Norma
17/12/2025
#186931

PORTARIA MEMP Nº 390, DE 16 DE DEZEMBRO DE 2025

Institui a Política de Gestão de Riscos no Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte.

Ilustração de resumo de norma
🔐 Login necessário

Entre para ver o resumo

Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.

Institui a Política de Gestão de Riscos no âmbito do Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte.

O MINISTRO DE ESTADO DO EMPREENDEDORISMO, DA MICROEMPRESA E DA EMPRESA DE PEQUENO PORTE, no uso das atribuições que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal, e considerando o disposto no Decreto nº 12.694, de 22 de outubro de 2025; no art. 19 do Decreto nº 9.203, de 22 de novembro de 2017; no Decreto nº 11.529, de 16 de maio de 2023; na Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016; e no art. 1º da Portaria CGU nº 57, de 4 de janeiro de 2019, resolve:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Fica instituída a Política de Gestão de Riscos no âmbito do Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte (MEMP), com o intuito de estabelecer objetivos, princípios, diretrizes, conceitos, responsabilidades e mecanismos para integração da gestão de riscos aos processos organizacionais, em todos os níveis e áreas do Ministério.

Art. 2º Para os fins desta Portaria, considera-se:

I - Risco: possibilidade de ocorrência de um evento que poderá prejudicar o cumprimento dos objetivos institucionais;

II - Apetite ao Risco: nível de risco que a organização está disposta a aceitar na busca de seus objetivos;

III - Controles Internos da Gestão: conjunto de regras, procedimentos, diretrizes, protocolos e rotinas destinados a evitar, mitigar, transferir, compartilhar ou aceitar riscos e oferecer segurança razoável para a consecução da missão institucional;

IV - Gestão de Riscos: processo de natureza permanente, estabelecido, direcionado e monitorado pela Alta Administração, que sistematiza, estrutura e coordena as atividades de gerenciamento de riscos da organização;

V - Gerenciamento de Riscos: processo destinado a identificar, analisar, avaliar, tratar, monitorar e comunicar os potenciais eventos ou situações que possam impactar o alcance dos objetivos da instituição; e

VI - Plano de Respostas aos Riscos: documento que contém o conjunto de ações necessárias para adequar os níveis de riscos de determinado processo, considerando o custo-benefício da implantação dos controles.

CAPÍTULO II

DOS OBJETIVOS

Art. 3º A Política de Gestão de Riscos do MEMP tem por objetivo:

I - subsidiar a tomada de decisão com base em evidências e na análise sistemática de riscos, apoiando o alcance dos objetivos estratégicos e institucionais;

II - fortalecer os controles internos da gestão, contribuindo para a melhoria contínua dos processos e da integridade institucional;

III - promover uma cultura organizacional voltada à gestão proativa de riscos e oportunidades, envolvendo todas as unidades do Ministério;

IV - aprimorar a governança pública, assegurando transparência, accountability e sustentabilidade das políticas e programas;

V - facilitar a identificação e o tratamento de ameaças que possam comprometer a entrega de resultados à sociedade;

VI - reforçar a prevenção de riscos de integridade, privilegiando ações preventivas e educativas;

VII - aumentar a capacidade institucional de adaptação às mudanças do ambiente interno e externo;

VIII - agregar valor à gestão e às políticas públicas, melhorando o processo decisório e o tratamento de riscos;

IX - fomentar decisões baseadas em riscos e evidências, integrando a gestão de riscos aos processos de planejamento, financeiro, orçamentário, compras e monitoramento; e

X - promover a cultura da ética, integridade e respeito aos princípios da Administração Pública.

CAPÍTULO III

DOS PRINCÍPIOS

Art. 4º A gestão de riscos do MEMP observará os seguintes princípios:

I - Alinhamento estratégico e proteção do interesse público: a gestão de riscos deve estar alinhada ao planejamento estratégico e aos objetivos institucionais do MEMP, protegendo o interesse público por meio da definição clara de apetite e tolerância a riscos que equilibrem inovação, efetividade e responsabilidade fiscal;

II - Decisão baseada em evidências: o mapeamento de riscos deve ser utilizado como ferramenta estratégica para subsidiar decisões, priorizar ações, orientar a alocação eficiente de recursos e aprimorar o desempenho institucional;

III - Aderência à boa governança, integridade e liderança: a gestão de riscos deve estar integrada às práticas de governança, com liderança ativa e comprometida da Alta Administração na implementação, monitoramento e aperfeiçoamento dos controles internos e da cultura de integridade;

IV - Abordagem estruturada e melhoria contínua: deve adotar metodologia sistemática, cíclica e oportuna, baseada nas melhores informações disponíveis, incorporando lições aprendidas e promovendo a evolução dos processos organizacionais;

V - Integração e transversalidade: a gestão de riscos deve ser parte integrante dos processos organizacionais, políticas públicas e atividades operacionais do Ministério, favorecendo a coerência entre planejamento, execução e monitoramento;

VI - Proporcionalidade e relevância: deve ser compatível com a natureza, a complexidade e o impacto dos riscos, priorizando aqueles que possam comprometer significativamente os resultados e objetivos institucionais;

VII - Base em informação qualificada e transparência: deve apoiar-se em dados e análises de qualidade, assegurando rastreabilidade, documentação adequada e comunicação clara aos tomadores de decisão;

VIII - Cultura organizacional empreendedora: deve valorizar os aspectos humanos, estimular a postura proativa, a inovação responsável, o aprendizado contínuo e a accountability em todos os níveis hierárquicos;

IX - Continuidade e tempestividade: deve ser realizada de forma contínua, preventiva e dinâmica, permitindo resposta rápida a mudanças no contexto interno e externo; e

X - Agregação de valor e resiliência institucional: deve agregar valor à atuação do MEMP, fortalecer os controles internos e aumentar a capacidade de adaptação e resiliência da instituição diante de incertezas e desafios.

CAPÍTULO IV

DAS DIRETRIZES

Art. 5º A gestão de riscos no âmbito do Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte - MEMP deverá ser integrada ao planejamento estratégico, ao Programa de Integridade, aos processos organizacionais, projetos, contratações e políticas públicas, de forma articulada e coerente com os objetivos institucionais.

Art. 6º A implementação da gestão de riscos será realizada de forma gradual e progressiva, observada a capacidade institucional das unidades organizacionais, priorizando:

I - processos finalísticos;

II - projetos estratégicos;

III - políticas públicas de maior impacto; e

IV - áreas com maior exposição a riscos ou fragilidades de controle identificadas.

Art. 7º O modelo de gestão de riscos e controles internos do MEMP deverá observar os princípios, conceitos e orientações:

I - do Committee of Sponsoring Organizations of the Treadway Commission (COSO);

II - da ABNT NBR ISO 31000:2018, da ABNT NBR ISO 31010 e da ABNT NBR ISO 31073;

III - da Instrução Normativa Conjunta CGU/MP nº 1, de 10 de maio de 2016; e

IV - do Referencial Básico de Gestão de Riscos do Tribunal de Contas da União (TCU).

Art. 8º O Comitê de Governança Estratégica (CGE) poderá propor ou deliberar sobre a inclusão de processos, temas ou projetos prioritários na agenda de gestão de riscos do MEMP, para fins de acompanhamento, monitoramento e priorização de controles.

Art. 9º A definição, revisão e comunicação do apetite e da tolerância ao risco são de responsabilidade da Alta Administração, devendo orientar o processo decisório, a priorização de ações e a alocação de recursos.

Art. 10. O desenvolvimento contínuo das competências relacionadas à gestão de riscos será promovido por meio:

I - do Plano de Desenvolvimento de Pessoas (PDP);

II - da oferta de cursos, trilhas de capacitação e oficinas internas; e

III - da articulação com escolas de governo, universidades e órgãos de controle.

Art. 11. A utilização de ferramentas de apoio à gestão de riscos deverá priorizar o uso de software livre ou Software Público Brasileiro ou, na sua ausência, soluções homologadas pela Secretaria-Executiva e pela Assessoria Especial de Controle Interno.

Art. 12. Todas as etapas do processo de gestão de riscos deverão ser documentadas, registradas e atualizadas em matriz institucional, assegurando:

I - rastreabilidade;

II - transparência; e

III - disponibilidade das informações às instâncias competentes.

Art. 13. A gestão de riscos será orientada pela melhoria contínua, considerando os resultados de monitoramento, auditorias, avaliações de maturidade, lições aprendidas e mudanças no contexto institucional.

§ 1º A identificação, a análise, a avaliação, o tratamento e o monitoramento dos riscos deverão ocorrer de forma periódica, conforme metodologia aprovada, observada, no mínimo, a revisão anual dos riscos institucionais e estratégicos.

§ 2º O desempenho da gestão de riscos será mensurado por meio de indicadores definidos na metodologia institucional, considerando, entre outros aspectos, a efetividade dos controles e a evolução dos níveis de risco.

CAPÍTULO V

DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 14. O Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte (MEMP) adota o Modelo das Três Linhas de Governança, proposto pelo Institute of Internal Auditors (IIA) e referendado pelo Tribunal de Contas da União (TCU), para a definição das competências e responsabilidades relativas à gestão de riscos e aos controles internos.

Parágrafo único. São instâncias responsáveis pelo Sistema de Gestão de Riscos e Controles Internos do MEMP (SGRCI-MEMP):

I - o Comitê de Governança Estratégica (CGE);

II - a Secretaria-Executiva (SE);

III - a Assessoria Especial de Controle Interno (AECI);

IV - as Unidades Organizacionais; e

V - os Gestores de Risco.

Art. 15. Compete ao Comitê de Governança Estratégica (CGE), com o apoio da Secretaria-Executiva e da AECI, nos termos do § 2º do art. 23 da Instrução Normativa Conjunta MP/CGU nº 1, de 2016:

I- promover práticas e princípios de conduta e padrões de comportamento;

II- institucionalizar estruturas adequadas de governança, gestão de riscos e controles internos;

III- promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos;

IV- garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público;

V- promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos;

VI- promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações;

VII- aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos;

VIII- supervisionar o mapeamento e a avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público;

IX- liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo o suporte necessário para sua efetiva implementação no órgão ou entidade;

X- estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade;

XI- aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão;

XII- emitir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos; e

XIII- monitorar as recomendações e orientações deliberadas pelo Comitê.

Art. 16. Compete à Secretaria-Executiva (SE):

I - submeter ao CGE a Política e a Metodologia de Gestão de Riscos e suas revisões;

II - garantir a integração da gestão de riscos com o planejamento estratégico, o orçamento e as principais iniciativas do MEMP;

III - acompanhar a evolução dos níveis de risco e a efetividade dos controles, a partir de relatórios elaborados pela AECI;

IV - articular-se com as unidades organizacionais para assegurar a execução das ações de gestão de riscos; e

V - expedir atos complementares para disciplinar a aplicação desta Política, observadas as diretrizes estabelecidas nesta Portaria.

Art. 17. Compete à Assessoria Especial de Controle Interno (AECI):

I - coordenar o Sistema de Gestão de Riscos e Controles Internos do MEMP;

II - elaborar, revisar e divulgar a Política e a Metodologia de Gestão de Riscos e Controles Internos;

III - assessorar as unidades na aplicação da metodologia de gestão de riscos;

IV - monitorar a carteira institucional de riscos e emitir relatórios periódicos de acompanhamento e recomendações;

V - coordenar a gestão dos riscos de integridade, em articulação com o Programa Empreendendo Integridade; e

VI - promover ações de capacitação e sensibilização em governança, riscos e integridade.

Art. 18. Compete às Unidades Organizacionais do MEMP:

I - implementar mecanismos de gestão de riscos em seus processos, projetos e atividades;

II - identificar, avaliar e classificar riscos que possam comprometer as políticas e ações sob sua responsabilidade;

III - adotar medidas de tratamento e mitigação dos riscos identificados;

IV - monitorar periodicamente os riscos e manter os registros atualizados na matriz institucional; e

V - reportar à AECI e ao CGE as informações necessárias ao acompanhamento e à tomada de decisão.

Art. 19. Compete aos Gestores de Risco:

I - validar os resultados das avaliações de riscos realizadas;

II - monitorar os riscos e garantir a execução dos planos de tratamento;

III - disponibilizar à AECI e ao CGE informações atualizadas sobre riscos e controles;

IV - promover a cultura de gestão de riscos no âmbito de sua unidade; e

V - garantir o engajamento das equipes nas etapas de identificação e tratamento dos riscos.

Parágrafo único. Os Gestores de Risco deverão ser ocupantes de CCE ou FCE de nível 13 ou superior, com autoridade para orientar e validar as ações de gestão de riscos em suas unidades.

Art. 20. Compete a todos os servidores do MEMP:

I - atuar com visão preventiva, identificando e comunicando riscos em suas atividades;

II - zelar pela observância dos princípios da gestão de riscos, integridade e controle interno; e

III - colaborar para o aperfeiçoamento contínuo da governança e da prestação de serviços públicos de qualidade.

CAPÍTULO VI

DO PROCESSO DE GESTÃO DE RISCOS

Art. 21. O processo de gestão de riscos do MEMP segue os princípios da ABNT NBR ISO 31000:2018 e do Referencial Básico de Gestão de Riscos do TCU, estruturando-se nas seguintes etapas:

I - Comunicação e Consulta: visa assegurar o diálogo permanente entre as partes interessadas, internas e externas, em todas as fases do processo de gestão de riscos, garantindo que as percepções e informações sobre riscos, controles e decisões sejam compartilhadas de forma tempestiva e transparente, fortalecendo o entendimento comum sobre responsabilidades e prioridades;

II - Estabelecimento do Contexto: define o ambiente interno e externo em que o MEMP atua, considerando fatores estratégicos, operacionais, legais, tecnológicos, econômicos, sociais e ambientais, sendo definidos, nessa etapa, os objetivos, os critérios de risco, o apetite e a tolerância ao risco, além dos limites de aceitação;

III - Identificação de Riscos: consiste em reconhecer e descrever os eventos potenciais que possam impactar a consecução dos objetivos institucionais, devendo ser considerados riscos estratégicos, operacionais, financeiros, de integridade, tecnológicos, ambientais e de imagem, com a indicação das causas, eventos, consequências e controles existentes;

IV - Análise de Riscos: avalia a probabilidade de ocorrência e a magnitude do impacto dos riscos identificados, levando em conta a eficácia dos controles atuais, resultando na determinação do nível de risco inerente (antes dos controles) e do nível de risco residual (após controles);

V - Avaliação de Riscos: compara o nível de risco residual com os critérios de apetite e tolerância definidos pela Alta Administração, classificando os riscos por prioridade (baixo, médio, alto, crítico) e selecionando aqueles que demandam planos de tratamento;

VI - Tratamento de Riscos: envolve a definição e a implementação de medidas para modificar o risco, por meio das seguintes estratégias:

a) evitar o risco;

b) reduzir a probabilidade ou o impacto;

c) transferir ou compartilhar (ex.: parcerias, seguros, contratos);

d) aceitar o risco, quando dentro dos limites definidos; ou

e) explorar o risco como oportunidade de inovação ou melhoria;

VII - Monitoramento e Revisão: corresponde à verificação contínua da efetividade dos controles, das ações e da evolução dos riscos ao longo do tempo, incluindo a revisão periódica das matrizes de risco, a atualização dos planos de ação e a comunicação de mudanças significativas ao Comitê de Governança Estratégica (CGE); e

VIII - Registro e Reporte: abrange o registro estruturado de todas as informações relativas ao processo de gestão de riscos, incluindo riscos identificados, análises, planos de ação, decisões e relatórios, devendo o reporte periódico ser encaminhado à AECI e ao CGE, e, quando aplicável, à Alta Administração.

Parágrafo único. As ações definidas na etapa de Tratamento de Riscos (inciso VI do caput) deverão ser formalizadas em Plano de Resposta ao Risco, contendo a indicação do responsável, o prazo de execução e o indicador de acompanhamento.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 22. A Política de Gestão de Riscos deverá ser revisada a cada dois anos, ou sempre que ocorrerem mudanças significativas no ambiente institucional.

Art. 23. Os casos omissos serão resolvidos pela Alta Administração, com o apoio técnico da AECI e do CGE.

Art. 24. Esta Portaria entra em vigor após decorridos 30 (trinta) dias de sua publicação.

Art. 25. Esta Portaria será disponibilizada no portal de governança do MEMP.

Temas

Este artefato ainda não tem temas.

Itens vinculados

Nenhum item vinculado a este artefato.