Gestão de riscos corporativos
Na Anvisa, a Gestão de Riscos Corporativos (GRC) atende às recomendações da CGU e aos requisitos da Instrução Normativa Conjunta (INC) nº 01/2016 do Ministério da Economia e da CGU, bem como ao Decreto n.º 9.203, de 2017, que dispõe sobre a Política de Governança da Administração Pública Federal.
A GRC visa identificar, analisar, avaliar, priorizar, tratar e monitorar riscos corporativos capazes de afetar os objetivos, programas, projetos ou processos de trabalho da Anvisa nos níveis estratégico, tático e operacional. Seu objetivo é fortalecer a governança, o cumprimento da missão da Agência e o alcance dos objetivos institucionais, além de promover maior transparência e aprimorar o ambiente de controles internos da gestão da Anvisa.
Nesse sentido, a Política de Gestão de Riscos Corporativos da Anvisa (Portaria n° 1.211/2022) estabelece os objetivos, princípios, conceitos, diretrizes, atribuições e responsabilidades a serem observados para a execução da gestão de riscos corporativos, bem como orienta quanto à identificação, análise, avaliação, tratamento, monitoramento e comunicação dos riscos corporativos na Agência.
As atividades de GRC da Anvisa estão representadas na figura abaixo, sendo as ações de GRC compartilhadas entre agentes públicos nos diversos níveis organizacionais, de modo que os gerentes-gerais e equivalentes (agentes de riscos) realizem a gestão de riscos nos processos prioritários sob sua responsabilidade e a governança direciona, monitora e avalia a implementação dos controles para a mitigação de tais riscos:
Acesse aqui o Book de Gestão de Riscos Corporativos.
Declaração de apetite e tolerância
A declaração de apetite e tolerância aos riscos é o instrumento pelo qual a Anvisa sinaliza quais os níveis de risco que serão admitidos na realização de suas atividades e como estes serão tratados para o alcance de seus objetivos em todos os níveis de gestão da Agência.
A Declaração de Apetite a Riscos reforça a disseminação da cultura de risco ao possibilitar o conhecimento dos principais aspectos do apetite a riscos a todos os servidores da Agência, contribuindo assim no aumento da maturidade em GRC.
Nos termos da Política de GRC, o apetite ao risco corresponde à quantidade e tipos de riscos, no sentido mais amplo, que a Agência está disposta a aceitar. A tolerância ao risco remete ao nível de variação aceitável quanto à realização dos objetivos da Agência.
Apetite ao risco: a Anvisa está disposta a aceitar os riscos corporativos nos níveis “controlável” e “desprezível”, não necessitando, portanto, execução de novos controles para reduzir estes riscos. A exceção são os riscos de integridade, que possuem apetite e tolerância zero, ou seja, independentemente do nível em que se encontra, devem ser adotadas medidas adicionais para tratamento do risco.
Tolerância ao risco: a Anvisa tolera a variação do nível de risco fora do apetite mediante avaliação e decisão no caso concreto, conforme diretrizes e responsabilidades representadas na tabela de tratamento por nível de risco.
Maturidade da gestão de riscos
Em decorrência do compromisso institucional da Anvisa em implementar a Gestão de Riscos Corporativos (GRC), desde 2013 a Anvisa avalia sua maturidade em GRC, com objetivo de diagnosticar a maturidade atual e identificar novas ações para aprimorar a gestão das vulnerabilidades que possam impactar o alcance dos objetivos institucionais.
Esta autoavaliação é realizada por meio da aplicação do instrumento do Tribunal de Contas da União (TCU) que consiste em verificar a arquitetura, os princípios, a estrutura de governança, os componentes e os processos implementados para o gerenciamento de riscos corporativos na Agência, sendo avaliados 90 (noventa) critérios distribuídos em quatro dimensões: ambiente, processos, resultados e parcerias.
O nível de maturidade em GRC da Anvisa foi aferido pela primeira vez em 2013, quando TCU aplicou questionário de autoavaliação a uma gama de órgãos do governo federal, incluindo as Agências Reguladoras. Novas avaliações de maturidade foram realizadas em 2014, pelo TCU, e em 2020 e 2021, pela Anvisa, saindo de 10,53% para 51,65% de alcance dos critérios avaliados após implantação de medidas pela Agência, com avanços nas dimensões de ambientes, processos e resultados, conforme ilustram as figuras a seguir:
*Em 2014, não foram avaliadas as dimensões "Parcerias" e "Resultados".
Riscos Estratégicos
Com a vigência do Plano Estratégico 2020-2023, foi iniciada a definição da carteira dos riscos da estratégia, que corresponde aos eventos com possibilidade de impactar no alcance dos objetivos estratégicos.
Os eventos de riscos que compõem a Carteira de Riscos da Estratégia da Agência foram definidos sobre uma ampla perspectiva de situações que, no caso de sua materialização, podem impactar negativamente a Anvisa no alcance dos objetivos estratégicos estabelecidos para o quadriênio 2020-2023. Informações sobre a construção da Carteira de Riscos da Estratégia podem ser consultadas neste documento.
Os resultados do monitoramento dos riscos estratégicos são apresentados e avaliados trimestralmente junto ao Comitê de Gestão Estratégica, Riscos e Inovação Institucional (CGE) e enviados às diretorias, para conhecimento e acompanhamento dos planos de tratamento e respectivas ações de controle, bem como de recomendações de novos controles ou medidas adicionais.
As informações são divulgadas nos relatórios trimestrais e anuais de monitoramento da estratégia e disponibilizadas no portal da Agência, na página de Monitoramento e Avaliação da Estratégia, ressalvadas àquelas sujeitas a sigilo ou restrição de acesso, nos termos da legislação vigente.