuradoria-Geral do Distrito Federal (MGR-PGDF).
A PROCURADORA-GERAL DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o art. 6º, incisos XXXV, da Lei Complementar nº 395, de 31 de julho de 2001, e considerando o Decreto nº 39.736, de 28 de março de 2019, RESOLVE:
Art. 1º Aprovar, na forma do Anexo Único, a Metodologia de Gestão de Riscos da Procuradoria-Geral do Distrito Federal (MGR-PGDF).
Art. 2º A MGR-PGDF deve ser publicada no formato de livro digital n o sítio eletrônico da PGDF.
Art. 3º Esta Portaria entra em vigor na data da sua publicação.
LUDMILA LAVOCAT GALVÃO
Procuradora -Geral do Distrito Federal
Este texto não substitui o publicado no BI-PGDF nº 21 de 26/05/2023
ANEXO ÚNICO
METODOLOGIA DE GESTÃO DE RISCOS DA PROCURADORIA-GERAL DO DISTRITO FEDERAL
1. APRESENTAÇÃO
Este documento apresenta a Metodologia de Gestão de Riscos da Procuradoria -Geral do Distrito Federal (MGR-PGDF), instrumento da Política de Gestão de Riscos da Procuradoria -Geral do Distrito Federal.
A MGR-PGDF é o sistema de práticas, técnicas e procedimentos utilizados na gestão de riscos, que visa a estabelecer padrão no âmbito da PGDF.
Na construção desta Metodologia, foram utilizados os Decretos nº 39.736, de 28 de março de 2019, nº 37.302, de 29 de abril de 2016, as normas ABNT ISO 31000:2018 – Gestão de riscos – Diretrizes, ABNT NBR IEC 31010:2021 – Técnicas para o processo de avaliação de riscos.
A MGR-PGDF deve garantir a efetividade da gestão de riscos para a concretização dos objetivos institucionais e dos objetivos estrat égicos estabelecidos no Plano Estratégico Institucional da PGDF (PEI -PGDF), em projetos e processos de trabalho, nos níveis estratégico, tático e operacional, com otimização de recursos, geração, preservação e entrega de valor público.
2. TABELA DE SIGLAS
3. FUNDAMENTO LEGAL
A MGR-PGDF encontra fundamento no Sistema de Governança Pública da PGDF, que estabeleceu a Governança de Riscos e esta Metodologia, como seu instrumento.
4. OBJETO
O objeto da MGR-PGDF é estabelecer padrão para a gestão de riscos, com a finalidade d e apoiar a governança institucional no que tange ao tratamento de riscos estratégicos, táticos e operacionais, para aumentar a capacidade de resposta e reduzir o grau de incertezas no alcance da missão e da visão da PGDF.
5. PARTES ENVOLVIDAS
5.1 Proprietário do Risco
É a pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco, cabendo -lhe identificar, analisar e avaliar, propor respostas e medidas de controle a serem implementadas acerca da evolução de níveis de risco e informar sobre o processo de gestão dos riscos.
5.2 Partes Interessadas
Servidor, Procurador ou unidade orgânica que pode afetar, ser afetada, ou perceber-se afetada por risco.
5.3 Conselho Interno de Governança (CIG-PGDF)
O CIG-PGDF, órgão colegiado de natureza consultiva e deliberativa, tem por finalidade o assessoramento ao Procurador -Geral do Distrito Federal nas questões relacionadas à governança pública e à gestão da estratégia institucional.
No contexto da gestão de riscos, compete -lhe o apoio institucional para prover a estrutura da gestão de riscos, definir os níveis de apetite a risco, monitorar os resultados do processo de gestão de riscos estratégico, de conformidade, de integridade e reputacional e a efetividade das medidas de controle implementadas.
5.4 Procuradoria Especial de Gestão Estratégica, Estudos e Inovação (PROGEI)
A PROGEI, no apoio ao CIG-PGDF, atua na definição de estratégias para a implantação da estrutura de gestão de riscos, dos níveis de apetite a risco e de seus proprietários.
Cabe ainda à PROGEI consolidar informações, emitir relatórios gerenciais sobre a evolução dos níveis de risco e efetividade das medidas de controle, além de requisitar informações aos responsáveis pelo gerenciamento de riscos.
6. METODOLOGIA
O processo de gestão de riscos consiste na aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.
A metodologia é o documento detalha a estrutura das etapas do processo de gestão de riscos.
São etapas e subetapas do processo de gestão de riscos:
6.1 Estabelecimento do escopo, contexto e critérios de risco
Primeira atividade (etapa) do processo de gestão de risco que tem como objetivo a sua personalização, permitindo um processo de avaliação de risco eficaz e um tratamento de risco apropriado. (ABNT NBR ISO 31000:2018 – 6.3.1).
Nessa etapa, busca-se:
identificação dos objetivos ou resultados a serem alcançados, dos processos de trabalho relevantes para o alcance dos objetivos/resultados e das pessoas envolvidas nesses processos e especialistas na área; definição do(s) objeto(s) mais importante(s) da gestão de riscos para a unidade orgânica ou processo de trabalho e seus objetivos/resultados; e mapeamento dos principais fatores internos e externos que podem afetar o alcance dos objetivos/resultados (pessoas, sistemas informatizados, estruturas organizacionais, legislação, recursos, partes interessadas, etc.).
Critérios de risco são termos de referência contra os quais o significado de um risco é avaliado.
O documento produzido ao final dessa etapa contempla o entendimento diagnóstico e histórico da instituição, a definição do es copo das atividades de mapeamento de riscos que serão realizadas e o desenvolvimento de uma estrutura para as tarefas de gestão de riscos subsequentes.
6.2 Comunicação e consulta
O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na compreensão dos riscos, na base sobre a qual decisões são tomadas e nas razões pelas quais ações específicas são requeridas (ABNT NBR ISO 31000:2018 – 6.2).
A comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta envolve obter retorno e informação para tomar a decisão.
Comunicação e consulta visam a:
Reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos;
Assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se definirem critérios de risco e ao se avaliarem riscos;
Fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão; e
Construir um senso de inclusão e propriedade entre os afetados pelo risco.
6.3 Processo de Avaliação de Riscos
É a segunda etapa do processo de Gestão de Riscos e abrange três subetapas: identificação de riscos, análise de riscos e avaliação de riscos. Ao final do processo, é elaborada a Matriz de Riscos.
6.3.1 Identificação de riscos
Primeira subetapa do processo de Avaliação de Riscos, cujo objetivo é encontrar, reconhecer e descrever os eventos de riscos que possam ajudar (riscos positivos) ou impedir (riscos negativos) que a Unidade alcance seus objetivos (ABNT NBR ISO 31000:2018 – 6.4.2).
Durante essa etapa, utilizam-se técnicas de identificação previstas na ABNT NBR IEC 31010:2021 – Técnicas para o processo de avaliação de riscos.
Para facilitar a identificação dos riscos, sugere -se:
identificar/listar o que pode impedir o alcance dos objetivos/resultados;
considerar que qualquer evento que afeta os fatores de sucesso para o cumprimento do objetivo, potencialmente afeta o objetivos/resultados;
considerar as principais fontes de riscos: infraestrutura, pessoal, processos e tecnologia.
6.3.2. Análise de riscos
Segunda subetapa do processo de Avaliação de riscos, cujo propósito é compreender a natureza e as características dos riscos (ABNT NBR ISO 31000:2018 – 6.4.3).
Para a análise do nível de risco são utilizados os critérios de risco (impacto e probabilidade) definidos pelo proprietário do risco.
A análise de riscos leva em consideração a probabilidade de ocorrência de um risco específico e o seu impacto ou potencial de comprometimento sobre um ou mais objetivos de projetos ou processos de trabalho.
O produto dessas duas variáveis possibilita classificá-los em níveis de risco, com base na matriz de probabilidade e impacto, utilizando -se escalas qualitativas.
São escalas qualitativas de Impacto:
Exemplo de escala de consequência/impacto. Elaboração CGDF.
São escalas qualitativas de Probabilidade:
Exemplo de escala de probabilidade. Elaboração CGDF.
São níveis de risco:
Exemplo de combinação de níveis de Riscos (eventos positivos e negativos).
6.3.3 Avaliação de riscos
Terceira e última subeta pa do processo de Avaliação de riscos, na qual se busca dar apoio às decisões e envolve realizar ações de comparação dos resultados obtidos na etapa anterior (análise dos riscos) com os critérios e indicadores de tolerância/apetite ao risco d efinidos pela instituição.
As abordagens definidas, normalmente, integraram o documento “Estabelecimento do Escopo, Contexto e Critério” a fim de determinar as ações necessárias, como por exemplo: não fazer nada, considerar as opções de tratamento, realizar análises adi cionais do evento de risco, manter os controles existentes ou reconsiderar os objetivos (ABNT NBR ISO 31000:2018 – 6.4.4).
A avaliação dos riscos deve:
identificar, na matriz probabilidade x impacto, os riscos cujos níveis estão acima do limite de tolerância a risco (faixa vermelha da matriz);
identificar, para os riscos acima do limite, as respectivas fontes, causas e eventuais consequências sobre a organização como um todo;
identificar os riscos que estão abaixo do limite de tolerância:
para os riscos cujos níveis se encontram na faixa amarela, deverá ser avaliada a necessidade de monitoramento;
os riscos cujos níveis se encontram na faixa verde, poderão ser aceitos, sem que qualquer providência seja tomada.
FONTE: Matriz de avaliação dos riscos - Manual do TCU
A avaliação dos riscos fornece subsídios para a tomada de decisão, no entanto cabe ao gestor, diante da lista de riscos ordenados por nível de risco, decidir quais merecerão ações mitigadoras.
Embora o termo “avaliação de riscos ” pareça indicar uma atividade realizada uma única vez, esse componente é uma iteração contínua e repetida tantas vezes quanto possível enquanto os riscos estiverem sendo monitorados. Assim, eles devem ser avaliados com base em suas características inerentes e residuais.
risco inerente: é a exposição proveniente de um risco específico antes que qualquer controle seja tomado para gerenciá-lo;
risco residual: é a exposição remanescente de um risco específico após um controle ser tomado para gerenciá-lo, assumindo que seja efetivo.
Mapa de Riscos (Matriz de nível de Riscos)
Visualização das combinações geradas dos níveis de riscos a partir das dimensões dos critérios utilizados na identificação do s riscos (consequência e probabilidade), podendo ser positiva ou negativa .
Exemplo de Matriz de Nível de Riscos (eventos positivos e negativos)
6.4 Tratamento de riscos
A etapa de Tratamento dos riscos consiste em selecionar e implementar opções para abordar os riscos identificados, analisados e avaliados.
A escolha das opções deve considerar fatores como esforço, custo e benefícios para a implementação (ABNT NBR ISO 31000:2018 – 6.5.1).
O documento final produzido nesta etapa é o plano de ação, cujo objetivo é modificar o nível do risco, por meio de medidas de resposta que suavizem, transfiram ou evitem esses riscos.
O tratamento dos riscos deve seguir os seguintes passos:
levantar as causas e consequências e registrar as possíveis medidas de resposta aos riscos;
avaliar a viabilidade da implantação dessas medidas (custo-benefício, viabilidade técnica, tempestividade, efeitos colaterais do tratamento etc.);
decidir quais serão implementadas;
elaborar plano de ação específico para cada risco levantado e as medidas para inclusão nos planos institucionais;
apresentar os planos de ação para o gestor máximo da área, para análise do custo e esforço necessários à implementação dos controles propostos, a fim de selecionar e priorizar quais deverão ser executados.
Para facilitar a identificação de medidas de abordagem ao risco, recomenda-se responder às seguintes perguntas-chave:
Que medidas poderiam ser adotadas para reduzir a probabilidade de ocorrência do risco?
Que medidas poderiam ser adotadas para reduzir o impacto do risco no objetivo/resultado?
É possível adotar medidas para transferir o risco?
As medidas devem, a princípio, atacar as causas do risco, de modo a reduzir a probabilidade de ocorrência, ou também podem co nsistir em planos de contingência que amenizem os impactos, caso o risco se concretize, ou uma combinaç ão das duas abordagens, devendo-se considerar a quantidade e o nível dos riscos mitigados por cada medida.
Esta etapa inclui a formulação das respostas aos riscos de forma a aumentar as oportunidades e reduzir as ameaças aos objetiv os institucionais. As respostas planejadas devem ser adequadas ao nível de risco, considerando a relação custo -benefício e ter um responsável designado.
As respostas aos riscos negativos (ameaças) podem ser consideradas e aplicadas individualmente ou de forma combinada e podem envolver as seguintes ações:
aceitar: nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto do risco, ou não se conseguiu identificar outra estratégia de resposta adequada;
compartilhar: a probabilidade ou o impacto do risco são redu zidos pelo compartilhamento de uma porção do risco para outra parte, mas sem eliminá-lo;
evitar: as atividades que geram o risco são suspensas, os produtos são substituídos, os projetos podem ser descontinuados e o processo de trabalho interrompido;
reduzir: são adotadas medidas para diminuir a probabilidade do risco se concretizar e/ou o impacto, caso isso ocorra.
As respostas aos riscos positivos (oportunidades) podem compreender:
aceitar: aproveitar a oportunidade caso ocorra, mas não persegui -la ativamente;
compartilhar: formar parceria para transferir, integral ou parcialmente, a oportunidade a um terceiro que tenha mais capacida de de aproveitá-la em benefício da instituição;
explorar: concretizar a oportunidade, procurando eliminar a incerteza associada, garantindo que a oportunidade realmente aconteça;
melhorar: aumentar a probabilidade e/ou o impacto positivo de uma oportunidade de modo a impulsionar a sua ocorrência.
6.5 Registro e relato
O processo de gestão de riscos e seus resultados devem ser documentados e relatados por meio de mecanismos apropriados (ABNT NBR ISO 31000:2018 – 6.7).
O registro e o relato visam:
Comunicar atividades e resultados de gestão de riscos em toda a instituição;
Fornecer informações para a tomada de decisão;
Melhorar as atividades de gestão de riscos;
Auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com responsabilização por atividade s de gestão de
riscos.
6.6 Monitoramento e análise crítica
O monitoramento e a análise crítica consistem em acompanhar e verificar o desempenho da gestão de riscos em três dimensões:
a aplicação da Política de Gestão de Riscos da PGDF e desta MGR-PGDF;
