Portaria SEI REITO Nº 775, DE 13 DE agosto DE 2018

O REITOR DA UNIVERSIDADE FEDERAL DE UBERLÂNDIA, no uso de suas atribuições legais e;

CONSIDERANDO o disposto no Art.17 da Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016;

CONSIDERANDO o Plano Institucional de Desenvolvimento e Expansão da Universidade Federal de Uberlândia (PIDE UFU 2016-2021);

CONSIDERANDO a Portaria R Nº 938 de 09 de maio de 2017, que Institui a Política de Gestão de Riscos da Universidade Federal de Uberlândia;

CONSIDERANDO a decisão do Comitê de Governança, Gestão de Riscos, Controles e Integridade da UFU xx de xx de 2018;

RESOLVE:
 

Art. 1º Revisar a Política de Gestão de Riscos da Universidade Federal de Uberlândia.

Art. 2º Esta Política estabelece os princípios, objetivos organizacionais, competências, responsabilidades e processo de gestão de riscos que deverão ser seguidos na gestão de riscos relacionados aos planos estratégicos, programas, projetos e processos desenvolvidos no âmbito da Universidade.

Parágrafo único. Os conceitos envolvidos na gestão de riscos e nesta Política estão elencados no anexo a esta Portaria.

DOS PRINCÍPIOS DA GESTÃO DE RISCOS

Art. 3º Para a execução desta política, deverão ser considerados os princípios e objetivos da Universidade Federal de Uberlândia, estabelecidos em seu Estatuto e Regimento Geral, bem como o planejamento estratégico, missão e visão da Instituição, estabelecidos pelo Plano Institucional de Desenvolvimento e Expansão (PIDE UFU 2016-2021).

§ 1º A gestão de riscos da Universidade Federal de Uberlândia observará, em consonância com a sua missão, visão, princípios, objetivos e diretrizes estratégicas, os seguintes princípios:

I – gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

II – estabelecimento de níveis de exposição a riscos adequados;

III – estabelecimento de procedimentos de controle interno proporcionais ao risco,
observada a relação custo-benefício, e destinados a agregar valor à organização;

IV – utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e

V – utilização da gestão de riscos para apoio à melhoria contínua dos processos
organizacionais.

§ 2º A gestão de riscos na UFU também deverá observar aos dispostos da Instrução Normativa conjunta MP/CGU nº1 de 10/05/2016, bem como demais normativos legais que dela decorram.

DOS OBJETIVOS

Art. 4º A gestão de riscos no âmbito da UFU terá os seguintes objetivos:

I – assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso;

II – aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e

III – agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

DAS DIRETRIZES DE GESTÃO DE RISCOS E INSTITUCIONAIS

Art. 5º Na implementação e atualização do modelo de gestão de riscos, a Alta Administração da Universidade, bem como os seus Agentes, deverá observar os seguintes componentes da estrutura de gestão de riscos:

I – ambiente interno;

II – fixação de objetivos;

III – identificação de eventos;

IV – avaliação de riscos;

V – resposta a riscos;

VI – atividades de controles internos;

VII – informação e comunicação;

VIII – monitoramento.

Parágrafo Único. Os gestores são os responsáveis pela avaliação dos riscos no âmbito das organizações, projetos, processos e atividades que lhes são afetos. A Alta Administração deve avaliar os riscos no âmbito do(a) Órgão/Entidade, desenvolvendo uma visão de riscos de forma consolidada

Art. 6º A implantação da gestão de riscos na Universidade deve estar em consonância com o seu planejamento estratégico, conforme diretriz e meta (com previsão de execução no ano de 2017) constantes no PIDE UFU 2016-2021:

• Diretriz 10 - Aprimorar e criar mecanismos voltados para o planejamento, a execução plena e o controle contínuo dos processos administrativos, logísticos, de serviços, obras e de sustentabilidade social e ambiental. Esta diretriz abrange as iniciativas que visam modernizar os processos administrativos, logísticos, de serviços e de obras, com vistas à melhoria dos processos de licitação, de compra, de manutenção, de execução dos serviços gerais, de fiscalização dos contratos celebrados, de monitoramento e contabilização dos custos envolvidos e de avaliação dos riscos existentes nos diversos níveis da gestão da Universidade. Portanto, tal diretriz contempla propostas para a formalização e consolidação dos diversos elementos de governança presentes na instituição.
• Meta 2188 - Implementar a Governança Pública na Universidade Federal de Uberlândia, com vistas a gestão de riscos, mapeamento de processos, aprimoramento dos controles internos, desenvolvimento da transparência, valorização da equidade, prezando pela probidade e eficiência, cumprindo as obrigações de accountability.

Art. 7º A gestão de riscos na Universidade Federal de Uberlândia terá como referência principal as Ameaças e os Pontos Fracos identificados pelas diversas unidades administrativas e acadêmicas na construção do PIDE UFU 2016-2021, os apontamentos realizados pelos Órgãos de Controle Interno e Externo e pela Auditoria Interna, bem como os principais processos sujeitos a riscos e as principais ameaças externas.

Parágrafo Único: A periodicidade para a identificação, avaliação, reavaliação, tratamento ou resposta, monitoramento e controle dos riscos será definida de acordo com as necessidades de cada área. Para isso deve-se listar as tarefas a serem realizadas para gerir os riscos, bem como os sujeitos e estruturas responsáveis e eventos a serem realizados periodicamente para divulgar boas práticas e aperfeiçoar a política.

Art. 8º O mapeamento, identificação e avaliação dos riscos nos processos da Universidade Federal de Uberlândia deverá cobrir todas as atividades relevantes para a concretização dos objetivos da Instituição, considerando os seguintes níveis de riscos:

1. Riscos estratégicos: eventos associados ao modo como a Instituição é administrada, envolvendo ações governamentais, regulação, variáveis econômicas, orçamentárias e políticas, fatores ambientais internos e externos, decisões da Alta Administração, missão, visão e valores da Instituição;

2. Riscos operacionais: eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas;

3. Riscos de imagem/reputação do órgão: eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional;

4. Riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade; e

5. Riscos financeiros/orçamentários: eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.

DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS

Art. 9º A identificação dos macroprocessos, processos e subprocessos deverá ser realizada considerando a competência institucional de cada Unidade Administrativa, e os riscos identificados deverão ser atribuídos a um servidor ou unidade, que será designado o “gestor do risco”.

Parágrafo Único: São responsabilidades do gestor de risco:

I – assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização;

II – monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; e

III – garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.

Art. 10 O Comitê de Governança, Gestão de Riscos, Controles e Integridade da UFU é o responsável pela aplicação e revisão desta política, e suas competências estão definidas na Portaria SEI REITO Nº 409, de 11 de maio de 2018.

DA APLICAÇÃO DA GESTÃO DE RISCOS NA UFU

Art. 11 A priorização dos processos no gerenciamento de riscos será determinada pelo “grau de cada risco”, com base em uma matriz dada pela combinação do impacto e da probabilidade de ocorrência do risco.

§ 1º Probabilidade da ocorrência do risco identificado – nível de probabilidade de que as ameaças se concretizem e provoquem danos na instituição, em seus ativos ou pessoas, sendo classificada para efeitos desta política, de acordo com seus aspectos históricos, estruturais e conjunturais, como:

Peso 1 - Probabilidade Muito Baixa: Somente pode ocorrer em circunstâncias excepcionais;

Peso 2 - Probabilidade Baixa: Pode ocorrer sob certas circunstâncias, diferentes das atuais;

Peso 3 - Probabilidade Média: Pode ocorrer nas circunstâncias atuais;

Peso 4 - Probabilidade Alta: Deve ocorrer em algum momento, pois as circunstâncias corroboram;

Peso 5 - Probabilidade Muito Alta: É quase certo que ocorra, uma vez que as circunstâncias corroboram e há sinais que apontam uma tendência;

§ 2º Impacto – avalia o impacto do risco no alcance dos objetivos institucionais, sendo classificado para efeito desta política como:

Peso 1 - Impacto Muito Baixo: Quando ocorrer causará impactos mínimos;

Peso 2 - Impacto Baixo: Quando ocorrer causará impactos pequenos;

Peso 3 - Impacto Médio: Quando ocorrer causará impactos significativos, porém recuperáveis;

Peso 4 - Impacto Alto: Quando ocorrer causará impactos de reversão muito difícil;

Peso 5 - Impacto Muito Alto: Quando ocorrer causará impactos irreversíveis.

§ 3º As classes de probabilidade e impacto, bem como os seus descritivos, poderão ser reavaliadas a qualquer momento pelo Comitê de Governança, Gestão de Riscos, Controles e Integridade da UFU.

Art. 12 A partir da multiplicação entre as classes de probabilidade e impacto de cada risco, é possível classificar o “grau de risco” de cada processo mapeado, de acordo com a seguinte matriz de classificação de riscos:

Art. 13 Em conformidade com a matriz de classificação dos riscos, será definida a estratégia de tratamento para cada grau de risco, de acordo com a classificação abaixo:

• Risco Baixo –  Estratégia: Aceitar. Neste caso, deve-se conviver com o evento de risco, mantendo os procedimentos e práticas atualmente adotados. O risco é considerado tolerável, não sendo necessário nenhuma ação imediata, porém o risco deve ser monitorado;
• Risco Moderado – Estratégia: Reduzir ou compartilhar. Medidas para reduzir a probabilidade ou o impacto do risco devem ser adotadas, sendo que uma delas pode ser o compartilhamento do risco ou parte dele. É aconselhável que o risco seja tratado em médio prazo, e que seja monitorado frequentemente. As restrições (como custo e esforço de tratamento) podem ser consideradas na priorização do tratamento de riscos dessa classe;
• Risco Elevado e Extremo – Estratégia: Evitar. O risco é considerado intolerável, e requer grande preocupação. Ações imediatas devem ser implementadas para gerenciar o risco e limitar a exposição da instituição, e os resultados devem ser monitorados frequentemente para avaliar a efetividade das ações.

Art. 14 A implantação da Política de Gestão de Riscos da UFU seguirá um plano de trabalho com diretrizes gerais, compreendendo a análise de ameaças e pontos fracos, identificação dos processos sujeitos à riscos, designação e capacitação dos gestores, elaboração da matriz de riscos da área, tratamento dos riscos, monitoramento e sensibilização dos servidores envolvidos.

§1º Será adotada uma área piloto para implementação das diretrizes mencionadas no caput do artigo.

§2º Os prazos de atuação serão definidos de acordo com a particularidade da área piloto a ser definida pelo Comitê responsável.

§3º Após a conclusão dos trabalhos na área piloto, a implementação será expandida para demais áreas da instituição.

Art. 15 A aplicação da gestão de riscos no âmbito da Universidade Federal de Uberlândia seguirá as metodologias propostas pelo Ministério do Planejamento, Tribunal de Contas da União (TCU), Controladoria Geral da União (CGU) e Fórum Nacional de Pró-reitores de Planejamento e Administração (FORPLAD).

Parágrafo único: O desempenho da aplicação da gestão de riscos no âmbito da UFU será medido através de indicadores como número de processos avaliados, números de setores envolvidos, números de profissionais capacitados, número de gestores capacitados, dentre outros a serem definidos oportunamente.

Art. 16 Esta portaria entra em vigor nesta data, e revoga a Portaria R Nº 938 de 09 de maio de 2017.

Valder Steffen Junior

---

Documento assinado eletronicamente por Valder Steffen Junior, Reitor(a), em 22/08/2018, às 09:33, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

---

A autenticidade deste documento pode ser conferida no site https://www.sei.ufu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0641131 e o código CRC B579CF22.

---

ANEXO I

Para efeitos desta política de gestão de riscos, entende-se pelos seguintes conceitos:

Accountability: conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações;

Apetite a risco: nível de risco que uma organização está disposta a aceitar;

Auditoria interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da Administração Pública se constituem na terceira linha ou camada de defesa das organizações, uma vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da gestão (primeira linha ou camada de defesa, executada por todos os níveis de gestão dentro da organização) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada por instâncias específicas, como comitês de risco e controles internos). Compete às auditorias internas oferecer avaliações e assessoramento às organizações públicas, destinadas ao aprimoramento dos controles internos, de forma que controles mais eficientes e eficazes mitiguem os principais riscos de que os órgãos e entidades não alcancem seus objetivos;

Atividade: É caracterizada pelos seguintes elementos: nome, descrição, diagrama de fluxo de tarefas, tarefas e respectivos responsáveis; condição para ser realizada; informações utilizadas; informações produzidas; condição para ser finalizada; e templates e exemplos;

Componentes dos controles internos da gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento;

Controles Internos da gestão: Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos. Esses controles são operados por todos os agentes públicos responsáveis pela condução de atividades e tarefas, no âmbito dos macroprocessos finalísticos e de apoio dos órgãos e entidades do Poder Executivo federal. A definição e a operacionalização dos controles internos devem levar em conta os riscos que se pretende mitigar, tendo em vista os objetivos das organizações públicas.

Cabe aos órgãos e entidades do Poder Executivo federal implementar, manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público. Os controles internos devem ser efetivos, integrados a Gestão de Riscos e devem estar em consonância com as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização, sendo projetados para fornecer segurança razoável de que a organização atingirá seus objetivos e missão.

 Os objetivos dos controles internos da gestão são:

I – dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade;

II – proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações;

III – assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;

IV – assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e

V – salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física;

Gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;

Gestores de Riscos: Responsáveis por executar as atividades de gestão de riscos e coordenar esforços para identificar e estimar riscos, bem como propor melhorias necessárias para mitigar riscos, além de comunicar os resultados de análises a todos os interessados.
Governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos;

Governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;

Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;

Mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência;

Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;

Representantes da Alta Administração: Responsáveis por prover os recursos necessários à gestão de riscos; identificar papéis e responsabilidades; iniciar as atividades e gestão de riscos; aprovar pontos importantes relativos à gestão de riscos.  

Responsáveis por Unidades (ou Responsáveis Técnicos): Responsáveis pelas áreas da organização nas quais a metodologia de gestão de riscos será implementada, ou que devem prover informações para a gestão de riscos. Têm o papel de coletar as informações necessárias à identificação e a estimação de riscos, e realizar melhorias necessárias quando as análises indicarem esta necessidade.

Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade;

Riscos externos: são os riscos associados ao ambiente onde a organização opera. Em geral, a organização não tem controle direto sobre estes eventos, mas mesmo assim, ações podem ser tomadas quando necessário.

Riscos internos: são os riscos associados à própria estrutura da organização, seus processos, governança, quadro de pessoal, recursos ou ambiente de tecnologia.

Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco;

Sistema de Controle Interno do Poder Executivo federal: compreende as atividades de avaliação do cumprimento das metas previstas no plano plurianual, da execução dos programas de governo e dos orçamentos da União e de avaliação da gestão dos administradores públicos federais, utilizando como instrumentos a auditoria e a fiscalização, e tendo como órgão central a Controladoria Geral da União. Não se confunde com os controles internos da gestão, de responsabilidade de cada órgão e entidade do Poder Executivo federal.

Subprocessos: definem conjuntos de atividades, estruturadas para que sejam atingidos os objetivos parciais específicos relacionados à gestão de riscos.