PORTARIA Nº 119, DE 02 DE SETEMBRO DE 2025
Dispõe sobre a Política de Gestão de Riscos da Secretaria de Estado de Governo do Distrito Federal - SEGOV.
O SECRETÁRIO DE ESTADO DE GOVERNO DO DISTRITO FEDERAL, no uso das atribuições que lhe são conferidas pelo art. 105, parágrafo único, incisos I e III, da Lei Orgânica do Distrito Federal - LODF;
CONSIDERANDO o Decreto nº 39.736, de 28 de março de 2019, que dispõe sobre a Política de Governança Pública e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal;
CONSIDERANDO a Portaria nº 20, de 29 de janeiro de 2025, que institui o Comitê Interno de Governança Pública e Gestão Estratégica no âmbito da Secretaria de Estado de Governo do Distrito Federal, resolve:
CAPÍTULO I - DISPOSIÇÕES GERAIS
Art. 1º Instituir a Política de Gestão de Riscos no âmbito da Secretaria de Estado de Governo do Distrito Federal, que compreende:
V - o processo de gestão de riscos.
Art. 2º A Política de Gestão de Riscos tem como premissa o alinhamento ao parágrafo único do art. 13 do Decreto nº 39.736, de 28 de março de 2019, que versa sobre a Política de Governança e Compliance no âmbito do Poder Executivo do Distrito Federal.
Art. 3º A Política de Gestão de Riscos tem por objetivo estabelecer os princípios, as diretrizes, as responsabilidades e o processo de gestão de riscos na Secretaria de Estado de Governo do Distrito Federal, com vistas à incorporação da análise de riscos à tomada de decisão, em conformidade com as boas práticas de governança adotadas no setor público.
Parágrafo único. A Política definida nesta Portaria deverá ser observada por todas as áreas e níveis de atuação da SEGOV, sendo aplicável a seus respectivos processos de trabalho, projetos, atividades e ações.
Art. 4º A Política de Gestão de Riscos promoverá:
I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;
II - o alinhamento do apetite ao risco com as estratégias adotadas;
III - o fortalecimento das decisões em resposta aos riscos; e
IV - o aprimoramento dos controles internos administrativos.
CAPÍTULO III - DOS PRINCÍPIOS DE GESTÃO DE RISCOS
Art. 5º A gestão de riscos observará os seguintes princípios:
I - criar e proteger valores institucionais;
II - ser parte integrante de todas as atividades organizacionais;
III - ser estruturada e abrangente;
IV - ser personalizada e proporcional aos contextos externo e interno da organização;
V - ser inclusiva, envolvendo as partes interessadas;
VI - ser baseada nas melhores informações disponíveis;
VII - considerar fatores humanos e culturais;
VIII - ser dinâmica, interativa e capaz de reagir a mudanças; e
IX - facilitar a melhoria contínua da organização.
CAPÍTULO IV - DAS DIRETRIZES DE GESTÃO DE RISCOS
Art. 6º Para fins desta Portaria considera-se:
I - riscos: efeito da incerteza nos objetivos a serem atingidos pela Secretaria;
II - gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco;
III - estrutura de gestão de risco: conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização;
IV - política de gestão de risco: declaração das intenções e diretrizes gerais da Secretaria relacionada à gestão de riscos;
V - atitude perante os risco: abordagem da Secretaria para avaliar e eventualmente buscar, manter, assumir ou afastar-se do risco;
VI - apetite pelo risco: quantidade e tipo de riscos que a Secretaria está preparada para buscar, manter ou assumir atingir seus objetivos estratégicos;
VII - aversão ao risco: atitude de afastar-se de riscos;
VIII - plano de gestão de riscos: esquema dentro de uma estrutura de gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;
IX - proprietário/gerente de risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco;
X - processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;
XI - parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;
XII - processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;
XIII - fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;
XIV - evento: ocorrência ou alteração em um conjunto específico de circunstâncias;
XV - consequência: resultado de um evento que afeta os objetivos;
XVI - probabilidade: chance de algo acontecer;
XVII - nível de risco: magnitude de um risco expressa na combinação das consequências e de suas probabilidades;
XVIII - controle: medida que está modificando o risco;
XIX - risco residual: risco remanescente após o tratamento do risco;
XX - risco inerente: risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento;
XXI - tolerância ao risco: nível de variação aceitável quanto à realização dos objetivos da Secretaria; e
XXII - impacto: efeito resultante da ocorrência do evento.
§ 1º as definições dos incisos I a V, VIII, X a XIX seguem os conceitos estabelecidos na norma ABNT NBR ISO 31000:2018.
§ 2º as definições dos incisos VI, VII, IX, XX e XXI seguem as melhores práticas internacionais de gestão de riscos, em especial o framework COSO ERM.
§ 3º a definição do inciso XXII equivale ao conceito de "consequência" estabelecido na norma ABNT NBR ISO 31000:2018.
Art. 7º A Política de Gestão de Riscos abrange as seguintes categorias de riscos:
I - estratégicos: riscos decorrentes da falta de capacidade ou habilidade da Secretaria para se proteger ou adaptar-se às mudanças que possam interromper o alcance de objetivos e a execução da estratégia planejada;
II - operacionais: riscos decorrentes da inadequação ou falha dos processos internos, pessoas, infraestrutura e sistemas, que possam comprometer as atividades da Secretaria;
III - de conformidade: riscos decorrentes da incapacidade da Secretaria de cumprir as legislações aplicáveis ao seu negócio e de elaborar, divulgar e fazer cumprir suas normas e procedimentos internos;
IV - financeiros/orçamentários: riscos decorrentes da inadequada gestão de caixa, das aplicações de recursos ou eventos que possam comprometer a capacidade da Secretaria de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária;
V - de tecnologia da informação: riscos decorrentes da inexistência, indisponibilidade ou inoperância de equipamentos e sistemas informatizados que prejudiquem ou impossibilitem o funcionamento ou a continuidade normal das atividades da Secretaria;
VI - de recursos humanos: riscos decorrentes da falta de capacidade ou habilidade da Secretaria para gerir seus recursos humanos de forma alinhada aos objetivos estratégicos definidos;
VII - de integridade: riscos relacionados a corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta que podem comprometer os valores e padrões preconizados da Secretaria e a realização de seus objetivos institucionais;
VIII - imagem/reputação: riscos relacionados à imagem pública da Secretaria, fundamentada ou não, por parte dos clientes, fornecedores, colaboradores, investidores, órgãos de imprensa ou pela opinião pública em geral;
IX - ambientais: riscos decorrentes da gestão inadequada de questões ambientais, como: emissão de poluentes, disposição de resíduos sólidos e outros.
Art. 8º são elementos estruturantes da Gestão de Riscos da SEGOV a Política de Gestão de Riscos, o Comitê Interno de Governança Pública e Gestão Estratégica, o Processo de Gestão de Riscos e o Controle.
CAPÍTULO V - DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS
Art. 9º São considerados proprietários dos riscos, em seus respectivos âmbitos e escopos de atuação, os responsáveis pelos processos de trabalho, projetos, atividades e ações desenvolvidos na SEGOV.
Art. 10. Compete aos proprietários dos riscos, relativamente aos processos de trabalho e iniciativas sob sua responsabilidade:
I - indicar para aprovação do Comitê Interno de Governança Pública e Gestão Estratégica os processos de trabalho que devam ter os riscos gerenciados e tratados com prioridade em cada área técnica, considerando a dimensão dos prejuízos que possam causar;
II - propor ao Comitê Interno de Governança Pública e Gestão Estratégica quais riscos deverão ser priorizados para tratamento por meio de ações de caráter imediato, a curto, médio ou longo prazos ou de aperfeiçoamento contínuo;
III - propor e acompanhar a implementação das ações de tratamento a serem implementadas, assim como o prazo de implementação e avaliação dos resultados obtidos; e
IV - fornecer as informações sobre o gerenciamento dos riscos sob sua responsabilidade.
Art. 11. Compete ao Comitê Interno de Governança Pública e Gestão Estratégica, no âmbito da Gestão de Riscos:
I - definir os níveis de apetite a riscos dos processos organizacionais;
II - aprovar os processos prioritários para gerenciamento de riscos;
III - aprovar as respostas e as respectivas medidas de controle a serem implementadas nos processos organizacionais;
IV - monitorar a implementação das ações e a eficácia dos controles da gestão de riscos;
V - deliberar sobre recomendações para o aprimoramento da gestão de riscos; e
VI - supervisionar o mapeamento de riscos realizado pelas áreas técnicas.
CAPÍTULO VI - DO PROCESSO DE GESTÃO DE RISCOS
Art. 12. Serão adotadas como referências técnicas para a gestão de riscos as normas ABNT NBR ISO 31000:2018, compreendendo as seguintes fases:
I - comunicação e consulta: processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;
II - estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos;
III - identificação dos riscos: busca, reconhecimento e descrição dos riscos, mediante a identificação das fontes de risco, eventos suas causas e suas consequências potenciais;
IV - análise dos riscos: compreensão da natureza do risco e à determinação do seu respectivo nível mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis, considerando a eficácia dos controles existentes;
V - avaliação dos riscos: processo de comparação dos resultados da análise de risco com os critérios do risco para determinar se o risco e/ou sua respectiva magnitude é aceitável ou tolerável;
VI - tratamento dos riscos: processo para modificar o risco, incluindo a implementação de novos controles ou o aprimoramento dos controles existentes; e
VII - monitoramento e análise crítica: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado e garantir a eficácia dos controles implementados.
Parágrafo único. Eventuais conflitos de atuação decorrentes do processo de gestão de riscos serão dirimidos pelo Comitê Interno de Governança Pública e Gestão Estratégica.
Art. 13. O processo de gestão de riscos deve ser realizado em ciclos não superiores a 1 (um) ano abrangendo os processos de trabalho das áreas de gestão da SEGOV.
Art. 14. O Comitê Interno de Governança Pública e Gestão Estratégica aprovará metodologia específica para implementação do processo de gestão de riscos, contendo no mínimo:
I - procedimentos e critérios para identificação, análise, avaliação e tratamento de riscos;
II - matriz de riscos, com critérios para classificação dos níveis de risco; e
III - modelo de plano de ação para tratamento dos riscos identificados.
Art. 15. A SEGOV promoverá ações de capacitação em gestão de riscos para os servidores, em especial para os gestores e proprietários de riscos, visando ao desenvolvimento contínuo de competências e à disseminação da cultura de gestão de riscos na organização.
CAPÍTULO VII - DAS DISPOSIÇÕES FINAIS
Art. 16. O gerenciamento dos riscos na SEGOV será feito por meio do Sistema de Gestão de Auditoria do Distrito Federal (SAEWEB) ou de outro que vier a substituí-lo.
Art. 17. Os artefatos produzidos na gestão de riscos, quais sejam, o contexto, a matriz de riscos e o plano de ação, são considerados documentos preparatórios para tomada de decisão pela gestão da SEGOV.
Parágrafo único. Por se tratarem de documentos preparatórios, podem conter informações sensíveis que, caso divulgadas indevidamente, podem prejudicar ou causar riscos para o desenvolvimento das atividades de interesse estratégico da SEGOV, devendo ser resguardado seu sigilo nos termos da legislação aplicável.
Art. 18. Os casos omissos ou excepcionais serão resolvidos pelo Comitê Interno de Governança Pública e Gestão Estratégica de acordo com as orientações a serem emanadas da Controladoria-Geral do Distrito Federal - CGDF.
Art. 19. Esta Política de Gestão de Riscos é revisada periodicamente, em intervalos não superiores a 2 (dois) anos, e poderá ser atualizada sempre que necessário, para adequação às mudanças internas e externas da SEGOV.
Art. 20. Esta Portaria entra em vigor na data de sua publicação.
Este texto não substitui o publicado no DODF nº 168, seção 1, 2 e 3 de 05/09/2025 p. 1, col. 1