Este texto não substitui o publicado no Diário Oficial da União
Institui a Política de Gestão de Riscos da Fundação Nacional de Saúde - FUNASA.
O PRESIDENTE DA FUNDAÇÃO NACIONAL DE SAÚDE, no exercício da competência que lhe confere o art. 14, incisos II e XII, do Estatuto aprovado pelo Decreto 8.867, de 03.10.2016, publicado no D.O.U. de 04.10.2016, e
CONSIDERANDO o teor do art. 17 da Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016; e
CONSIDERANDO a Portaria nº 917, de 26 de junho de 2017, que dispõe sobre o Planejamento Estratégico da Funasa e suas rotinas de revisão e acompanhamento, resolve:
Art. 1º Aprovar a Política de Gestão de Riscos e Controles Internos de Gestão da Fundação Nacional de Saúde, na forma do Anexo desta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
ANEXO
POLÍTICA DE GESTÃO DE RISCOS E CONTROLES INTERNOS DE GESTÃO DA FUNDAÇÃO NACIONAL DE SAÚDE
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Gestão de Riscos e Controles Internos de Gestão da Funasa - PGRC - tem por finalidade estabelecer os princípios, objetivos, diretrizes e responsabilidades mínimas a serem observados e seguidos para a gestão de riscos e de controles internos.
Parágrafo Único. A Gestão de Riscos e Controles Internos deverá ser realizada de forma integrada aos processos de planejamento estratégico, tático e operacional, à gestão e à cultura organizacional, com vistas a apoiar a melhoria contínua de processos de trabalho e de projetos e a alocação e utilização eficaz dos recursos disponíveis, contribuindo para o cumprimento da missão institucional da Funasa.
Art. 2º A PGRC e suas eventuais normas complementares, metodologias, manuais e procedimentos se aplicam a todos os órgãos de assistência direta e imediata ao Presidente, os órgãos seccionais, órgãos específicos singulares e unidades descentralizadas, abrangendo os servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e a quem, de alguma forma, desempenhe atividades nesta Fundação.
Art. 3º Para os efeitos desta Política, entende-se por:
I - Ação: projeto, atividade ou operação especial em que um programa orçamentário está detalhado;
II - Análise de Risco: etapa da operacionalização da Gestão de Riscos em que são identificadas as possíveis causas e consequências do risco;
III - Apetite a risco: nível de risco que uma organização está disposta a aceitar para explorar oportunidades ou tratar ameaças, definido para a estratégia, para projetos estratégicos e para cada macroprocesso, atividade ou ação pela alta administração
IV - Atividade: ação a ser realizada dentro de um processo;
V - Avaliação de Risco: etapa da operacionalização da Gestão de Riscos em que são avaliados os riscos pela perspectiva de probabilidade e impacto para que sejam estimados os níveis dos riscos identificados;
VI - Ciclo de Gerenciamento de Risco: processo periódico que tem por objetivo identificar, avaliar, administrar e controlar potenciais eventos ou situações que possam impactar nos resultados com o propósito de fornecer segurança razoável no alcance dos objetivos organizacionais;
VII - Comunicação e Monitoramento: etapa da operacionalização da Gestão de Riscos responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria Gestão de Riscos, com vistas a sua melhoria;
VIII - Controle Interno de Gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável para a consecução da missão da Funasa;
IX - Definição de resposta ao risco: etapa da operacionalização da Gestão de Riscos em que são instituídas medidas de controle para as respostas aos riscos;
X - Entendimento do Contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;
XI - Gestão de Riscos: processo destinado a garantir o eficaz gerenciamento dos riscos de uma instituição, apoiado por um conjunto de normativos e procedimentos;
XII - Identificação de risco: etapa da operacionalização da Gestão de Riscos em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;
XIII - Limite de Alçada: limite máximo do risco identificado sobre o qual determinado nível hierárquico possui autonomia para a tomada de decisão;
XIV - Limite (ou nível) de Exposição a Risco: ver Apetite a Risco;
XV - Macroprocesso: processo que geralmente envolve mais de uma função da organização, cuja operação tem impactos significativos nas demais funções;
XVI - Medida de Controle: medida aplicada pela organização para tratar os riscos, aumentando a probabilidade de que os objetivos e as metas organizacionais estabelecidos sejam alcançados;
XVII - Priorização de Risco: etapa da operacionalização da Gestão de Riscos em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa de avaliação de riscos;
XVIII - Processo: conjunto de atividades que transformam insumos em resultados que representam agregação de valor
XIX - Projeto: esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo;
XX - Resposta ao risco: ação adotada para lidar com o risco identificado de forma a adequar seus níveis ao apetite estabelecido para a estratégia, os projetos estratégicos e os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas, podendo consistir em:
1.aceitar o risco por uma escolha consciente, inclusive para aproveitar oportunidades;
2.transferir ou compartilhar o risco a outra parte, avaliando-se a capacidade da parte em gerir o risco transferido;
3.mitigar ou reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências; ou
4.prevenir, para evitar a ocorrência do risco.
XXI - Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos de forma positiva (oportunidade) ou negativa (ameaça). O risco é medido em termos de impacto e de probabilidade;
XXII - Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
XXIII - Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco; e
XXIV - Trilhas de Aprendizagem: caminhos alternativos e flexíveis para promover o desenvolvimento das pessoas, dentro de um sistema de capacitação.
CAPÍTULO II
DOS PRINCÍPIOS E OBJETIVOS
Art. 4º A Gestão de Riscos da Funasa, bem como seus instrumentos resultantes, deve observar os seguintes princípios:
I - Ser parte integrante do processo de Planejamento Estratégico, dos projetos e dos processos organizacionais;
II - Subsidiar a tomada de decisões na alocação e utilização dos recursos disponíveis;
III - Ser sistemática, estruturada e oportuna;
IV - Estar alinhada com o contexto interno e externo da Funasa, estabelecendo níveis adequados de exposição a riscos;
V - Ser transparente e inclusiva, considerando fatores humanos e culturais;
VI - Estabelecer procedimentos de controle interno de gestão proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização; e
VII - Ser dirigida, apoiada e monitorada pela alta administração.
Art. 5º A Política de Gestão de Riscos e Controles Internos tem por objetivos:
I - Aprimorar a estratégia de atuação institucional, considerando as ameaças e oportunidades;
II - Promover a melhoria contínua dos processos com vistas ao atendimento do interesse público, observada a economicidade, a eficiência, a eficácia e a efetividade;
III - Viabilizar aos tomadores de decisão o acesso tempestivo às informações quanto aos riscos aos quais a Funasa está exposta;
IV - Fortalecer os mecanismos de controle interno de gestão da instituição visando agregar valor à Funasa; e
V - Encorajar uma gestão proativa.
CAPÍTULO III
DAS INSTÂNCIAS DE SUPERVISÃO, COMPETÊNCIAS E RESPONSABILIDADES
Seção I
Das instâncias de supervisão
Art. 6° As instâncias de supervisão têm como função precípua apoiar e suportar os diversos níveis hierárquicos da Fundação Nacional de Saúde e seus órgãos no objetivo de integrar as atividades de Gestão de Riscos e Controles Internos de Gestão nos projetos, processos e atividades organizacionais.
Art. 7° As Instâncias de Supervisão são compostas da seguinte forma:
I - Para os riscos relacionados a Processos:
1.Comitê de Governança, Riscos e Controles - CGRC-Funasa;
2.Subcomitê de Governança, Riscos e Controles;
3.Núcleos de Gestão de Riscos e Controles de Processos;
4.Gestores dos Processos.
II - Para os riscos relacionados a Projetos:
1.Comitê de Governança, Riscos e Controles - CGRC-Funasa;
2.2.Escritório de Monitoramento de Projetos;
3.3.Gerentes de Projetos.
Seção II
Da composição
Art. 8° O Comitê de Governança, Riscos e Controles, instituído pela Portaria Funasa n° 1.179, de 14 de setembro de 2017, alterada pela Portaria Funasa n° 1.103, de 06 de março de 2018, é composto pelo Presidente da Funasa, o Diretor-Executivo, Diretores dos Departamentos, Procurador-Chefe, Auditor- Chefe e Chefe de Gabinete da Presidência.
Parágrafo único. Os membros da Procuradoria-Federal Especializada e da Auditoria Interna prestarão apoio técnico ao Comitê, não participando das deliberações.
Art. 9º O Subcomitê de Governança, Riscos e Controles é composto por representantes da Diretoria-Executiva, dos Departamentos, da Procuradoria-Federal Especializada, da Auditoria Interna e do Gabinete da Presidência, indicados por seus respectivos titulares.
Parágrafo único. Os membros do Subcomitê indicados pelos titulares da Procuradoria-Federal Especializada e da Auditoria Interna prestarão apoio técnico ao Subcomitê, não participando das deliberações.
Art. 10 O Escritório de Monitoramento de Projetos, instância de gestão estratégica dos projetos, será instituído pelo Presidente em normativo específico contendo sua composição, alocação na estrutura institucional, funções e competências.
Art. 11 Os Núcleos de Gestão de Riscos e Controles serão instituídos pelo Comitê de Governança, Riscos e Controles e implantados conforme a priorização de macroprocessos, ações ou atividades, depois de ouvido o Subcomitê de Governança, Riscos e Controles.
§ 1º. Os Núcleos de Gestão de Riscos e Controles de Processos serão compostos por servidores designados com conhecimentos e habilidades técnicas relacionadas ao macroprocesso, ação ou atividade analisada e aos temas afetos à gestão de riscos e controles internos de gestão.
§ 2º. O normativo de instituição dos Núcleos referidos no caput deverá estabelecer o prazo máximo para promover a implementação das metodologias e dos instrumentos na gestão de riscos e controles internos da gestão, assim como a periodicidade de avaliação da implementação.
Art. 12 O Gestor de Processos corresponde a todo e qualquer responsável pela execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos.
Art. 13 O Gestor de Projetos corresponde a todo e qualquer responsável pelo gerenciamento de um determinado projeto no âmbito da instituição.
Seção III
Das atribuições e responsabilidades
Art. 14 São competências do Comitê de Governança, Riscos e Controles - CGRC-Funasa aquelas atribuídas no art. 1º da Portaria n° 1.179, de 14 de setembro de 2017, alterada pela Portaria n° 1.103, de 06 de março de 2018
Art. 15 Compete ao Subcomitê de Governança, Riscos e Controles:
I - Elaborar a Metodologia de Gestão de Riscos e suas revisões, no que concerne aos riscos de processos, bem como auxiliar o Comitê na elaboração da Metodologia de Gestão de Riscos que pretenda analisar riscos estratégicos;
II - Propor limites de exposição a riscos e limites de alçada ao nível de estratégia e de macroprocesso, atividade ou ação;
III - Auxiliar o Comitê de GRC na definição e nas atualizações da estratégia de implementação da Gestão de Riscos relacionada a processos, considerando os contextos externo e interno e priorizando os processos de negócio da instituição;
IV - Propor ao Comitê de GRC os macroprocessos, ações ou atividades a serem priorizados e a criação de núcleos responsáveis pela implementação da Gestão de Riscos relacionada a processos;
V - Supervisionar, orientar e avaliar o funcionamento das estruturas da gestão de riscos e controles internos da gestão, para os riscos relacionados a processos;
VI - Monitorar e avaliar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas, propondo revisões e aprimoramentos quando necessário;
VII - Propor padrões e metodologias para melhorar os processos de avaliação de riscos;
VIII - Reportar informações sobre gestão de riscos e controles internos da gestão para subsidiar a tomada de decisões e assegurar que essas estejam disponíveis em todos os níveis;
IX - Supervisionar a implantação e propor modificações e melhorias na política de gestão de riscos;
X - Definir ações para disseminação da cultura de gestão de riscos e controles internos da gestão;
XI - Incentivar a integração dos agentes responsáveis pela gestão de riscos e controles internos da gestão; e
XII - Apoiar o Comitê de GRC no cumprimento de suas competências e responsabilidades.
Art. 16 Compete aos Núcleos de Gestão de Riscos e Controles:
I - Promover a implementação de metodologias e instrumentos na gestão de riscos e controles internos da gestão concernente a processos;
II - Identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define esta Política;
III - Propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;
IV - Assessorar no gerenciamento de riscos dos processos de trabalho priorizados;
V - Monitorar os riscos ao longo do tempo, de modo a permitir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com esta Política;
VI - Propor alterações na Política e na Metodologia de Gestão de Riscos e Controles Internos, sempre que identificadas deficiências ou oportunidades;
VII - Encaminhar ao Subcomitê de Governança, Riscos e Controles Internos relatórios das atividades do Núcleo;
VIII - Apoiar o Subcomitê de Governança, Riscos e Controles Internos no cumprimento de suas competências e responsabilidades.
Art. 17 Compete ao Gestor de Processo:
I - Cumprir os objetivos estratégicos, as políticas, diretrizes, metodologias e mecanismos para a comunicação e institucionalização da gestão de riscos e controles internos da gestão;
II - Gerenciar os riscos dos processos de trabalho de sua responsabilidade, em conjunto com a sua equipe, aplicando os Controles Internos propostos pelo respectivo Núcleo de Gestão de Riscos e Controles de Processos;
III - Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos do Órgão;
IV - Cumprir as recomendações e observar as orientações emitidas pelas Instâncias de Supervisão de Gestão de Riscos e Controles Internos da Gestão, inclusive no estabelecimento de Controles Internos no processo sob sua responsabilidade;
V - Informar o Núcleo de Gestão de Riscos sobre mudanças significativas nos processos organizacionais sob sua responsabilidade;
VI - Disseminar preceitos de comportamento de cultura de gestão de riscos e controles internos da gestão;
VII - Disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade a todos os níveis da Funasa e demais partes interessadas.
Parágrafo único. Os responsáveis pelo gerenciamento de riscos dos processos organizacionais devem ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.
Art. 18 Compete ao Escritório de Monitoramento de Projetos:
I - Elaborar, dentro da Metodologia de Gestão de Projetos, a forma como os riscos de projetos serão priorizados e analisados e como os controles internos de gestão serão estabelecidos;
II - Auxiliar o Comitê na elaboração da Metodologia de Gestão de Riscos que pretenda analisar riscos estratégicos;
III - Propor limites de exposição a riscos e limites de alçada ao nível de projetos;
IV - Auxiliar o Comitê de GRC na definição e nas atualizações da estratégia de implementação da Gestão de Riscos relacionada a projetos, considerando os contextos externo e interno e priorizando os processos de negócio da instituição;
V - Propor ao Comitê de GRC os riscos estratégicos, relativos à projetos, a serem priorizados;
VI - Supervisionar, orientar e avaliar o funcionamento das estruturas da gestão de riscos e controles internos da gestão, para os riscos relacionados a projetos;
VII - Monitorar e avaliar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas, propondo revisões e aprimoramentos quando necessário;
VIII - Propor padrões e metodologias para melhorar os processos de avaliação de riscos;
IX - Reportar informações sobre gestão de riscos e controles internos da gestão para subsidiar a tomada de decisões e assegurar que essas estejam disponíveis em todos os níveis;
X - Supervisionar a implantação e propor modificações e melhorias na política de gestão de riscos;
XI - Definir ações para disseminação da cultura de gestão de riscos e controles internos da gestão;
XII - Incentivar a integração dos agentes responsáveis pela gestão de riscos e controles internos da gestão; e
XIII - Apoiar o Comitê de GRC no cumprimento de suas competências e responsabilidades.
Art. 19 Compete aos Gerentes de Projetos:
I - Promover a implementação de metodologias e instrumentos na gestão de riscos e controles internos da gestão concernente a projetos;
II - Identificar, analisar e avaliar os riscos dos projetos sob sua responsabilidade, em conformidade ao que define esta Política, junto com a equipe de projeto;
III - Propor respostas e respectivas medidas de controle a serem implementadas;
IV - Gerenciar os riscos dos projetos de sua responsabilidade, em conjunto com a sua equipe;
V - Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos do Órgão;
VI - Cumprir as recomendações e observar as orientações emitidas pelas Instâncias de Supervisão de Gestão de Riscos e Controles Internos da Gestão, inclusive no estabelecimento de Controles Internos no projeto sob sua responsabilidade;
VII - Monitorar os riscos ao longo do tempo, de modo a permitir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com esta Política;
VIII - Propor alterações na Política e nas metodologias sempre que identificadas deficiências ou oportunidades;
IX - Disseminar preceitos de comportamento de cultura de gestão de riscos e controles internos da gestão;
X - Disponibilizar as informações adequadas quanto à gestão dos riscos dos projetos sob sua responsabilidade a todos os níveis da Funasa e demais partes interessadas.
Parágrafo único. Os responsáveis pelo gerenciamento de riscos dos projetos devem ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.
Art. 20 Cabe aos demais agentes públicos que exercem cargo, função ou emprego no âmbito da Fundação Nacional de Saúde a responsabilidade pela operacionalização da gestão de riscos e controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.
CAPÍTULO IV
DAS DIRETRIZES
Art. 21 São diretrizes para a gestão de riscos e controles internos:
I - O Planejamento Estratégico da Fundação Nacional de Saúde, seus objetivos estratégicos e demais documentos deverão considerar os riscos associados ao cumprimento dos objetivos e das metas estabelecidas, visando fornecer segurança razoável para a consecução dos objetivos institucionais;
II - Os processos de Gestão de Riscos e de Controles Internos deverão ser estabelecidos considerando-se as demais políticas aprovadas pela Funasa;
III - A metodologia de Gestão de Riscos e Controles Internos deve estabelecer a periodicidade máxima para a identificação, avaliação, tratamento e monitoramento dos riscos;
IV - O limite temporal a ser considerado para o ciclo de gerenciamento de riscos de cada processo de trabalho será proposto pelo Subcomitê de Governança, Riscos e Controles Internos e deliberado pelo CGRC - Funasa;
V - A medição do desempenho da gestão de riscos será realizada em ciclos periódicos de, no mínimo, uma vez ao ano e seus resultados incorporados aos relatórios de monitoramento solicitados pelo Comitê, devendo possuir os seguintes atributos:
1.conhecimento atualizado dos riscos identificáveis;
2.avaliação dos riscos identificados em conformidade com o nível de tolerância definido; e
3.tratamento dos riscos identificados e monitoramento do cumprimento da resposta oferecida.
VI - A fim de possibilitar uma medição acurada do desempenho da Gestão de Riscos, a Fundação poderá estabelecer indicadores, análises qualitativas e quantitativas do processo.
VII - As instâncias responsáveis pela Gestão de Riscos, especificadas no Art. 7º, deverão atuar de forma integrada, permitindo que as informações sejam identificadas, coletadas e comunicadas de forma coerente, constante e tempestiva para garantir o monitoramento e o tratamento adequado dos riscos relativos à Funasa, conforme o disposto na Seção V do Capítulo III desta Política.
VIII - A operacionalização da Gestão de Riscos estratégicos e de processos deverá ser descrita pela Metodologia de Gestão de Riscos da Funasa, que deverá contemplar, no mínimo, as seguintes etapas:
1.entendimento do contexto;
2.identificação de riscos;
3.análise de riscos;
4.avaliação de riscos;
5.priorização de riscos;
6.definição de respostas aos riscos;
7.comunicação e monitoramento.
IX - A Metodologia de Gestão de Riscos deverá contemplar soluções tecnológicas adequadas e critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos.
X - A operacionalização da Gestão de Riscos de projetos deverá ser descrita pela Metodologia de Gerenciamento de Projetos da Funasa.
XI - O Plano Anual de Capacitação da Funasa deve contemplar, em suas Trilhas de Aprendizagem, competências relacionadas à capacitação sobre temas afetos à Gestão de Riscos e Controles Internos da Gestão.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 22 O processo de Gestão de Riscos será efetivado em ciclos periódicos, de acordo com os critérios definidos para a sua implantação e desenvolvimento.
Art. 23 A metodologia para apoio à Gestão de Riscos será constantemente avaliada e atualizada, visando à melhoria contínua do processo.