Ministério da Saúde
Gabinete do Ministro

PORTARIA Nº 1.822, DE 20 DE JULHO DE 2017

Institui a Política de Gestão de Integridade, Riscos e Controles Internos da Gestão PGIRC no âmbito do Ministério da Saúde.

O MINISTRO DE ESTADO DA SAÚDE, no uso das atribuições que lhe confere o inciso I do parágrafo único do art. 87 da Constituição, e

Considerando a observância aos princípios da eficiência, (art. 37 da Constituição), do planejamento e controle (art. 6º do Decretolei n.º 200, de 25 de fevereiro de 1967) e da eficácia e efetividade (art. 7º, III, e art. 20, II, ambos da Lei n.º 10.180, de 6 de fevereiro de 2001), que impõem a todo agente público o dever de realizar suas atribuições com presteza, qualidade e rendimento funcional, de modo a alcançar os melhores resultados na prestação do serviço público;

Considerando a Instrução Normativa Conjunta MP/CGU Nº 01, de 10 de maio de 2016, que dispõe sobre controles internos, gestão processo encontra-se instruído na forma da lei, DEFIRO os pedidos publicada no DOU de 12 de fevereiro de 2014, resolve classificar: de riscos e governança no âmbito do Poder Executivo Federal; e

Considerando que a gestão de integridade, de riscos e de controles internos da gestão fornece maior garantia para o alcance dos objetivos institucionais, resolve:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria institui a Política de Gestão de Integridade, Riscos e Controles Internos da Gestão - PGIRC no âmbito do Ministério da Saúde, com a finalidade de estabelecer os conceitos, princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a gestão de integridade, de riscos e de controles internos aos planos estratégicos, programas, projetos e processos de trabalho do Ministério da Saúde.

Art. 2º Para fins desta Portaria, consideram-se as definições e conceitos previstos no anexo I.

CAPÍTULO II

DOS PRINCÍPIOS E OBJETIVOS

Art. 3º As atividades de gestão de integridade, de riscos e dos controles internos da gestão, bem como seus instrumentos resultantes, devem guiar-se pelos seguintes princípios:

I - aderência à integridade e aos valores éticos;

II - definição à alta administração do compromisso de atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos institucionais;

III - utilização de informações relevantes e de qualidade para apoiar o funcionamento dos processos de integridade, de riscos e dos controles internos da gestão;

IV -disseminação de informações necessárias ao fortalecimento da cultura e da valorização da gestão de integridade, de riscos e dos controles internos da gestão;

V - gestão de integridade, de riscos e dos controles internos da gestão de forma sistemática, estruturada, oportuna e subordinada ao interesse público;

VI - integração e sinergia dos elementos estruturais da gestão de integridade, de riscos e dos controles internos da gestão, estabelecidas por meio de modelos de relacionamento que considerem e compartilhem competências, responsabilidades e informações;

VII - gestão de integridade, de riscos e dos controles internos da gestão suportada por níveis adequados de exposição a riscos; e

VIII - integração e utilização das informações e resultados gerados pela gestão de integridade, de riscos e dos controles internos da gestão na tomada de decisões e na melhoria contínua dos processos organizacionais.

Art. 4º A PGIRC do Ministério da Saúde tem por objetivos:

I - suportar a missão, a continuidade e a sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos institucionais;

II - proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica dos processos de trabalho;

III - produzir informações íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;

IV - assegurar a conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e normas internas do Ministério da Saúde;

V - possibilitar que os responsáveis pela tomada de decisão tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais o Ministério da Saúde está exposto, inclusive para determinar questões relativas à delegação, se for o caso; e

VI - agregar valor por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

CAPÍTULO III

DAS DIRETRIZES

Art. 5º A gestão de integridade, de riscos e dos controles internos da gestão do Ministério da Saúde deve estar integrada ao planejamento estratégico do órgão, bem como aos processos, projetos, programas e políticas de cada Secretaria.

Seção I

Da Gestão da Integridade

Art. 6º São diretrizes para a gestão da integridade:

I - a gestão da integridade deve promover a cultura ética e a integridade institucional focada nos valores e no respeito às leis e aos princípios da Administração Pública;

II - o fortalecimento da integridade institucional do Ministério da Saúde deve ser promovido por decisões baseadas no autoconhecimento e diagnose de vulnerabilidades;

III - os cargos de direção do Ministério da Saúde devem ser ocupados a partir da identificação de perfis e capacitação adequada;

IV - a orientação de padrões de comportamento esperados dos agentes públicos no relacionamento com cidadãos, setor privado e grupos de interesses deve ser definida em políticas específicas;

V -a disponibilidade de informações à sociedade deve primar pela atuação transparente, conforme legislação vigente; e

VI - os mecanismos de preservação da integridade pública do Ministério da Saúde devem ser dotados de critérios de identificação e punição dos responsáveis por possíveis desvios de conduta.

Seção II

Da Gestão de Riscos

Art. 7º São diretrizes para a gestão de riscos:

I -a identificação, o monitoramento, a avaliação e o tratamento dos riscos do Ministério da Saúde devem ser feitos de forma contínua;

II - as metodologias e ferramentas implementadas na gestão de riscos devem possibilitar a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro de padrões definidos pelas instâncias supervisoras;

III -a medição do desempenho da gestão de riscos deve possuir os seguintes atributos:

a) conhecimento completo e atualizado dos riscos identificáveis;

b) avaliação dos riscos identificados em conformidade com o nível de tolerância definido;

c) tratamento dos riscos identificados; e

d) monitoramento do cumprimento da resposta oferecida aos riscos identificados;

IV - a capacitação dos agentes públicos em gestão de riscos deve ser desenvolvida de forma continuada, por meio de soluções educacionais, em todos os níveis; e

V -o desenvolvimento e implementação de atividades de gestão de riscos devem considerar a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades capazes de impactar os objetivos institucionais.

Parágrafo único. A descrição dos níveis de risco e dos procedimentos e instrumentos necessários ao processo de gestão de riscos está definida nos Anexos desta Portaria.

Seção III

Dos Controles Internos da Gestão

Art. 8º São diretrizes para os controles internos da gestão:

I -a implementação dos controles internos da gestão deve ser integrada às atividades, planos, ações, políticas, sistemas, recursos e em sinergia com os agentes públicos projetados para fornecer segurança razoável para a consecução dos objetivos institucionais;

II - a definição e operacionalização dos controles internos da gestão devem considerar os riscos internos e externos que se pretendem gerenciar, tendo em vista a prevenção da ocorrência de riscos ou impactos sobre os objetivos institucionais;

III - a implementação dos controles internos da gestão deve ser efetiva e compatível com a natureza, complexidade, grau de importância e riscos dos processos de trabalhos;

IV - a alta administração deve criar condições para que a implementação de procedimentos efetivos de controles internos integrem as práticas de gestão de integridade e de riscos; e

V - a utilização de procedimentos de controles internos da gestão deve considerar a proporcionalidade entre o custo-benefício da atividade e a agregação de valor à gestão na consecução de seus objetivos organizacionais.

CAPÍTULO IV

DOS ELEMENTOS ESTRUTURAIS

Seção I

Da Composição

Art. 9º São elementos estruturais da Gestão de Integridade, Riscos e Controles Internos da Gestão do Ministério da Saúde:

I - o Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão (CGIRC/MS);

II -o Subcomitê de Gestão de Integridade, Riscos e Controles Internos de Gestão (SIRC);

III -as Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão (UIRCs);

IV - o Núcleo de Integridade, Riscos e Controles Internos de Gestão (NIRC), e

V - os Gestores de Integridade, Riscos e Controles Internos de Gestão.

Art. 10. O Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão será composto pelos seguintes membros:

I - Ministro de Estado da Saúde, que o presidirá;

II - Secretário-Executivo (SE/MS);

III - Secretário de Atenção à Saúde (SAS/MS);

IV - Secretário de Vigilância em Saúde (SVS/MS);

V - Secretário de Ciência, Tecnologia e Insumos Estratégicos (SCTIE/MS);

VI -Secretário de Gestão Estratégica e Participativa (SGEP/MS);

VII -Secretário de Gestão do Trabalho e da Educação na Saúde (SGTES/MS); e

VIII - Secretário Especial de Saúde Indígena (SESAI/MS).

Parágrafo único. A critério da presidência e quando for de interesse do Comitê, poderão participar extraordinariamente das reuniões do CGIRC/MS outros representantes do Ministério da Saúde, bem como instituições e profissionais de reconhecida capacidade técnica e administrativa na área de gestão de riscos, de integridade e de controles internos da gestão.

Art. 11. As atribuições do Subcomitê de Gestão de Integridade, Riscos e Controles Internos da Gestão serão exercidas pela Rede Interna de Controle (RIC/MS), instituída pela Portaria nº 988/GM/MS, de 15 de julho de 2015.

Art. 12. Cada Secretaria do Ministério da Saúde terá uma respectiva Unidade de Gestão de Integridade, Riscos e Controles Internos da Gestão, presidida pelo respectivo Secretário, e composta por diretores, coordenadores e servidores com capacitação nos temas afetos à gestão de integridade, riscos e controles internos da gestão.

Parágrafo único. Excepcionalmente, no caso da Secretaria-Executiva, a Unidade de Gestão de Integridade, Riscos e Controles Internos da Gestão poderá ser presidida por um dos Diretores, em substituição ao Secretário Executivo.

Art. 13. As atribuições do Núcleo de Gestão de Integridade, Riscos e Controles Internos da Gestão, composto por servidores com capacitação em temas afetos à gestão de integridade, de riscos e de controles internos da gestão, ficarão sob a responsabilidade da Assessoria Especial de Controle Interno (AECI/MS).

Art. 14. Os Gestores de Riscos correspondem aos responsáveis pela execução de processos de trabalho relativos à gestão de integridade, riscos e controles internos de gestão, no âmbito da Unidade de Gestão de Integridade, Riscos e Controles Internos da Gestão.

Seção II

Das Atribuições e Responsabilidades

Art. 15. Compete ao Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão:

I - instituir subcomitês para o tratamento de temas específicos relacionados à gestão de riscos, de integridade e de controles internos da gestão;

II -definir o apetite e a tolerância aos riscos institucionais com a finalidade de promover o alinhamento da gestão de riscos ao planejamento estratégico do Ministério da Saúde;

III - assegurar a alocação dos recursos necessários à gestão de riscos;

IV - aprovar políticas, diretrizes, metodologias e mecanismos de monitoramento e comunicação para a gestão de integridade, de riscos e de controles internos da gestão;

V -supervisionar os riscos que podem comprometer o alcance dos objetivos estratégicos e a prestação de serviços de interesse público; e

VI - proporcionar condições à capacitação dos agentes públicos no exercício de cargo, função ou emprego em gestão de integridade, riscos e controles internos da gestão.

Art. 16. Regimento Interno, a ser publicado em até 180 (cento e oitenta) dias da publicação desta Portaria, definirá atribuições e cronograma de atuação do Comitê de Gestão de Riscos, Integridade e Controles Internos da Gestão (CGIRC/MS), o qual terá funções diretivas e fiscalizadoras das atividades relativas à gestão de riscos, de integridade e de controles internos da gestão no âmbito do Ministério da Saúde.

Art. 17. Compete ao Subcomitê de Gestão de Integridade, Riscos e Controles Internos da Gestão:

I -avaliar e orientar sobre as regulamentações, leis e códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;

II - propor diretrizes de capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão de integridade, riscos e controles internos da gestão;

III - definir ações para disseminação da cultura de gestão de integridade, riscos e controles internos da gestão;

IV - incentivar a integração dos agentes responsáveis pela gestão de integridade, riscos e controles internos da gestão;

V - apoiar no funcionamento das estruturas da gestão de integridade, riscos e controles internos da gestão nos processos de trabalho, observadas as estratégias aprovadas pelo Comitê de Gestão Estratégica;

VI - propor ao Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão políticas, diretrizes, metodologias e mecanismos de comunicação e monitoramento para a gestão de integridade, riscos e controles internos da gestão;

VII - disseminar conhecimento acerca das decisões tomadas pelo Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão sobre políticas, diretrizes, metodologias e mecanismos de comunicação e monitoramento para a gestão de integridade, riscos e controles internos da gestão;

VIII - solicitar às Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão informações sobre gestão de integridade, riscos e controles internos da gestão e reportá-las ao Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão a fim de subsidiar a tomada de decisões estratégicas;

IX - aprovar o Plano de Implementação de Controles, acompanhar a implementação das ações e avaliar os resultados;

X -apoiar o Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão no cumprimento de suas competências e responsabilidades; e

XI - praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.

Art. 18. Compete às Unidades de Gestão de Integridade, Riscos e Controles Internos da Gestão, no âmbito de sua atuação:

I - assegurar o cumprimento de diretrizes, metodologias e mecanismos para a comunicação e institucionalização desta Política de Gestão de Integridade, Riscos e Controles Internos da Gestão;

II - propor ao Subcomitê de Gestão de Integridade, Riscos e Controles Internos da Gestão aprimoramentos nas diretrizes, metodologias e normas complementares relativas à gestão de integridade, riscos e controles internos da gestão;

III - assessorar no gerenciamento de riscos dos processos de trabalho priorizados;

IV -monitorar os riscos ao longo do tempo, de modo a permitir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com esta Política;

V - assegurar que as informações adequadas sobre gestão de integridade, riscos e controles internos da gestão estejam disponíveis em todas as áreas técnicas da Secretaria;

VI - estimular práticas e princípios de conduta e padrões de comportamento ético;

VII - estimular e promover condições à capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão de integridade, riscos e controles internos da gestão; e

VIII - promover a disseminação da cultura de gestão de integridade, riscos e controles internos da gestão.

Art. 19. Compete ao Núcleo de Gestão de Integridade, Riscos e Controles Internos da Gestão:

I - assessorar as Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão na implementação das metodologias e instrumentos para a gestão de integridade, riscos e controles internos da gestão;

II - prestar orientação técnica às Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão sobre boas práticas em gestão de integridade, riscos e controles internos da gestão;

III - apoiar as ações de capacitação na área de gestão de integridade, riscos e controles internos da gestão; e

IV -apoiar o Comitê de Gestão Estratégica de Integridade, Riscos e Controles Internos de Gestão no cumprimento de suas competências e responsabilidades.

Art. 20. Compete aos Gestores de Processos de Integridade, Riscos e Controles Internos da Gestão, no âmbito de cada UIRC:

I - identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define esta Política;

II - propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;

III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas nos processos organizacionais sob sua responsabilidade;

IV - informar às Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão sobre mudanças significativas nos processos organizacionais sob sua responsabilidade;

V - responder às requisições das Unidades de Gestão de Integridade, Riscos e Controles Internos de Gestão; e

VI - disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade a todos os níveis do Ministério da Transparência e Controladoria-Geral da União CGU e demais partes interessadas.

Parágrafo único. Os responsáveis pelo gerenciamento de riscos dos processos organizacionais devem ter alçada suficiente para orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos.

Art. 21. Cabe aos demais agentes públicos que exercem cargo, função ou emprego no âmbito do Ministério da Saúde a responsabilidade pela operacionalização da gestão de integridade, riscos e controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 22. O processo da gestão de riscos será efetivado em ciclos periódicos, de acordo com os critérios definidos para a sua implantação e desenvolvimento.

Art. 23. A metodologia para apoio à gestão de riscos será constantemente avaliada e, quando necessário, atualizada para que os riscos sejam monitorados da melhor forma.

Art. 24. O Processo de Gestão de Riscos é detalhado no Anexo II desta Portaria.

Art. 25. Esta Portaria entra em vigor na data de sua publicação.

RICARDO BARROS

ANEXO I

DEFINIÇÕES E CONCEITOS

Apetite a risco: nível de risco que uma organização está disposta a aceitar.

Atividades de controles internos: políticas e procedimentos estabelecidos para enfrentar os riscos e alcançar os objetivos do Ministério da Saúde.

Avaliação de risco: processo de identificação e análise dos riscos relevantes para o alcance dos objetivos do Ministério da Saúde e determinação de resposta apropriada.

Consequência: resultado de um evento que afeta positiva ou negativamente os objetivos do Ministério da Saúde.

Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas, entre outros, destinados a mitigar os riscos e oferecer segurança razoável para a consecução da missão organizacional.

Evento: ocorrência ou mudança em um conjunto específico de circunstâncias capaz de causar impacto.

Gerenciamento de riscos: processo para identificar, avaliar e planejar respostas a potenciais eventos ou situações que possam impactar o alcance dos objetivos organizacionais.

Gestão da integridade: conjunto de mecanismos e procedimentos internos de prevenção, detecção e remediação de fraudes, irregularidades e desvios de conduta.

Governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos.

Governança no setor público: compreende os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.

Identificação de riscos: processo de determinação e documentação das características dos riscos que podem impactar o alcance dos objetivos organizacionais.

Impacto: efeito resultante da ocorrência do evento.

Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros.

Mensuração de risco: estimativa da importância de um risco e cálculo da probabilidade e impacto de sua ocorrência;

Nível de risco: magnitude do risco expressa na combinação impacto e probabilidade do evento.

Política de Gestão de Integridade, Riscos e Controles Internos da Gestão: declaração das intenções e diretrizes gerais do Ministério da Saúde relacionadas à integridade, riscos e controles internos da gestão.

Procedimento de controle: políticas e procedimentos estabelecidos para enfrentar os riscos e alcançar os objetivos do Ministério da Saúde.

Procedimentos de controles internos: monitoramento e tratamento de riscos identificados com o objetivo de alcançar o cumprimento da missão e da visão da organização.

Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de identificação, avaliação, tratamento e monitoramento de riscos, bem como de comunicação com partes interessadas em assuntos relacionados a riscos.

Proprietário do risco: servidor do Ministério da Saúde com a responsabilidade e a autoridade para gerenciar o risco.

Probabilidade: possibilidade de ocorrência de um evento.

Problema: evento ou fato já ocorrido e que está causando impacto negativo no alcance dos objetivos.

Resposta a risco: ação adotada para lidar com o risco identificado, podendo consistir em:

a) aceitar o risco por uma escolha consciente;

b) transferir ou compartilhar o risco a outra parte;

c) mitigar ou reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências; ou

d) prevenir, para evitar a ocorrência do risco.

Risco: evento ou condição incerta que, se ocorrer, terá um impacto no cumprimento dos objetivos, sendo medido em termos de probabilidade e impacto.

Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade dos riscos ou seu impacto.

Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco.

Tolerância ao risco: nível de variação aceitável quanto à realização dos objetivos, definido pela alta gerência da instituição.

Tratamento de riscos: processo de estipular uma resposta a risco.

Plano de implementação de controles: documento elaborado pelo gestor para registrar e acompanhar a implementação de ações de tratamento a serem adotadas em resposta aos riscos avaliados.

ANEXO II

I. PROCESSO DE GESTÃO DE RISCOS

A implementação do processo de gestão de riscos no Ministério da Saúde terá como principais fontes, entre outras, o COSO II (Committee of Sponsoring Organizations of the Treadway Commission1) e a metodologia de gestão de riscos desenvolvida pelo Ministério do Planejamento2.

A identificação de riscos no âmbito do Ministério da Saúde considerará as unidades interessadas, os eventos causadores do risco e seus efeitos, bem como o tratamento a ser estabelecido, compreendendo, em linhas gerais, o desenvolvimento das seguintes fases:

1. Ambiente Interno O ambiente interno compreende a forma estruturada de como o negócio é gerido e inclui a estrutura organizacional, os recursos humanos e físicos, a cultura e os valores éticos e de integridade, as competências e as habilidades. Ele é a base para todos os outros componentes do gerenciamento de riscos.

2. Fixação de Objetivos

Os objetivos são fixados no âmbito estratégico e sua fixação é um pré-requisito à identificação eficaz de eventos, à avaliação de riscos e suas respostas. Os objetivos devem ser alinhados com a missão da entidade e serem compatíveis com o apetite a risco, o qual direciona os níveis de tolerância a riscos para a organização.

3. Identificação de Eventos

A identificação dos riscos envolve o reconhecimento e a descrição dos eventos que possam impactar na consecução dos objetivos. Essa identificação deve considerar as partes interessadas, os eventos causadores do risco e seus prováveis efeitos. Ao descrever os riscos identificados, deve-se vincular o evento e o impacto aos objetivos institucionais, estabelecendo uma relação de causa e efeito.

Evento é um incidente ou ocorrência originada a partir de fontes internas ou externas que pode provocar um efeito negativo ou positivo na consecução de um objetivo. Quando um evento é positivo, ele é chamado de oportunidade e quando é negativo, de risco.

Os riscos identificados devem ser específicos, e não gerais.

4. Avaliação de Riscos

A avaliação dos riscos permite à organização avaliar como eventos em potencial afetarão a consecução dos seus objetivos e determinar uma adequada alocação de recursos para tratar os riscosidentificados como prioritários.

Para realizar essa avaliação, é necessária uma análise de determinação de probabilidade e impacto dos eventos identificados.A criticidade de um risco será obtida com base nas medições de probabilidade e impacto, ambas expressas em percentuais.

5. Tratamento e Resposta aos Riscos

A etapa de tratamento de riscos é o processo de modificar o risco e consiste em determinar uma resposta que seja a mais adequadapara modificar a probabilidade ou o impacto de um risco. As respostas são:

a) aceitar, sem que nenhuma ação específica seja tomada.Um risco pode ser aceito quando: o nível de risco é considerado baixo; a capacidade da organização para fazer alguma coisa é limitada; o custo é desproporcional ao benefício; nenhuma resposta éconsiderada eficaz para reduzir a probabilidade ou o impacto do risco, a um custo aceitável, entre outros. No caso de aceitar o risco, podese verificar a possibilidade de retirar controles considerados desnecessários;

b) transferir, no todo ou em parte, o risco a terceiros, comocontratação de seguro, terceirização de atividades etc. O relacionamento com o terceiro para o qual o risco foi transferido deve ser bem gerenciada para assegurar a efetiva transferência do risco;

c) mitigar, a fim de reduzir a probabilidade e/ou o impacto do risco, mantendo os riscos dentro de níveis aceitáveis; e

d) prevenir, para evitar a ocorrência do risco. Na resposta deprevenção, uma ação é tomada para evitar totalmente o risco, des-continuando as atividades que geram o risco. No setor público, muitasvezes essa resposta não é possível, dado que é de sua natureza assumir riscos que os próprios cidadãos não podem assumir individualmente.

Independentemente da resposta selecionada, cada risco identificado deve ter um responsável e um prazo, além da descrição da ação de prevenção, quando for o caso, e ação de contingência (caso orisco se torne um problema no futuro).

6. Atividades de Controle

As atividades de controle são políticas e procedimentos quedevem nortear todos os colaboradores da organização para que as respostas aos riscos sejam executadas de forma adequada e oportuna.

Os procedimentos selecionados ou revisados (para adequação) devem servir como mecanismos de apoio à gestão de riscos para o cumprimento e atingimento dos objetivos organizacionais.

7. Informações e Comunicações

O fluxo de informações e comunicações entre as partes envolvidas no processo de gestão de riscos deve assegurar a compreensão necessária à tomada de decisão envolvendo os riscos, e deve fluir em todos os níveis da organização.

As informações pertinentes devem ser identificadas, coletadas e comunicadas de forma coerente e no prazo, a fim de permitirque as pessoas cumpram as suas responsabilidades.

8. Monitoramento O monitoramento dos riscos identificados deve ser feito de forma contínua.

A medição do desempenho da gestão de riscos do Ministério da Saúde será realizada em ciclos periódicos (no mínimo uma vez aoano) e seus resultados incorporados aos relatórios de monitoramento solicitados pelo gabinete do Ministro da Saúde e pelos órgãos decontrole.

Essa medição deve possuir os seguintes atributos: conhecimento completo e atualizado dos riscos identificáveis; avaliação dosriscos identificados em conformidade com o nível de tolerância definido; e tratamento dos riscos identificados e monitoramento do cumprimento da resposta oferecida aos riscos identificados.

1 COSO II (Committee of Sponsoring Organizations of the Treadway Commission) https://www.coso.org/Documents/COSOERM-Executive-Summary-Portuguese.pdf.

2 Metodologia do Ministério do Planejamento