ORDEM DE SERVIÇO Nº 40, DE 05 DE JUNHO DE 2025
O ADMINISTRADOR REGIONAL DE SÃO SEBASTIÃO DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o artigo 42, incisos XI e L, do Regimento Interno das Administrações Regionais, aprovado pelo Decreto nº 38.094, de 28 de março de 2017, considerando a Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes para a implantação da Gestão de Riscos; e Considerando o Decreto nº 39.736, de 28 de março de 2019, que dispõe sobre a Política de Governança Pública e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal, resolve:
Art. 1º Alterar a Política de Gestão de Riscos da ADMINISTRAÇÃO REGIONAL DE SÃO SEBASTIÃO RA-XIV estabelecida pela Ordem de Serviço nº 35, de 07 de julho de 2020, publicada no DODF nº 13, de 14/07/2020, pág. 6, que compreende:
V - o processo de gestão de riscos.
Art. 2º A Política de Gestão de Riscos tem como premissa o alinhamento ao parágrafo único do artigo nº 13 do Decreto nº 39.736, de 28 de março de 2019 que versa sobre a Política de Governança e Compliance no âmbito do GDF.
Art. 3º A Política de Gestão de Riscos tem por objetivo estabelecer os princípios, as diretrizes, as responsabilidades e o processo de gestão de riscos na ADMINISTRAÇÃO REGIONAL DE SÃO SEBASTIÃO RA-XIV, com vistas à ampliação e fortalecimento da análise de riscos como subsídio às tomadas de decisão, em conformidade com as boas práticas de governança adotadas no setor público.
Parágrafo único. A Política definida nesta ordem de serviço deverá ser observada por todas as áreas e níveis de atuação da ADMINISTRAÇÃO REGIONAL DE SÃO SEBASTIÃO RA-XIV, sendo aplicável a seus respectivos processos de trabalho, projetos, atividades e ações.
Art. 4º A implementação da Gestão de Riscos visa promover:
I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;
II - o alinhamento do apetite ao risco com as estratégias adotadas;
III - o fortalecimento das decisões em resposta aos riscos;
IV - o aprimoramento dos controles internos institucionais.
DOS PRINCÍPIOS DE GESTÃO DE RISCOS
Art. 5º A gestão de riscos observará os seguintes princípios:
I - criar e proteger valores institucionais;
II - ser parte integrante dos processos organizacionais;
III - ser estruturada e abrangente;
IV - ser personalizada estando alinhada ao contexto e ao perfil de risco da instituição;
V - ser transparente e inclusiva envolvendo as partes interessadas;
VI - abordar explicitamente a incerteza;
VII- ser baseada nas melhores informações disponíveis;
VIII - considerar fatores humanos e culturais;
IX - ser dinâmica, interativa e capaz de reagir a mudanças;
X - facilitar a melhoria contínua da organização.
DAS DIRETRIZES DE GESTÃO DE RISCOS
Art. 6º Para fins desta Política considera-se:
I - Riscos: efeito da incerteza nos objetivos a serem atingidos pela instituição;
II - Gestão de Riscos: atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco (ABNT NBR ISO 31000:2018);
III - Estrutura de Gestão de Riscos: conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização;
IV - Política de Gestão de Riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;
V - Atitude perante os Riscos: abordagem da organização para avaliar e, eventualmente, buscar, manter, assumir ou afastar-se do risco;
VI - Apetite a Risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir;
VII - Aversão ao Risco: atitude de afastar-se de riscos;
VIII - Plano de Ação de Gestão de Riscos: esquematização das medidas a serem tomadas dentro de uma estrutura de gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;
IX - Proprietário do Risco: pessoa ou área com a responsabilidade e a autoridade para gerenciar o risco;
X - Processo de Gestão de Riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto e de identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;
XI - Parte Interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;
XII - Processo de Avaliação de Riscos: processo global de identificação, análise e avaliação de riscos;
XIII - Fonte de Risco: elemento que, individualmente ou de modo combinado, tem o potencial para dar origem ao risco;
XIV - Evento: ocorrência ou mudança em um conjunto específico de circunstâncias;
XV - Consequência: resultado de um evento que afeta os objetivos;
XVI - Probabilidade: chance de algo acontecer;
XVII - Nível de Risco: magnitude de um risco expressa por meio da combinação das consequências e de suas probabilidades;
XVIII - Controle: medida que mantém e/ou modifica o risco;
XIX - Risco Negativo: é o efeito da incerteza que afeta negativamente o alcance dos objetivos.
XX - Risco Positivo: é o efeito da incerteza que potencializa o alcance dos objetivos.
XXI - Risco Residual: risco remanescente após o tratamento do risco;
XXII - Risco Inerente: risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento;
XXIII - Tolerância ao Risco: é o nível de variação aceitável quanto à realização dos seus objetivos;
XXIV - Impacto: efeito resultante da ocorrência de evento relacionado a um risco.
Art. 7º A Política de Gestão de Riscos abrange as seguintes categorias de riscos:
I - Estratégicos: riscos decorrentes da falta de capacidade ou habilidade da Unidade em proteger-se ou adaptar-se às mudanças que possam interromper o alcance de objetivos e a execução da estratégia planejada;
II - De Conformidade: riscos decorrentes do órgão/entidade não ser capaz ou hábil para cumprir com as legislações aplicáveis ao seu negócio e não elaborar, divulgar e fazer cumprir suas normas e procedimentos internos;
III - Financeiros: riscos decorrentes da inadequada gestão de caixa, das aplicações de recursos em operações novas/desconhecidas e/ou complexas de alto risco;
IV - Operacionais: riscos decorrentes da inadequação ou falha dos processos internos, das pessoas ou de eventos externos;
V - Ambientais: riscos decorrentes da gestão inadequada de questões ambientais, como: emissão de poluentes, disposição de resíduos sólidos e outros;
VI - De Tecnologia da Informação: riscos decorrentes da inexistência, indisponibilidade ou inoperância de equipamentos e sistemas informatizados que prejudiquem ou impossibilitem o funcionamento ou a continuidade normal das atividades da instituição representado, também, por erros ou falhas nos sistemas informatizados ao registrar, monitorar e contabilizar corretamente transações ou posições;
VII - De Recursos Humanos: riscos decorrentes da falta de capacidade ou habilidade da instituição em gerir seus recursos humanos de forma alinhada aos objetivos estratégicos definidos;
VIII - De Integridade: riscos decorrentes da não aderência aos valores, princípios e normas éticas da instituição, principalmente àqueles ligados a fraudes e a atos de corrupção.
Art. 8º São elementos estruturantes da Gestão de Riscos da ADMINISTRAÇÃO REGIONAL DE SÃO SEBASTIÃO RA-XIV a Política de Gestão de Riscos, o Comitê Interno de Governança, o Processo de Gestão de Riscos e o Controle Interno.
DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS
Art. 9º O sistema de gestão de riscos da Administração Regional de São Sebastião terá por base o Modelo de Três Linhas do Instituto dos Auditores Internos (IIA).
Art. 10. São instâncias responsáveis pela Gestão de Riscos na Administração Regional de São Sebastião:
I - Comitê Interno de Governança (CIG RA-XIV), como órgão de governança;
II - Primeira linha: Gerente de riscos, de projetos e responsável por novos controles que operam no Sistema de Gestão de Auditoria do Distrito Federal - SaeWeb;
III - Segunda linha (Nível Tático), realizada pela Assessoria de Planejamento da Administração Regional de São Sebastião (ASPLAN/GAB/RA-XIV);
IV - Terceira linha, representada pela Controladoria-Geral do Distrito Federal.
Art. 11. Compete ao Comitê Interno de Governança:
I - Promover a implementação e aplicação da gestão de riscos de forma sistemática, estruturada, oportuna e documentada;
II - Deliberar sobre os processos de trabalho que devam ter os riscos gerenciados e tratados com prioridade em cada área técnica (após levantamento feito junto aos proprietários dos riscos como às Coordenações), considerando a dimensão dos prejuízos que possam causar;
III - Decidir quais riscos deverão ser priorizados para tratamento por meio de ações de caráter imediato, a curto, médio ou longo prazos ou de aperfeiçoamento contínuo, após levantamento feito pelos grupos de trabalho responsáveis pela implantação da gestão de riscos em cada escopo;
IV - Deliberar sobre as ações de tratamento a serem implementadas, assim como o prazo de implementação e avaliação dos resultados obtidos, em conjunto com os proprietários dos riscos;
V - Promover a integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos;
VI - Utilizar os resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco e governança;
VII - Fomentar o desenvolvimento da cultura de gestão de riscos;
VIII - Analisar e, após concordância com os conteúdos propostos, homologar os artefatos “Estabelecimento do Escopo, Contexto e Critério”, “Matriz de Risco” e “Plano de Implantação das Ações de Controle (Plano de Tratamento)” elaborados pelo grupo de trabalho encarregado de implantar a gestão de riscos no escopo definido;
IX - Definir a tolerância/apetite ao risco da Administração Regional em relação ao escopo analisado;
X - Definir setor, área ou servidor(es) como responsável(eis) pela implementação, acompanhamento e interface de nível tático, entre o CIG/RA-SAO e os gerentes/proprietários de riscos, sem prejuízo das demais atividades exercidas (segunda linha do modelo proposto pelo IIA);
XI - Definir a forma, a periodicidade e o fluxo para o processo do registro e gerenciamento de riscos (reporte de gerentes de riscos);
XII - Promover ações de orientação/capacitação dos proprietários/gerentes de riscos acerca das definições de fluxo e processo de registro das informações de gerenciamento de riscos;
XIII - Monitorar a implantação das ações de controle propostas e homologadas;
XIV - Definir a forma, a periodicidade e o fluxo do processo para a realização de avaliação da atuação dos gerentes de riscos;
XV - Garantir a realização do gerenciamento de riscos, preferencialmente com o uso da ferramenta de apoio SaeWeb, disponibilizada pela Controladoria-Geral do Distrito Federal;
XVI - Garantir a execução do Plano de Capacitação com o intuito de promover ações periódicas de treinamento sobre o tema de gestão de riscos para os seus servidores, conforme modelos a serem disponibilizados pela Governança;
XVII - Garantir a execução do Plano de Comunicação com o intuito de promover ações de disseminação e promoção da cultura de gestão de riscos, conforme modelos a serem disponibilizados pela Governança;
XVIII - Aplicar a gestão de riscos na tomada de decisão da RA-SÃO;
XIX - Tomar conhecimento e aprovar os documentos encaminhados pela primeira e segunda linhas da RA-SÃO;
XX - Promover a difusão do conhecimento e a aplicação da técnica de gestão de riscos como ferramenta de análise e auxilio na tomada de decisão principalmente para projetos considerados significativos e politicas publicas desenvolvidas pela Administração Regional de São Sebastiao;
XXI - Ampliar o escopo da gestão de riscos para outros setores/macroprocessos /atividades consideradas relevantes para a Administração;
XXII - Solicitar, sempre que necessário, apoio técnico consultivo da Controladoria Geral do Distrito Federal - CGDF.
Art. 12. Compete ao gerente de riscos:
I - Monitorar os riscos para os quais foi indicado, acompanhando a situação dos riscos no decorrer do tempo: sua ocorrência, verificação do impacto, surgimento de novos fatores relacionados ao risco que não foram apreciados anteriormente (alterações de contexto que impactem nas fontes de risco, causas e consequências);
II - Acompanhar a execução dos controles existentes e seus efeitos sobre os riscos (avaliação);
III - Registrar as informações dentro dos períodos determinados (SaeWeb);
IV - Realizar as atividades de gerenciamento de riscos: avaliação, monitoramento, registro e relato, de acordo com a forma e periodicidade a serem definidas pelos CIG/RA-SÃO, com a utilização do sistema SaeWeb;
V - Relatar ao Gerente de Projeto sobre o andamento do gerenciamento dos riscos, e também sobre os controles, quando necessário;
VI - Cuidar para que os controles e procedimentos sejam seguidos;
VII - Propor a alteração dos níveis dos riscos;
VIII - Propor novos controles;
IX - Propor mudanças ou melhorias;
X - Reportar qualquer incidente ou ocorrência;
§ 1º Em caso de designação de Grupo de Trabalho para implantação da gestão de riscos ele exercerá competências comuns entre Gerente de Projeto, Gerente de Riscos e Responsáveis pelos novos controles, como:
I - Realizar a gestão dos riscos nos processos de trabalho, projetos e ações sob sua responsabilidade;
II - Elaborar a documentação e os artefatos pertinentes à operacionalização da gestão dos riscos nos processos de trabalho, projetos e ações sob sua responsabilidade;
III - Conduzir as reuniões com a equipe do processo de trabalho, projeto e/ou ação, para implementar controles de prevenção e tratamento de riscos;
IV - Manter comunicação regular e tempestiva com as partes interessadas no gerenciamento dos riscos do processo de trabalho, projeto e/ou ação;
V - Assegurar o cumprimento dos eventuais prazos estabelecidos no âmbito do gerenciamento dos riscos;
VI - Prestar informações e fornecer subsídios para auditorias, levantamentos, inspeções e monitoramentos acerca da gestão de riscos realizada no escopo para o qual fora designado;
VII - Confeccionar relatórios e informativos para a RA-XIV, sempre que necessário e quando solicitado;
VIII - Encaminhar os artefatos "Estabelecimento do Escopo, Contexto e Critério”, “Matriz de Risco” e “Plano de Implantação das Ações de Controle (Plano de Tratamento)” para conhecimento, análise, avaliação e homologação do CIG/RA-SAO.
§ 2º As competências comuns serão realizadas pelo(s) grupo(s) de trabalho a serem designados pela Alta Gestão para a implantação de Gestão de Riscos em escopos pré-definidos, cujos integrantes terão perfis de gerentes de projetos, riscos e responsáveis pelos controles no SaeWeb.
I - Coordenar as informações do sistema de gestão de riscos;
II - Apoiar as áreas, setores, grupos de trabalho na implantação da gestão de riscos;
III - Elaborar relatório de monitoramento (RM) para informar o CIG sobre a situação;
IV - Supervisionar a atuação da primeira linha (gerentes de riscos/projetos e dos responsáveis pelos novos controles);
V - Alertar sobre atrasos ou inadequações nos relatos dos gerentes dos riscos;
VI - Coordenar a realização da análise crítica e monitoramento do sistema de gestão de riscos (inclusive dos artefatos: "Política de Gestão de Riscos", "Escopo, Contexto e Critério", "Matriz de Riscos", "Plano de Implantação das Ações de Controle" e "Plano de Comunicação/Capacitação") e promover as revisões necessárias, conforme periodicidade definida na Política de Gestão de Riscos do órgão, submetendo-os ao CIG/RA-SÃO;
VII - Acompanhar e apoiar as atividades de registro e relato desenvolvidas pelas áreas envolvidas com a gestão de riscos;
VIII - Encaminhar as informações do sistema de gestão de riscos, por meio de reportes periódicos, para conhecimento e tomada de decisão do CIG/RA-SÃO;
IX - Encaminhar a Nota Técnica da CGDF à Unidade responsável pelo Controle Interno e/ou Governança, se houver, para conhecimento, acompanhamento e apoio das atividades de gestão de riscos e, sempre que solicitado, subsidiar e/ou elaborar respostas de assuntos afetos à gestão de riscos;
X - Supervisionar as atividades dos gerentes de projetos e de riscos;
XI - Orientar e apoiar os gerentes de projeto e de riscos na realização de suas atividades;
XII - Comunicar aos gerentes de projeto e de riscos sobre as diretrizes estabelecidas pelo Comitê Interno de Governança e pela Alta Gestão (abordagem frente aos riscos, grau de aceitação/tolerância);
XIII - Alertar sobre atrasos ou inadequações nos relatos dos gerentes dos projetos;
XIV - Relatar à Alta Gestão e ao Comitê Interno de Governança sobre o andamento do gerenciamento;
XV - Relatar à Alta Gestão e ao Comitê Interno de Governança sobre a atuação dos gerentes de projetos e de riscos;
XVI - Manter comunicação com a CGDF para acompanhamento das atividades relacionadas à gestão de riscos, inclusive com reportes periódicos sobre suas atividades.
DO PROCESSO DE GESTÃO DE RISCOS
Art. 14. Serão adotadas como referências técnicas para a gestão de riscos as normas ABNT NBR ISO 31000:2018, ABNT ISO 9001:2015, ABNT ISO 19001:2012 agregadas ao COSO 2013 - Controles Internos - Estrutura Integrada.
Art. 15. O processo de gestão de riscos compreende as etapas:
I - Etapa de implementação englobando:
a) O estabelecimento do escopo, contexto e critérios em que serão definidos os parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos.
b) O processo de avaliação de riscos, compreendendo:
i. A identificação dos eventos de risco - busca, reconhecimento e descrição dos riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;
ii. A análise dos eventos de risco - compreensão da natureza do risco e a determinação do seu respectivo nível mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis; e
iii. A avaliação dos riscos - processo de comparação dos resultados da análise de risco com os critérios do risco para determinar se o risco e/ou sua respectiva magnitude é aceitável ou tolerável.
c) Tratamento de riscos, a fim de processar a modificação do risco, compreendendo:
i. A identificação dos Controles, dos procedimentos, das ações ou dos documentos que garantam o alcance dos objetivos do processo e diminuam a exposição aos riscos; e
ii. O estabelecimento dos Controles, entendidos como as políticas e os procedimentos que assegurem o alcance dos objetivos da administração, diminuindo a exposição das atividades aos riscos as quais acontecem ao longo do processo organizacional, em todos os níveis e funções, incluindo aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança de recurso e segregação de funções.
II - Etapa de gerenciamento de riscos:
a) Comunicação e consulta - processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos.
b) Monitoramento e análise crítica - verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado.
c) Registro e relato - consiste em fornecer e disponibilizar informações para contribuir com a tomada de decisão, revisão do processo de gestão de riscos, análise e avaliação de controles, riscos e ações de gerenciamento de riscos.
Parágrafo primeiro. Eventuais conflitos de atuação decorrentes do processo de gestão de riscos serão dirimidos pelo Comitê Interno de Governança - CIG.
Parágrafo segundo. Os detalhamentos do processo serão estabelecidos em manuais, cartilhas ou guias de gestão de riscos a ser(em) aprovados pela Governança e terão caráter normativo interno aplicável a todos os servidores da Administração Regional de São Sebastião RA-XIV.
Art. 16. O gerenciamento dos riscos será feito por meio do Sistema de Gestão de Auditoria do Distrito Federal - SaeWeb, disponibilizado pela Controladoria-Geral do Distrito Federal.
Art. 17. O processo de gestão de riscos deve ser realizado em ciclos não superiores a 1 (um) ano, abrangendo os processos de trabalho das áreas da ADMINISTRAÇÃO REGIONAL DE SÃO SEBASTIÃO RA-XIV.
Parágrafo único. O limite temporal a ser considerado para o ciclo de gestão de riscos de cada processo de trabalho será definido pelo CIG RA-XIV com o apoio do proprietário do risco, levando em consideração o limite máximo estipulado no caput.
Art. 18. Os artefatos produzidos na Gestão de Riscos, quais sejam, o contexto, a matriz de riscos e o plano de ação, são considerados documentos preparatórios para tomada de decisão pela gestão da RA-XIV.
Parágrafo único. Por se tratar de documento preparatório, a matriz de riscos pode conter informações sensíveis que caso divulgadas indevidamente podem prejudicar ou causar riscos para o desenvolvimento das atividades de interesse estratégico da RA-XIV, devendo ser resguardado o seu sigilo dentro dos parâmetros normativos.
Art. 19. Esta Ordem de Serviço entra em vigor na data de sua publicação.
Este texto não substitui o publicado no DODF nº 109, seção 1, 2 e 3 de 12/06/2025 p. 3, col. 1