Política de Gestão de Riscos

Publicado em 11/06/2020 10h48 Atualizado em 15/06/2020 10h50

PORTARIA Nº 696, DE 29 DE AGOSTO DE 2019
Institui a Política de Gestão de Riscos da Superintendência da Zona Franca de Manaus e o Comitê de Governança, Riscos e Controles.

O Superintendente da Suframa, no uso de suas atribuições legais e regimentais, conferidas pelo artigo 14 do Decreto-Lei nº 288, de 28 de fevereiro de 1967, 
CONSIDERANDO a necessidade da elaboração, implementação, monitoramento e melhoria continuada de uma política institucional de gestão de riscos com vistas a atender à Instrução Normativa Conjunta MP/CGU nº 01/2016, que regula a gestão de riscos no Serviço Público Federal; 
CONSIDERANDO a aprovação da Política de Gestão de Riscos do Ministério da Economia por meio da Resolução CRTCI nº 2, de 27 de junho de 2019; 
CONSIDERANDO o Decreto nº 9759 de 11 de abril de 2019 que extinguiu e estabeleceu diretrizes, regras e limitações para colegiados da administração pública federal; 
CONSIDERANDO como referência técnica a NBR ISO 31000/2009, que estabelece os princípios e diretrizes para a gestão de riscos

RESOLVE: 

CAPÍTULO I - DAS DISPOSIÇÕES INICIAIS


Art. 1º Instituir a Política de Gestão de Riscos, no âmbito da Suframa, com a finalidade de: 
I – integrar o processo de gestão de riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em toda a Autarquia; 
II – oportunizar o desenvolvimento, implementação e melhoria contínua da estrutura e do processo de gestão de riscos da Autarquia; 
III – facilitar o aprimoramento dos controles internos de gestão organizacionais nos termos do Art. 3º da IN 01/2016 – MP/CGU; 
IV – dispor sobre a distribuição de competências e responsabilidades, gerenciar riscos e a identificação dos agentes responsáveis e gestores de riscos da Suframa; 
V – estabelecer as conexões entre os objetivos e políticas organizacionais com esta Política de Gestão de Riscos; e 
VI – promover o compromisso organizacional de disponibilizar os recursos necessários para auxiliar os responsáveis e gestores de riscos;

Art. 2º A Política de Gestão de Riscos estabelece, por meio da Estrutura e do Processo de Gestão de Riscos, diretrizes sobre: 
I – a integração da gestão de riscos ao planejamento estratégico, aos processos, às atividades, aos projetos e às políticas da Autarquia, bem como entre as suas unidades, agentes responsáveis e gestores de riscos; 
II – a periodicidade dos processos de identificação, avaliação, tratamento e monitoramento dos riscos; 
III – os critérios e instrumentos de mensuração e comunicação do desempenho da gestão de riscos; 
IV – a utilização de metodologias e ferramentas para o apoio à gestão de riscos; e V – o desenvolvimento contínuo dos agentes públicos em gestão de riscos. 

CAPÍTULO II - DAS PREMISSAS E OBJETIVOS

Art. 3º A Política de Gestão de Riscos da Suframa tem como premissas: 
I – a forma sistemática, integrada e oportuna, do processo de gestão de riscos subordinada ao interesse público; 
II – o estabelecimento de níveis de exposição e tratamento de riscos adequados ao contexto, às políticas, aos objetivos e à disponibilidade de recursos organizacionais; 
III – o estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à Autarquia; 
IV – a utilização do mapeamento de processos como componente da estrutura e do processo de gestão de riscos; 
V – a utilização da gestão de riscos como referência para a melhoria contínua dos processos organizacionais de tomada de decisão, controles internos de gestão e planejamento estratégico; e 
VI – O envolvimento conveniente e oportuno das partes interessadas e dos tomadores de decisão em todos os níveis da Autarquia no aperfeiçoamento contínuo da estrutura e do processo de gestão de riscos. 

Art. 4º São objetivos da Política de Gestão de Riscos da Suframa: 
I – assegurar que os tomadores de decisão disponham de informações tempestivas e suficientes sobre os riscos aos quais está exposta a Suframa, inclusive para determinar questões relavas à delegação; 
II – aumentar a probabilidade de alcance dos objetivos organizacionais, por meio da efetividade da estrutura e do processo de gestão de riscos; e 
III – agregar valor à Autarquia por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos resultantes da ocorrência dos eventos que os causam.

CAPÍTULO III - DOS CONCEITOS 

Art. 5º Para fins desta Portaria, considera-se: 
I – Evento: ocorrência ou mudança em um conjunto específico de circunstâncias capaz de causar impacto sobre as políticas, objetivos, processos, projetos ou atividades organizacionais; 
II – Incerteza: estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade; 
III – Risco: efeito da incerteza sobre os objetivos organizacionais, representado pela probabilidade da ocorrência de eventos e seus impactos; 
IV – Gestão de riscos: atividades coordenadas para dirigir e controlar riscos organizacionais;
V – Política de gestão de riscos: declaração institucional das intenções e diretrizes gerais relacionadas à gestão de riscos; 
VI – Estrutura de gestão de riscos: conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos; 
VII – Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos; 
VIII – Processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos; 
IX – Plano de Gestão de riscos: esquema dentro da estrutura da gestão de riscos, que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos; 
X – Sistema de gestão de riscos: conjunto formado pela política, a estrutura e o processo de gestão de riscos; 
XI – Identificação de riscos: processo de busca, reconhecimento e descrição de riscos; 
XII – Análise de riscos: processo de compreender a natureza do risco e determinar o nível de risco; 
XIII – Avaliação de riscos: processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável; 
XIV – Critério de risco: valores de referência contra os quais o impacto e a probabilidade do risco são avaliados; 
XV – Nível de risco: magnitude do risco expressa na combinação entre o impacto e a probabilidade de ocorrência do evento; 
XVI – Atitude perante o risco: abordagem organizacional para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco; 
XVII – Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco; 
XVIII – Consequência ou impacto: efeito resultante da ocorrência do evento sobre os objetivos, políticas, processos, projetos ou atividades desenvolvidas pela Suframa; 
XIX – Probabilidade: possibilidade de ocorrência dos eventos relacionados a riscos; 
XX – Tratamento de riscos: conjunto de ações realizadas para modificar os riscos; 
XXI – Risco inerente: risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento; 
XXII – Risco residual: risco remanescente ao qual se expõe face à implementação de controles que alterem o impacto ou a probabilidade do evento; XXIII – Tolerância ao Risco: é o nível de variação aceitável quanto à realização dos objetivos em função das ameaças ou impactos relacionados a riscos; 
XXIV – Agente responsável ou gestor de riscos: servidor formalmente identificado ao qual está associada a responsabilidade e a autoridade para gerenciar um ou mais riscos identificados e mapeados; 
XXV – Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos; 
XXVI – Comunicação e consulta: processos organizacionais contínuos e interativos realizados para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;
XXVII – Parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade; 
XXVIII – Direção Superior da Suframa: Grupo de gestão e tomada de decisão composto pelo Superintendente e pelos Superintendentes Adjuntos da Suframa; e 
XXIX – Colaboradores: pessoa ou organização contratada para a prestação de serviços no âmbito da Suframa.


CAPÍTULO IV – DA ESTRUTURA DE GESTÃO DE RISCOS

Art. 6º A estrutura de gestão riscos consiste no conjunto de fundamentos e arranjos institucionais que deverão incorporar a gestão de riscos em toda a Suframa, com a finalidade de auxiliar o gerenciamento eficaz dos riscos por meio do processo de gestão de riscos.

Parágrafo Único: A estrutura deve assegurar a comunicação das informações geradas no processo de gestão de riscos, reportando-as adequadamente para embasar as tomadas de decisão e responsabilização. 

Art. 7º Ao implementar, operacionalizar e atualizar o sistema de gestão de riscos, a Direção Superior, os gestores e os demais servidores e colaboradores, deverão observar os seguintes componentes da estrutura de gestão de riscos: 
I – a atribuição de autoridade, competência e responsabilidades aos gestores e servidores responsáveis pelo gerenciamento de riscos, bem como pelo desenvolvimento, implementação, manutenção e melhoria da estrutura e do processo de gestão de riscos; 
II – a mensuração de desempenho, avaliação crítica e comunicação interna e externa dos resultados, com a reserva devida aos diferentes escalões de autoridade; 
III – a avaliação dos contextos interno e externo da Suframa, que incluem: 

a) o ambiente interno, composto, entre outros elementos, pela integridade e valores éticos, pela competência das pessoas, pelo modo de delegação da autoridade e responsabilidades, pela estrutura de governança organizacional e por políticas e práticas de recursos humanos.
b) o ambiente externo, constituído, entre outros, pelos aspectos cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local, inclusive, os fatores conjunturais e tendências que tenham impacto sobre os objetivos organizacionais, assim com as relações com partes interessadas externas e suas percepções e valores;

IV – a fixação e comunicação dos objetivos estratégicos organizacionais aos quais devem estar alinhados a estrutura e o processo de gestão de riscos para permitir a identificação de eventos que podem impedir sua consecução; e 
V – a informação e comunicação das informações relevantes a tempo de permitir que os agentes cumpram suas responsabilidades em relação ao gerenciamento de riscos e a tomada de decisão. 

Art. 8º A estrutura gestão de riscos deve ser incorporada em todas as políticas, atividades, projetos e processos da Suframa, visando à sua pertinência, eficácia e eficiência. 
I – os fundamentos e arranjos institucionais da gestão de riscos devem ser considerados no desenvolvimento de políticas, na análise crítica, no planejamento estratégico e de negócios, e nos processos de gestão de mudanças; e 
II – cada unidade da Suframa deverá desenvolver implantar, monitorar e melhorar continuamente um plano de gestão de riscos a fim de assegurar que a política de gestão de riscos seja implementada e que a gestão de riscos seja incorporada em todas as práticas e processos organizacionais.

Art. 9º A Direção Superior da Suframa deverá alocar os recursos apropriados para o adequado funcionamento da estrutura e do processo de gestão de riscos, incluindo: 
I – as pessoas com habilidades, experiência e competências necessárias para a boa gestão de riscos; e 
II – os valores orçamentários e financeiros para as despesas com o treinamento continuado, a aquisição de direitos ao uso de processos, métodos e ferramentas essenciais para a operacionalização da estrutura e do processo de gestão de riscos. 

Art. 10. A estratégia e o momento para a implementação da estrutura de gestão de riscos deve ser definida pela Direção Superior da Suframa, observando: 
I – o atendimento aos requisitos legais e regulatórios; 
II – a necessidade de informação e treinamento das pessoas e agentes responsáveis; e 
III – a comunicação e consulta às partes interessadas. 

Art. 11. A Direção Superior da Suframa deverá, com base nos resultados do monitoramento e das análises críticas, rever, periodicamente, a política, a estrutura e o processo de gestão de riscos com a finalidade de melhorar a capacidade de gerenciar riscos da Autarquia e a sua cultura de gestão de riscos. 

CAPÍTULO V - DAS ATRIBUIÇÕES E RESPONSABILIDADES

Art. 12. O Superintendente da Suframa é o principal responsável pelo estabelecimento, aprovação, manutenção, monitoramento e melhoria continuada da política, da estrutura e do processo de gestão de riscos. 

Art. 13. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado. 

§1º O agente responsável pelo gerenciamento de determinado risco deve ser o gestor ocupante do cargo de coordenador-geral, cuja autoridade é suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco. 

§2º São responsabilidades do agente responsável: 
I – assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da Suframa, conforme o Plano de Gestão de Riscos da própria Unidade; 
II – monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; e 
III – garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da Suframa. 

Art. 14. Institui-se no âmbito da Suframa o Comitê de Governança, Riscos e Controles com a finalidade de: 
I - gerir de modo integrado os riscos e controles internos; 
II - proporcionar um ambiente de controle e gestão de riscos com respeito aos valores, interesses e expectavas da Autarquia, dos seus servidores, gestores, colaboradores e partes interessadas. 

§1º O Comitê é composto pelo Superintendente e pelos Superintendentes Adjuntos e será apoiado por uma Comissão Permanente de Gestão de Riscos e Controles, instituída por meio de Portaria da Superintendência. 

§2º São competências do Comitê de Governança, Riscos e Controles: 
I – promover práticas e princípios de conduta e padrões de comportamentos; 
II – Institucionalizar e coordenar as estruturas adequadas de governança, gestão de riscos e controles internos;
III – promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos; 
IV – garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público; 
V – promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos; 
VI – promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações; 
VII – aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos; 
VIII – supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público; 
IX – liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade; 
X – estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política, processo ou atividade; 
XI – aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão; 
XII – emir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos; e 
XIII – monitorar as recomendações e orientações deliberadas pelo Comitê. 

§3º São atribuições da Comissão Permanente de Gestão de Riscos e Controles: 
I – disseminar a política e os instrumentos de gerencia mento de riscos; 
II – facilitar a realização dos levantamentos, encontros e reuniões; 
III – orientar a capacitação dos servidores envolvidos com a gestão de riscos; 
IV – prestar apoio metodológico de gestão de riscos às unidades da Suframa; e 
V – submeter documentação e temas à deliberação do Comitê de Governança, Riscos e Controles.

CAPÍTULO VI - DO PROCESSO DE GESTÃO DE RISCOS

Art. 15. O processo de gestão de riscos é parte integrante da gestão organizacional, devendo ser incorporado à cultura e às práticas institucionais e adaptados aos processos internos. 

§1º O processo de gestão de riscos compreende processos continuados e segmentados em etapas: 
I – Os processos continuados têm caráter ininterrupto e consistem: 

a) na comunicação e consulta às partes interessadas internas e externas; e
b) no monitoramento e análise crítica dos resultados da gestão de riscos no âmbito da Suframa;
c) formação de recursos humanos e aquisição de métodos e ferramentas de gestão de riscos.

II – Os processos segmentados tem caráter sequencial e cíclico, constituindo-se pelas seguintes atividades: 

a) o estabelecimento do contexto;
b) o processo de avaliação de riscos; e
c) o tratamento dos riscos.


§2º A comunicação e consulta constui-se por meio do fluxo de informações entre as partes interessadas no processo de gestão de riscos, a fim de assegurar a compreensão necessária à tomada de decisão envolvendo os riscos. 
I – o registro e publicação dos dados e informações produzidos no processo de gestão de riscos é responsabilidade dos agentes responsáveis e dos servidores por eles formalmente designados; 
II – o registro dos dados e informações deve ser preferencialmente realizado por meios eletrônicos e controlados por diferentes níveis de acesso; e 
III – a comunicação e consulta deve assegurar que as partes interessadas compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais ações específicas são requeridas. 

§3º O estabelecimento do contexto do processo de gestão de riscos inclui a análise dos ambientes interno e externo, no que concerne às oportunidades, ameaças e tendências que podem impactar a Suframa, bem como em relação às expectavas e preocupações das partes interessadas. 
I – a análise contextual deve preceder o desenvolvimento do escopo da gestão de riscos e a definição dos critérios de riscos; 
II – a análise do contexto interno deve, entre outros resultados, promover o alinhamento entre os objetivos organizacionais e o escopo da gestão de riscos; e 
III – a definição das metodologias de processo e avaliação de riscos, de mensuração do desempenho e eficácia da gestão de riscos deve ser realizada com base na apreciação do contexto. 

§4º Os critérios de análise da significância dos riscos devem refletir os valores, objetivos e recursos da Suframa, tanto quanto os requisitos legais e regulatórios. 
I – os critérios de risco devem ser compatíveis com a política de gestão de riscos, definidos no início do processo de gestão de riscos e analisados criticamente de forma contínua; 
II – a definição dos critérios de risco deve incluir: 

a) a natureza e os tipos de causas e de consequências que podem ocorrer e concorrer entre si;
b) os parâmetros para a definição das probabilidades, suas múltiplas combinações e sua evolução no tempo;
c) a atitude perante os riscos e o nível de risco aceitável ou tolerável para riscos isolados e combinados; e
d) os pontos de vista das partes interessadas.
 

§5º O processo de avaliação de riscos engloba os procedimentos de identificação, análise e avaliação dos riscos. 
I – A identificação dos riscos envolve: 

a) o reconhecimento e a descrição das fontes internas e externas de riscos, das áreas de impacto e dos eventos com suas causas e consequências potenciais;
b) a listagem dos riscos relacionados a eventos que podem de algum modo impactar os objetivos organizacionais; e
c) o exame das possíveis reações em cadeia de eventos e impactos específicos, inclusive efeitos cumulativos e em cascata.

II – A identificação dos riscos deve ser realizada com ferramentas e técnicas adequadas aos objetivos e à capacidade da Suframa. 

§6º A análise dos riscos abrange a compreensão das fontes, das causas e suas interdependências, das probabilidades e impacto dos eventos identificados e deve: 
I – gerar subsídios técnicos para a avaliação dos riscos e tomada de decisão sobre a necessidade do tratamento;
II – apreciar as causas e as fontes de risco, suas consequências positivas e negavas, e a probabilidade de ocorrência dessas consequências, tal como os fatores que os afetam; e 
III – ser realizada em diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis, utilizando técnicas qualitativas, quantitativas ou combinações destas. 

§7º A avaliação dos riscos tem por finalidade a tomada de decisão, com base na análise de riscos, sobre quais os riscos a serem tratados e em que níveis de prioridade. 
I – A avaliação de riscos deve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco definidos no estabelecimento do contexto; 
II – As decisões devem considerar a atitude perante o risco e os níveis de tolerância assumidos pela Suframa, observando os requisitos impostos por dispositivos legais e regulatórios; 
III – Em determinadas situações, a avaliação de riscos pode levar à decisão de se proceder a uma análise mais aprofundada; e 
IV – A avaliação de riscos também pode levar à decisão de não se tratar o risco de nenhuma outra forma que seja manter os controles existentes. 

Art. 16. O tratamento dos riscos consiste na identificação, seleção e implementação das opções para modificar os riscos, produzindo novos controles internos de gestão ou modificando os já existentes. 
I – O tratamento de riscos deve ser um processo cíclico e integrado formado por: 

a) avaliação do tratamento de riscos já realizado;
b) decisão sobre os níveis de tolerância do risco residual e o seu tratamento, se for o caso;
c) avaliação da eficácia dos tratamentos implementados.

II – As opções de tratamento de riscos não serão mutuamente exclusivas ou adequadas a todas as circunstâncias, podendo incluir os seguintes aspectos: 

a) ação de evitar o risco, não iniciando ou descontinuando a atividade que é fonte do risco;
b) tomada ou aumento do risco na tentava de tirar proveito de uma oportunidade;
c) remoção da fonte de risco;
d) alteração da probabilidade;
e) modificação das consequências;
f) compartilhamento do risco com outras ou partes; e
g) retenção do risco por uma decisão consciente e bem embasada.

III – Deverá ser escolhida a opção mais adequada de tratamento de riscos, considerando-se o equilíbrio entre os custos e os esforços de implementação e os benefícios decorrentes da implementação; 
IV – As opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas, dependendo dos benefícios estimados com a adoção de uma combinação de opções de tratamento. 
V – A implementação das opções de tratamento escolhidas serão documentadas nos planos de tratamento, incluindo: 

a) as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;
b) os responsáveis pela aprovação do plano e os responsáveis pela implementação do plano; e
c) ações propostas, os recursos requeridos, as medidas de desempenho e restrições, os requisitos para a apresentação de informações e de monitoramento, o cronograma e a programação.


Art. 17. O monitoramento e análise crítica dizem respeito à revisão e à análise periódicas da gestão de riscos, objetivando o aprimoramento contínuo da estrutura e do processo de gestão de riscos.
I – Os processos de monitoramento e análise crítica da Suframa abrangem todos os aspectos do processo da gestão de riscos com a finalidade de: 

a) garantir a eficácia e a eficiência dos controles no projeto e na sua operacionalização;
b) analisar os eventos, mudanças, tendências, sucessos e fracassos, produzindo informações para melhorar o processo de avaliação dos riscos;
c) detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas prioridades; e
d) identificar os riscos emergentes.

II – Os resultados do monitoramento e da análise crítica devem ser registrados e reportados externa e internamente, fornecendo fundamentos para a melhoria dos métodos e ferramentas de gestão de riscos.

CAPÍTULO VII - DAS DISPOSIÇÕES FINAIS

Art. 18. O processo da gestão de riscos será efetivado em ciclos periódicos, de acordo com os critérios definidos para a implantação e desenvolvimento da estrutura e do processo de gestão de riscos. 

Art. 19. Os casos omissos ou excepcionais serão resolvidos pelo Comitê de Governança, Riscos e Controles. 

Art. 20. Esta Portaria entra em vigor na data de sua publicação, com efeitos retroativos a 28 de Junho de 2019. 

LUCIANO MARTINS TAVARES