Norma
12/05/2017
#226968

PORTARIA Nº 173, DE 10 DE MAIO DE 2017

Aprova a Política de Gestão de Riscos, Governança e Controles Internos no Conselho Administrativo de Defesa Econômica.

Aprova a Política de Gestão de Riscos, Governança,e Controles Internos no âmbitodo Conselho Administrativo de DefesaEconômica.

O PRESIDENTE DO CONSELHO ADMINISTRATIVO DEDEFESA ECONÔMICA, substituto, no uso da atribuição que confereso art. 10, inciso IX da Lei nº 12.259, de 20 de novembro de2011, resolve:

Art. 1o Fica aprovada a Política de Gestão de Riscos eControles Internos da Gestão do Conselho Administrativo de DefesaEconômica - Cade na forma do Anexo desta Portaria.

Art. 2o Esta Portaria entra em vigor na data de sua publicação.

ANEXO

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Seção I

Da finalidade e abrangência

Art. 1o A Política de Gestão de Riscos e Controles Internosda Gestão do Cade tem por finalidade estabelecer os princípios,diretrizes e responsabilidades mínimas a serem observados e seguidospara a gestão de integridade, de riscos e de controles internos dosplanos estratégicos, programas, projetos e processos da Autarquia.

Art. 2o A Política de Gestão de Riscos e Controles Internosda Gestão e suas eventuais normas complementares, metodologias,manuais e procedimentos aplicam-se a todos os níveis de gestão eórgãos do Cade, abrangendo os gestores, servidores, prestadores deserviço, colaboradores, estagiários, consultores externos e quem, dealguma forma, desempenhe atividades nesta Autarquia.

Seção II

Das definições

Art. 3o Para fins desta Portaria, considera-se risco a possibilidadede ocorrência de um evento que venha a ter impacto nocumprimento dos objetivos do Cade. O risco é medido em termos deimpacto e de probabilidade.

Parágrafo único - As demais definições da Instrução NormativaConjunta Nº 1, de 10 de maio de 2016, do Ministério doPlanejamento, Orçamento e Gestão e da Controladoria-Geral daUnião, aplicam-se a este instrumento legal.

CAPÍTULO II

DOS PRINCÍPIOS, OBJETIVOS E DIRETRIZES

Seção I

Dos princípios

Art. 4o São princípios da Política de Gestão de Riscos, Governançae Controles Internos a serem seguidos pelo Cade:

I - liderança, integridade, responsabilidade, compromisso,transparência e accountability, nos termos definidos pela IN ConjuntaNº 01, de 10 de maio de 2016, do Ministério do Planejamento,Orçamento e Gestão e da Controladoria-Geral da União;

II - a gestão de riscos realizada de forma sistemática, estruturadae oportuna, competindo à alta administração a supervisão dodesenvolvimento e do desempenho dos controles internos da gestão,respeitados os objetivos da entidade e o interesse público;

III - níveis de exposição a riscos adequadamente pré-definidos;

IV- procedimentos de controle interno proporcionais ao risco,destinados a agregar valor à organização, observada a relaçãocusto-benefício;

V - mapeamento das vulnerabilidades que impactam os objetivosdo Cade, de forma que sejam adequadamente identificados osriscos a serem geridos e, consequentemente, servindo de ferramentapara a tomada de decisões, para o aperfeiçoamento do planejamentoestratégico da entidade e para a melhoria contínua dos processosorganizacionais;

VI - utilização da gestão de riscos, governança e controlesinternos para apoio à melhoria contínua dos processos organizacionais;

VII- atuação da gestão de riscos, governança e controlesinternos dinâmica e formalizada por meio de metodologias e normas,e quando conveniente, manuais e procedimentos;

VIII - capacitação continuada dos servidores públicos nagestão de riscos, governança e controles internos, em todos os níveisda organização;

IX - identificação e tratamento dos riscos de forma descentralizada,com responsabilização dos gestores e servidores no âmbitodas unidades, processos e atividades que lhes são afetos;

X - coerência e harmonização da estrutura de competências eresponsabilidades dos diversos níveis de gestão do Cade, com a claradefinição dos responsáveis pelos controles internos da gestão;

XI - disseminação de informações necessárias ao fortalecimentoda cultura de gestão de riscos, governança e controles internos;

XII- coordenação centralizada da alocação de recursos edefinição de políticas; e

XIII - realização de avaliações periódicas para verificar aeficácia da gestão de integridade, riscos e dos controles internos dagestão, comunicando o resultado aos responsáveis pela adoção deações corretivas, inclusive a alta administração;

XIV - adequado suporte de tecnologia da informação paraapoiar os processos de integridade, riscos e a implementação doscontroles internos da gestão;

XV - compromisso da alta administração de atrair, desenvolvere reter pessoas com competências técnicas, em alinhamentocom os objetivos institucionais; e

XVI - identificação e avaliação das mudanças internas eexternas ao Cade que possam afetar significativamente os controlesinternos da gestão.

§ 1o Para uma efetiva gestão de riscos, governança e controlesinternos, os princípios devem ser aplicados de forma integrada,como um processo, e não apenas individualmente, sendo compreendidospor todos na organização.

§ 2o Os agentes da governança institucional do Cade devemcontribuir para aumentar a confiança na forma como são geridos osrecursos colocados à sua disposição, reduzindo a incerteza dos membrosda sociedade.

§ 3o A identificação dos riscos será feita pelo nível hierárquicomais próximo de sua ocorrência.

§ 4o A Política de Gestão de Riscos, Governança e ControlesInternos do Cade tem como premissa o alinhamento ao Plano Estratégicodo Cade.

Seção II

Dos objetivos

Art. 5o São objetivos da gestão de riscos do Cade:

I - apoiar a missão e a sustentabilidade institucional, pelagarantia razoável de atingimento dos objetivos estratégicos através daredução dos riscos a níveis aceitáveis;

II - proporcionar a eficiência, a eficácia e a efetividade operacional,mediante execução ordenada, ética e econômica dos processosde trabalho;

III - produzir informações íntegras e confiáveis à tomada dedecisões, ao cumprimento de obrigações de transparênciaeàprestaçãode contas;

IV - prover acesso tempestivo, aos responsáveis pela tomadade decisão, de informações suficientes quanto aos riscos envolvidos,inclusive para determinar questões relativas à delegação;

V - assegurar a conformidade com as leis e regulamentosaplicáveis;

VI - salvaguardar e proteger bens, ativos e recursos públicoscontra desperdício, perda, mau uso, dano, utilização não autorizada ouapropriação indevida; e

VII - agregar valor por meio da melhoria dos processos detomada de decisão e de tratamento adequado dos riscos e seus impactosdecorrentes de sua materialização.

Seção III

Das diretrizes

Art. 6o São Diretrizes da gestão de riscos no Cade:

I - estruturar a gestão de riscos do Cade com base naspremissas da metodologia do Committee of Sponsoring Organizationsof the Treadway Commission - COSO, ISO 31000 e de boas práticas;

II- basear as decisões de gestão de riscos no autoconhecimentoe diagnóstico de vulnerabilidades;

III - prover os cargos de direção a partir da identificação deperfis e capacitação adequada;

IV - desenvolver e implementar atividades de controle dagestão que considere a avaliação de mudanças, internas e externas,que contribuam para identificação e avaliação de vulnerabilidades queimpactam os objetivos institucionais;

V - capacitar os agentes públicos na gestão de riscos, governançae controles internos, em todos os níveis da organização, deforma continuada;

VI - estabelecer procedimentos de controle interno proporcionaisao risco, destinados a agregar valor à organização, observadaa relação custo-benefício;

VII - garantir o alinhamento da gestão de riscos ao ProgramaNacional de Proteção ao Conhecimento Sensível - PNPC; e

VIII - incorporar aos contratos de serviço de terceiros firmadospelo Cade a dimensão da Política expressa nesta Portaria.

CAPÍTULO III

DA ESTRUTURA DA POLÍTICA DE GESTÃO DE RISCOS

SeçãoI

Do modelo de gestão de riscos, governança e controles internos

Art.7o A operacionalização da Gestão de Riscos deverá serdescrita pela Metodologia de Gestão de Riscos, que deverá contemplar,no mínimo, as seguintes etapas e componentes:

I - entendimento do contexto: etapa em que são identificadosos objetivos relacionados ao processo organizacional e definidos oscontextos externo e interno a serem levados em consideração aogerenciar riscos;

II - identificação de riscos: etapa em que são identificadospossíveis riscos para objetivos associados aos processos organizacionais;

III- análise de riscos: etapa em que são identificadas aspossíveis causas e consequências do risco;

IV - avaliação de riscos: etapa em que são estimados osníveis dos riscos identificados;

V - priorização de riscos: etapa em que são definidos quaisriscos terão suas respostas priorizadas, levando em consideração osníveis calculados na etapa anterior;

VI - definição de respostas aos riscos: etapa em que sãodefinidas as respostas aos riscos, de forma a adequar seus níveis aoapetite estabelecido para os processos organizacionais, além da escolhadas medidas de controle associadas a essas respostas;

VII - atividades de controles internos: são as políticas e osprocedimentos estabelecidos e executados para mitigar os riscos quea organização tenha optado por tratar. Também denominadas de pro-

cedimentos de controle, devem estar distribuídas por toda a organização,em todos os níveis e em todas as funções. Incluem umagama de controles internos da gestão preventivos e detectivos, bemcomo a preparação prévia de planos de contingência e resposta àmaterialização dos riscos;

VIII - informação e comunicação: informações relevantesdevem ser identificadas, coletadas e comunicadas, a tempo de permitirque as pessoas cumpram suas responsabilidades, não apenascom dados produzidos internamente, mas, também, com informaçõessobre eventos, atividades e conexões externas, que possibilitem ogerenciamento de riscos e a tomada de decisão. A comunicação dasinformações produzidas deve atingir todos os níveis, por meio decanais claros e abertos que permitam que a informação flua em todosos sentidos, de modo que todos os servidores recebam mensagemclara da alta administração sobre as responsabilidades de cada agente.O Cade deve comunicar as informações necessárias ao alcance dosseus objetivos para todas as partes interessadas; e

IX - monitoramento: tem como objetivo avaliar a qualidadeda gestão de riscos e dos controles internos da gestão, por meio deatividades gerenciais contínuas e/ou avaliações independentes, buscandoassegurar que estes funcionem como previsto e que sejammodificados apropriadamente, de acordo com mudanças nas condiçõesque alterem o nível de exposição a riscos, podendo ser:

a) de natureza contínua da organização: inclui a administraçãoe as atividades de supervisão e outras ações que os servidoresexecutam ao cumprir suas responsabilidades; e

b) avaliações específicas: são realizadas com base em métodose procedimentos predefinidos, cuja abrangência e frequênciadependerão da avaliação de risco e da eficácia dos procedimentos demonitoramento contínuo.

§ 1o Os gestores de risco são os responsáveis pela avaliaçãodos riscos no âmbito das unidades, processos e atividades que lhessão afetos. A instância superior da governança de gestão de riscos doCade deve avaliar os riscos no âmbito da organização, desenvolvendouma visão de riscos de forma consolidada.

§ 2o A Metodologia de Gestão de Riscos deverá contemplarcritérios predefinidos de avaliação.

Art. 8o Na priorização da implantação da gestão de riscosserão considerados, em especial:

I - os projetos e ações desdobrados dos objetivos estratégicos;

II- a segurança das informações, em particular as de acessorestrito, e patrimonial, com ênfase na prevenção de riscos do trabalho;e

III - a conformidade processual.

Art. 9o A revisão ou atualização do Plano de Riscos ocorreráarticulado com o processo de Planejamento Estratégico.

Seção II

Das instâncias, competências e responsabilidades da gestãode riscos

Art. 10 São instâncias da liderança e gestão de riscos noCade:

I - o Comitê de Governança, Riscos e Controles - Corisc;

II - o Comitê Executivo de Gestão de Riscos - Cerisc;

III - Subcomitês criados para temas específicos;

IV - os Gestores de Risco; e

V - os servidores.

Art. 11 Fica instituído o Comitê de Governança, Riscos eControle - Corisc, no âmbito desta Autarquia e nos termos constantesdo art. 23, da IN Conjunta MP/CGU Nº 01/2016, com o com asseguintes competências:

I - promover práticas e princípios de conduta e padrões decomportamentos éticos;

II - institucionalizar de estruturas adequadas de governança,gestão de riscos e controles internos;

III - promover o desenvolvimento contínuo dos agentes públicose incentivar a adoção de boas práticas de governança, de gestãode riscos e de controles internos;

IV - garantir a aderência às regulamentações, leis, códigos,normas e padrões, com vistas à condução das políticas e à prestaçãode serviços de interesse público;

V - promover a integração dos agentes responsáveis pelagovernança, pela gestão de riscos e pelos controles internos;

VI - promover a adoção de práticas que institucionalizem aresponsabilidade dos agentes públicos na prestação de contas, natransparência e na efetividade das informações;

VII - aprovar política, diretrizes, metodologias e mecanismospara comunicação e institucionalização da gestão de riscos e doscontroles internos;

VIII - supervisionar o mapeamento e avaliação dos riscoschave que podem comprometer a prestação de serviços de interessepúblico;

IX - liderar e supervisionar a institucionalização da gestão deriscos e dos controles internos, oferecendo suporte necessário parasua efetiva implementação no órgão ou entidade;

X - estabelecer limites de exposição a riscos globais doórgão, bem com os limites de alçada ao nível de unidade, políticapública, ou atividade;

XI - aprovar e supervisionar método de priorização de temase macroprocessos para gerenciamento de riscos e implementação doscontroles internos da gestão;

XII -emitir recomendação para o aprimoramento da governança,da gestão de riscos e dos controles internos;

XIII - garantir o apoio institucional para promover a Gestãode Riscos, em especial os seus recursos, o relacionamento entre aspartes interessadas e o desenvolvimento contínuo dos servidores; e

XIV - monitorar as recomendações e orientações deliberadaspelo Comitê.

Parágrafo único - O Corisc reunir-se-á no mínimo semestralmente,para avaliação das ações em execução e deliberação quantoà necessidade e a viabilidade de implementação de novas ações.

Art. 12 O Comitê de Governança, Riscos e Controles doCade fica composto pelos seguintes membros:

I - Presidente do Cade, que o presidirá;

II - Conselheiro mais antigo;

III - Superintendente-Geral;

IV - Procurador-Chefe da Procuradoria Federal Especializadajunto ao Cade;

V - Economista-Chefe do Departamento de Estudos Econômicos;e

VI - Diretor de Administração e Planejamento.

§ 1o No exercício de suas funções, o Comitê será apoiadopela Unidade de Auditoria.

§ 2o O Diretor de Administração e Planejamento será oSecretário-Executivo do Corisc, incumbindo-lhe a prestação de todoapoio técnico e logístico necessário ao seu funcionamento.

§ 3o Em caso de afastamento ou impedimento legal de algumde seus representantes, as atividades inerentes ao Corisc serão desempenhadaspelo substituto legal.

Art. 13 Fica criado o Comitê Executivo de Gestão de Riscos- Cerisc, sob coordenação da Diretoria de Administração e Planejamento,com a responsabilidade de implementar esta política.

Parágrafo único - Ato do Presidente do Cade instituirá oCerisc com a participação de pelo menos um representante titular decada órgão do Cade e respectivo suplente.

Art. 14 São competências do Comitê Executivo de Gestão deRiscos:

I - propor o plano de gestão de riscos, incluindo a definição,priorização e limites de exposição ao risco, bem como as estratégiaspara evitá-los.

II - propor os critérios e indicadores a serem usados naavaliação da gestão de risco em cada processo;

III - desenvolver/ajustar metodologias de gestão de riscoadequadas ao Cade;

IV - propor orçamento e demandar treinamentos e outrosrecursos para gestão dos riscos;

V - criar subcomitês para temas específicos;

VI - coordenar as ações dos gestores de risco;

VII - promover a disseminação do conhecimento gestão deriscos;

VIII - monitorar a eficácia da gestão de riscos para fins depromover o aprimoramento, a aprendizagem e melhorias;

IX - elaborar e manter atualizado documento identificando ocontexto da gestão de risco no Cade; e

X - coordenar a avaliação da política de gestão de riscos.

Art. 15 A participação dos membros no Corisc, Cerisc, ousubcomitês, a qualquer tempo, será considerada serviço de naturezarelevante e não ensejará qualquer tipo de remuneração.

Art. 16 Cada risco mapeado e avaliado deve estar associadoa um gestor de risco formalmente identificado.

§ 1o Gestor de risco é o detentor de cargo ou função dechefia, institucionalmente definido no regimento interno como responsávelpor um ou mais processos de trabalho.

§ 2o São responsabilidades do gestor de risco:

I - assegurar que o risco seja gerenciado de acordo com apolítica de gestão de riscos;

II - monitorar o risco ao longo do tempo, de modo a garantirque as respostas adotadas resultem na manutenção do risco em níveisadequados, de acordo com a política de gestão de riscos; e

III - garantir que as informações adequadas sobre o riscoestejam disponíveis em todos os níveis da organização.

Art. 17 Cabe aos servidores, no âmbito da execução de suastarefas, a responsabilidade pela operacionalização dos controles internosda gestão e pela identificação e comunicação de possíveisriscos às instâncias superiores.

Art. 18 O Presidente do Cade e o Superintendente-Geral sãoos principais responsáveis pelo estabelecimento da estratégia da organizaçãoe da estrutura de gerenciamento de riscos, incluindo oestabelecimento, a manutenção, o monitoramento e o aperfeiçoamentodos controles internos da gestão.

Seção III

Dos instrumentos

Art. 19 São instrumentos da Política de Gestão de Riscos,Governança, e Controles Internos da Gestão do Cade:

I - as Instâncias de Supervisão: a serem definidas pelo Comitêde Governança, Riscos e Controles - Corisc;

II - a metodologia: o modelo de gestão de riscos deve serestruturado com base Committee of Sponsoring Organizations of theTreadway Commission - COSO, ISO 31000 e boas práticas, conformeart. 5º;

III - o plano de riscos;

IV - a capacitação continuada;

V - as normas, os manuais e os procedimentos; e

VI - a solução tecnológica.

CAPÍTULO IV

DAS DISPOSIÇÕES FINAIS

Art. 20 A metodologia de Gestão de Riscos deverá ser aprovadapelo Corisc, no prazo de 180 dias, contados da publicação destaportaria.

Art. 21 Os casos omissos ou excepcionalidades serão solucionadospelo Corisc.

Art. 22 A aprovação do Plano de Riscos ocorrerá em até 360dias após a aprovação da metodologia.