PORTARIA Nº 69, DE 29 DE JULHO DE 2025
Dispõe sobre a Política de Gestão de Riscos do Instituto de Assistência à Saúde dos Servidores do Distrito Federal - INAS e dá outras providências.
O DIRETOR-PRESIDENTE DO INSTITUTO DE ASSISTÊNCIA À SAÚDE DOS SERVIDORES DO DISTRITO FEDERAL, no uso das atribuições que lhe são conferidas pelos incisos III, V e VII, do parágrafo único do artigo 105 da Lei Orgânica do Distrito Federal, e considerando:
- o disposto no Decreto nº 39.736, de 28 de março de 2019, que institui a Política de Governança Pública e Compliance, no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal;
- o conteúdo do Decreto nº 37.302, de 29 de abril de 2016 que estabelece modelos de boas práticas gerenciais em Gestão de Riscos e Controle Interno, aplicável aos órgãos e entidades do DF; e
- a Portaria nº 68, de 24 de agosto de 2022, que institui o Comitê Interno de Governança do Instituto de Assistência à Saúde dos Servidores do Distrito Federal - INAS.
DA INSTITUIÇÃO E DOS PRINCÍPIOS
Art. 1º Instituir a Política de Gestão de Riscos no âmbito do Instituto de Assistência à Saúde dos Servidores do Distrito Federal - INAS, composta pelas seguintes seções:
III - o processo de gestão de riscos.
Art. 2º A Política de Gestão de Riscos do INAS fundamenta-se no parágrafo único do art. 13 do Decreto nº 39.736, de 28 de março de 2019, e alinha-se às boas práticas de governança adotadas no setor público.
Art. 3º Esta Política tem por finalidade estabelecer os princípios, as diretrizes, as responsabilidades e o processo de gestão de riscos no INAS, com vistas à incorporação sistemática da gestão de riscos à estratégia institucional e à tomada de decisões.
Parágrafo único. A observância da presente Política é obrigatória por todas as áreas e níveis de atuação do INAS, em seus processos, projetos, atividades e ações.
Art. 4º O sistema de Gestão de Riscos do Instituto de Assistência à Saúde dos Servidores do Distrito Federal - INAS promoverá:
I - aplicação sistemática, estruturada, tempestiva e documentada da gestão de riscos, em consonância com o interesse público;
II - integração com o planejamento estratégico e seus desdobramentos;
III - apoio à tomada de decisões;
IV - fortalecimento dos controles internos proporcionais aos riscos identificados.
Art. 5º A gestão de riscos observará os seguintes princípios:
I - criar e proteger valores institucionais;
II - ser parte integrante de todas as atividades organizacionais;
III - ser estruturada e abrangente;
IV - ser personalizada e proporcional aos contextos externo e interno da organização;
V - ser inclusiva, envolvendo as partes interessadas;
VI - ser baseada nas melhores informações disponíveis;
VII - considerar fatores humanos e culturais;
VIII - ser dinâmica, interativa e capaz de reagir a mudanças; e
IX - facilitar a melhoria contínua da organização.
Art. 6º Para fins desta Portaria considera-se:
I - Riscos - efeito da incerteza nos objetivos a serem atingidos pela instituição;
II - Gestão de riscos - atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco;
III - Estrutura de gestão de risco - conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização;
IV - Política de gestão de risco - declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;
V - Atitude perante o risco - abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do risco;
VI - Apetite pelo risco - quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir;
VII - Proprietário/gerente de risco - pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o risco;
VIII - Processo de gestão de riscos - aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;
IX - Parte interessada - pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;
X - Processo de avaliação de riscos - processo global de identificação de riscos, análise de riscos e avaliação de riscos;
XI - Fonte de risco - elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;
XII - Evento - ocorrência ou alteração em um conjunto específico de circunstâncias;
XIII - Probabilidade - chance de algo acontecer;
XIV - Nível de risco - magnitude de um risco expressa na combinação das consequências e de suas probabilidades;
XV - Controle - medida capaz de modificar o risco;
XVI - Risco residual - risco remanescente após o tratamento do risco;
XVII - Risco inerente - risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento;
XVIII - Impacto - efeito resultante da ocorrência do evento;
XIX - 1ª linha em gestão de riscos - papel exercido pelo proprietário/gerente de risco no acompanhamento dos riscos e controles;
XX - 2ª linha em gestão de riscos - papel exercido pela unidade responsável por fornecer expertise complementar, apoiar, monitorar e promover questionamentos quanto ao gerenciamento de riscos; e
XXI - 3ª linha em gestão de riscos - papel exercido pela Auditoria Interna na avaliação e assessoria independentes e objetivas sobre questões relativas ao atingimento dos objetivos.
Art. 7º A Política de Gestão de Riscos do INAS abrange, entre outras, as seguintes categorias:
I - Estratégicos - riscos decorrentes da falta de capacidade ou habilidade da Unidade em proteger-se ou adaptar-se às mudanças que possam interromper o alcance de objetivos e a execução da estratégia planejada;
II - De Conformidade - riscos decorrentes do órgão/entidade não ser capaz ou hábil para cumprir com as legislações aplicáveis ao seu negócio e não elaborar, divulgar e fazer cumprir suas normas e procedimentos internos;
III - Financeiros - riscos decorrentes da inadequada gestão de caixa, das aplicações de recursos em operações novas/desconhecidas e/ou complexas de alto risco;
IV - Operacionais - riscos decorrentes da inadequação ou falha dos processos internos, das pessoas ou de eventos externos;
V - Ambientais - riscos decorrentes da gestão inadequada de questões ambientais, como: emissão de poluentes, disposição de resíduos sólidos e outros;
VI - De Tecnologia da Informação - riscos decorrentes da inexistência, indisponibilidade ou inoperância de equipamentos e sistemas informatizados que prejudiquem ou impossibilitem o funcionamento ou a continuidade normal das atividades da instituição representado, também, por erros ou falhas nos sistemas informatizados ao registrar, monitorar e contabilizar corretamente transações ou posições;
VII - De Recursos Humanos - riscos decorrentes da falta de capacidade ou habilidade da instituição em gerir seus recursos humanos de forma alinhada aos objetivos estratégicos definidos;
VIII - De Integridade - riscos decorrentes da não aderência aos valores, princípios e normas éticas da instituição, principalmente àqueles ligados a fraudes e a atos de corrupção.
Art. 8º São elementos estruturantes da Gestão de Riscos do INAS:
I - Esta Política de Gestão de Riscos;
II - O Comitê Interno de Governança;
III - A Coordenação de Governança e Compliance - CGCOM;
IV - Os proprietários/gerentes dos riscos;
V - O Processo de Gestão de Riscos.
Art. 9º O INAS adota o modelo de "Três Linhas" do Instituto dos Auditores Internos, como referência para a estrutura de governança e de gerenciamento de riscos corporativos, de forma a assegurar o cumprimento das diretrizes definidas.
Art. 10. São considerados proprietários dos riscos os responsáveis diretos pelos processos de trabalho, projetos, atividades e ações sob sua gestão, nos respectivos escopos de atuação.
Art. 11. Compete aos proprietários/gerentes de risco, responsáveis pela 1ª linha:
I - acompanhar os riscos a ele designados, assim como os processos de alcance dos objetivos relacionados;
II - fornecer as informações sobre o gerenciamento dos riscos sob sua responsabilidade;
III - supervisionar e garantir a aplicação dos controles existentes;
IV - manter um diálogo contínuo com a 2ª linha do INAS, de forma a reportar os resultados do gerenciamento de riscos;
V - realizar o processo de revisão e análise crítica dos riscos sob sua responsabilidade, com o apoio da 2ª linha;
VI - propor a inclusão, exclusão e alteração dos riscos sob sua responsabilidade; e
VII - solicitar orientação e apoio técnico da 2ª linha, quando necessário.
Art. 12. A Coordenação de Governança e Compliance (CGCOM) exercerá o papel de 2ª linha, prestando apoio, monitoramento, assessoramento técnico e promovendo o diálogo institucional sobre gerenciamento de riscos.
DO PROCESSO DE GESTÃO DE RISCOS
Art. 13. O processo de gestão de riscos utilizará a metodologia proposta na norma ABNT NBR ISO 31000:2018, e abrangerá as seguintes etapas:
I - Estabelecimento do Escopo, Contexto e Critério - definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos;
II - Identificação dos Riscos - busca, reconhecimento e descrição dos riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;
III - Análise dos Riscos - compreensão da natureza do risco e à determinação do seu respectivo nível mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;
IV - Avaliação dos Riscos - processo de comparação dos resultados da análise de risco com os critérios do risco para determinar se o risco e/ou sua respectiva magnitude é aceitável ou tolerável;
V - Tratamento dos Riscos - processo de identificação e seleção de medidas, procedimentos e ações capazes de manter ou mitigar os riscos;
VI - Comunicação e Consulta - processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;
VII - Monitoramento e Análise Crítica dos Riscos - processo de verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado; e
VIII - Registro e Relato - processo que visa garantir que a gestão de riscos e seus resultados sejam documentados e comunicados por meio de mecanismos apropriados.
Art. 14. O ciclo de gestão de riscos deverá ser realizado com periodicidade máxima de 12 (doze) meses, abrangendo os processos de trabalho das áreas finalísticas e administrativas do INAS.
Paragrafo único: O processo de gestão de riscos poderá ser revisto a qualquer tempo, sempre que ocorrerem mudanças significativas nos objetivos estratégicos ou no ambiente de riscos.
Art. 15. O gerenciamento dos riscos será operacionalizado preferencialmente por meio do Sistema de Gestão de Auditoria do Distrito Federal (Saeweb) ou por outro que o substitua.
Art. 16. O contexto, a matriz de riscos e o plano de ação são considerados documentos preparatórios para tomada de decisão pela gestão do INAS.
Parágrafo único. Tais documentos poderão conter informações sensíveis, cujo sigilo deverá ser preservado, nos termos da regulamentação aplicável, em razão de seu potencial impacto nas atividades estratégicas da Autarquia.
Art. 17. Os casos omissos ou excepcionais serão dirimidos pelo Comitê Interno de Governança, com base nas orientações da Controladoria-Geral do Distrito Federal - CGDF.
Art. 18. Esta Portaria entra em vigor na data de sua publicação.
Este texto não substitui o publicado no DODF nº 142, seção 1, 2 e 3 de 31/07/2025 p. 4, col. 1