PORTARIA Nº 139, DE 24 DE SETEMBRO DE 2021
Estabelece a Política de Gestão de Riscos da Secretaria de Estado de Segurança Pública e dá outras providências.
O SECRETÁRIO DE ESTADO DE SEGURANÇA PÚBLICA DO DISTRITO FEDERAL, no uso das atribuições que lhe confere o art. 227, incisos II e XV, do Regimento Interno da Secretaria de Estado de Segurança Pública do Distrito Federal, aprovado pelo Decreto nº 40.079, de 04 de setembro de 2019, e considerando o Decreto nº 39.736, de 28 de março de 2019, que dispõe sobre a Política de Governança Pública e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo do Distrito Federal, bem como a Portaria nº 56, de 07 de setembro de 2019, a qual institui o Comitê Interno de Governança e Gestão Estratégica – Cigesp, da Secretaria de Estado de Segurança Pública, resolve:
Art. 1º Instituir a Política de Gestão de Riscos no âmbito da Secretaria de Estado de Segurança Pública do Distrito Federal, que compreende:
V - o processo de gestão de riscos.
Art. 2º A Política de Gestão de Riscos tem como premissa o alinhamento ao parágrafo único do artigo 13 do Decreto nº 39.736, de 28 de março de 2019, que versa sobre a Política de Governança e Compliance no âmbito da Administração Direta, Autárquica e Fundacional do Poder Executivo Distrital, à Lei 6.456, de 26 de dezembro 2019, que institui a Política Distrital de Segurança Pública e Defesa Social, bem como ao Planejamento Estratégico da SSP/DF.
Art. 3º A Política de Gestão de Riscos, o Comitê Interno de Governança e Estratégia – Cigesp e o Processo de Gestão de Riscos e Controle são elementos estruturantes da Gestão de Riscos da SSP/DF.
Art. 4º A Política de Gestão de Riscos tem por objetivo estabelecer os princípios, as diretrizes, as responsabilidades e o processo de gestão de riscos na Secretaria de Estado Segurança Pública – SSP/DF, com vistas à ampliação e o fortalecimento da análise de riscos como subsídio às tomadas de decisão, em conformidade com as boas práticas de governança adotadas no setor público.
Parágrafo único. A Política definida neste normativo deverá ser observada por todas as áreas e níveis de atuação da Secretaria de Estado Segurança Pública, sendo aplicável a seus respectivos processos de trabalho, projetos, atividades e ações.
Art. 5º A implementação da Gestão de Riscos visa promover:
I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;
II - o alinhamento do apetite ao risco com as estratégias adotadas;
III - o fortalecimento das decisões em resposta aos riscos; e
IV - o aprimoramento dos controles internos institucionais.
DOS PRINCÍPIOS DE GESTÃO DE RISCOS
Art. 6º A gestão de riscos observará os seguintes princípios:
I - Transversalidade: A gestão de riscos é parte integrante de todas as atividades organizacionais e assim deve ser considerada;
II - Personalização: A estrutura e o processo de gestão de riscos devem ter critérios e abrangências estabelecidos de forma individualizada e proporcional aos contextos externos e internos da SSP/DF, considerando a cultura organizacional, os fatores humanos envolvidos e o perfil de risco da instituição;
III - Inclusão: O processo de implantação de gestão de riscos deve garantir o envolvimento apropriado e oportuno das partes interessadas, possibilitando, sempre que possível, que pontos de vista e percepções sejam considerados de forma a melhorar a conscientização e fundamentação da gestão de riscos;
IV - Dinamização dos riscos: A gestão de risco deve considerar que os riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização se alterem desenvolvendo um processo que responda à essas mudanças; e
V - Melhoria contínua: A gestão de risco deverá evoluir positivamente por meio de aprendizado e experiências, registrando e documentando o processo de forma a obter a melhor informação disponível.
DAS DEFINIÇÕES DE GESTÃO DE RISCOS
Art. 7º Para fins desta Política, considera-se:
I - Riscos: efeito da incerteza nos objetivos a serem atingidos pela instituição;
II - Gestão de Riscos: atividades coordenadas para dirigir e controlar uma organização no que diz respeito aos riscos;
III - Estrutura de Gestão de Riscos: conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização;
IV - Política de Gestão de Riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;
V - Atitude perante os Riscos: abordagem da organização para avaliar e, eventualmente buscar, manter, assumir ou afastar-se do risco;
VI - Apetite ao Risco: quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir;
VII - Aversão ao Risco: atitude de afastar-se de riscos;
VIII - Plano de Ação de Gestão de Riscos: esquematização das medidas a serem tomadas dentro de uma estrutura de gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;
IX - Proprietário do Risco: pessoa ou área com a responsabilidade e a autoridade para gerenciar o risco;
X - Processo de Gestão de Riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto e de identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;
XI - Parte Interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade;
XII - Processo de Avaliação de Riscos: processo global de identificação, análise e avaliação de riscos;
XIII - Fonte de Risco: elemento que, individualmente ou de modo combinado, tem o potencial para dar origem ao risco;
XIV - Evento: ocorrência ou mudança em um conjunto específico de circunstâncias;
XV - Consequência: resultado de um evento que afeta os objetivos;
XVI - Probabilidade: chance de algo acontecer;
XVII - Nível de Risco: magnitude de um risco expressar, por meio da combinação das consequências e de suas probabilidades;
XVIII - Controle: medida que mantém e/ou modifica o risco;
XIX - Risco Negativo: é o efeito da incerteza que afeta negativamente o alcance dos objetivos;
XX - Risco Positivo: é o efeito da incerteza que potencializa o alcance dos objetivos;
XXI - Risco Residual: risco remanescente após o tratamento do risco;
XXII - Risco Inerente: risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento;
XXIII - Tolerância ao Risco: é o nível de variação aceitável quanto à realização dos seus objetivos; e
XXIV - Impacto: efeito resultante da ocorrência de evento relacionado a um risco.
Art. 8º A Política de Gestão de Riscos abrange as seguintes categorias de riscos:
I - Estratégicos: riscos decorrentes da falta de capacidade ou habilidade da Unidade em proteger-se ou adaptar-se às mudanças que possam interromper o alcance de objetivos e a execução da estratégia planejada;
II - De Conformidade: riscos decorrentes do órgão/entidade não ser capaz ou hábil para cumprir com as legislações aplicáveis ao seu negócio e não elaborar, divulgar e fazer cumprir suas normas e procedimentos internos;
III - Financeiros/Orçamentários: riscos decorrentes de falhas no ciclo de captação, recebimento, aplicação e execução do orçamento em suas diversas fontes;
IV - Operacionais: riscos decorrentes da inadequação ou falha dos processos internos, das pessoas ou de eventos externos e demais situações que impactem uma atividade negocial;
V - De Tecnologia da Informação e Comunicação: riscos decorrentes das falhas internas ou externas relacionadas à integridade, confidencialidade, disponibilidade, autenticidade e não repúdio da informação;
VI - De Integridade: riscos decorrentes da não aderência aos valores, princípios e normas éticas da instituição, principalmente àqueles ligados a fraudes e a atos de corrupção;
VII - Imagem/Reputação: eventos de risco relacionados à imagem pública da organização, fundamentada ou não, repercutindo nos cidadãos, fornecedores, colaboradores, órgãos relacionados, órgãos de imprensa ou pela opinião pública em geral; e
VIII - Ambientais: riscos associado às questões do meio ambiente, decorrentes tanto de eventos que podem provocar danos às atividades da SSP, como incêndios, enchentes, pandemia (naturais ou não), como também da redução de impacto ambiental no desenvolvimento do negócio como uso de energia limpa, redução de uso de papel, tratamento de esgoto em obras, etc.
Parágrafo único. As categorias dos riscos deverão ser observadas no caso concreto, avaliando as categorias de forma geral sempre que possível.
DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS
Art. 9º São considerados partes responsáveis pelo gerenciamento dos riscos, em seus respectivos âmbitos e escopos de atuação:
I - o Comitê Interno de Governança e Estratégia – Cigesp;
II - os proprietários dos riscos; e
III - os servidores da SSP/DF.
Parágrafo único. Outros Comitês poderão ser criados ou setores poderão receber designação, de acordo com a estruturação do modelo de aplicação a ser definida pelo Cigesp.
Art. 10. Compete ao Comitê Interno de Governança e Estratégia – Cigesp:
I - patrocinar e fomentar as boas práticas de gestão de riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores;
II - implementar e manter processos e mecanismos adequados à incorporação dos princípios e das diretrizes da governança previstos no Decreto 39.736, de 28 de março de 2019, entre eles a gestão de riscos;
III - decidir sobre os processos de trabalho institucionais que devam ter os riscos gerenciados e tratados com prioridade, considerando a dimensão dos prejuízos que possam causar no funcionamento do sistema e no cumprimento da missão institucional;
IV - assegurar a existência, o monitoramento e a avaliação de um sistema efetivo de gestão de riscos;
V - utilizar as informações resultantes desse sistema para apoiar seus processos decisórios e gerenciar riscos estratégicos;
VI - delegar a implantação e a operação da gestão de riscos às áreas de negócio relacionadas;
VII - definir os níveis de risco aceitáveis na instituição; VIII - aprovar o plano periódico de auditoria de controles;
IX - avaliar a atuação dos gerentes táticos e operacionais; e
X - homologar os artefatos produzidos.
Art. 11. Compete aos Proprietários dos Riscos dos processos organizacionais:
I - observar o alinhamento da gestão de riscos à conformidade normativa, à ética e aos valores descritos no plano estratégico da SSP/DF;
II - propor alterações na Política e na Metodologia de Gestão de Riscos próprias da instituição;
III - alimentar os indicadores sob sua responsabilidade;
IV - propor requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de Gestão de Riscos;
V - demandar capacitação em Gestão de Riscos;
VI - estabelecer contexto, identificar, analisar, avaliar e propor os riscos a serem priorizados;
VII - identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define a SSP/DF;
VIII - levantar, propor e executar as respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;
IX - controlar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas, bem como reportar os riscos intoleráveis ao Subcomitê de Gestão de Riscos ao qual está subordinado;
X - reportar ao responsável o status dos processos de Gestão de Riscos sob sua responsabilidade e propor melhorias;
XI - responder às requisições das esferas superiores; e
XII - observar a Política de Gestão de Riscos durante a execução das ações de Gestão de Riscos dos seus respectivos processos organizacionais.
Parágrafo único. Os proprietários pela gestão de riscos dos processos organizacionais devem ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.
Art. 12. Compete a todos aos servidores da SSP/DF, no âmbito de suas atividades, a corresponsabilidade do processo de gestão de risco, executando ações de sua atribuição e reportando situações nos outros casos para que o processo seja efetivo.
Parágrafo único. Todos os agentes públicos em exercício na Secretaria de Estado de Segurança Pública, em todos os níveis e unidades, deverão ter facilitado o acesso e a consulta aos normativos, aos manuais e a outros instrumentos que disciplinem a gestão de riscos objeto desta Política.
DO PROCESSO DE GESTÃO DE RISCOS
Art. 13. Serão adotadas como referências técnicas para a gestão de riscos as normas ABNT NBR ISO 31000:2018, ABNT ISO 9001:2015, ABNT ISO 19001:2012 agregadas ao COSO 2013 - Controles Internos – Estrutura Integrada, compreendida pelas seguintes fases:
I - Comunicação e Consulta: processos contínuos e interativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;
II - Estabelecimento do Contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de riscos para a política de gestão de riscos;
III - Identificação dos Riscos: busca, reconhecimento e descrição dos riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;
IV - Análise dos Riscos: compreensão da natureza do risco e a determinação do seu respectivo nível mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;
V - Avaliação dos Riscos: processo de comparação dos resultados da análise de risco com os critérios do risco para determinar se o risco e/ou sua respectiva magnitude é aceitável ou tolerável;
VI - Tratamento dos Riscos: processo para modificar o risco;
VII - Monitoramento dos Riscos: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;
VIII - Identificação dos Controles: identificação dos procedimentos, ações ou documentos que garantem o alcance dos objetivos do processo e diminuam a exposição aos riscos; e
IX - Estabelecimento dos Controles: políticas e procedimentos que assegurem o alcance dos objetivos da administração, diminuindo a exposição das atividades aos riscos as quais acontecem ao longo do processo organizacional, em todos os níveis e funções, incluindo aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança de recurso e segregação de funções.
Art. 14. A implantação inicial da Gestão de Riscos, a ser estabelecido pelo Comitê Interno de Governança e Estratégia - Cigesp, será desenvolvida com o apoio consultivo da Controladoria-Geral do Distrito Federa e deverá ser analisada durante a realização da Auditoria Baseada em Riscos – ABR.
§ 1º Os artefatos produzidos na Gestão de Riscos, quais sejam, o contexto, a matriz de riscos e o plano de ação, são considerados documentos preparatórios para tomada de decisão pela gestão da SSP/DF.
§ 2º Por se tratar de documento preparatório, a matriz de riscos pode conter informações sensíveis que caso divulgadas indevidamente podem prejudicar ou causar riscos para o desenvolvimento das atividades de interesse estratégico da SSP/DF, devendo ser resguardado o seu sigilo dentro dos parâmetros normativos.
Art. 15. O modelo de implantação da gestão de risco na SSP/DF será incremental, conforme as diretrizes do Comitê Interno de Governança e Estratégia - Cigesp.
Art. 16. O processo de gestão de riscos deve ser realizado em ciclos não superiores a 1 (um) ano, abrangendo os processos de trabalho das áreas da SSP/DF ou em outro prazo a ser definido pelo Comitê Interno de Governança e Estratégia - Cigesp.
Art. 17. Eventuais conflitos de atuação decorrentes do processo de gestão de riscos serão dirimidos pelo Comitê Interno de Governança e Estratégia - Cigesp.
Art. 18. O gerenciamento dos riscos será feito por meio de ferramenta adotada pela SSP/DF.
Art. 19. Os casos omissos ou excepcionais serão resolvidos pelo Cigesp de acordo com as orientações a serem emanadas da Controladoria-Geral do Distrito Federal – CGDF.
Art. 20. Esta Portaria entra em vigor na data de sua publicação.
Este texto não substitui o publicado no DODF nº 200, seção 1, 2 e 3 de 25/10/2021 p. 7, col. 1