PORTARIA CONTROLADORIA GERAL DO MUNICÍPIO – CGM Nº 49 DE 27 DE NOVEMBRO DE 2023

Institui a Política de Gestão de Riscos da Controladoria Geral do Município de São Paulo

O Controlador Geral do Município, no uso das atribuições lhe conferidas por lei

RESOLVE:

Capítulo I

Das Disposições Gerais

Art. 1º Fica instituída a Política de Gestão de Riscos da Controladoria Geral do Município de São Paulo, regulamentada por esta portaria.

Art. 2º Para fins desta portaria, considera-se:

I - Apetite ao risco: é a quantidade e os tipos de riscos que a organização está disposta a aceitar para atingir os seus objetivos;

II - Causa: condições que dão origem à possibilidade de um evento ocorrer, também chamadas de fatores de riscos e podem ter origem no ambiente interno e externo. São considerados os “porquês” da ocorrência do evento;

III - Consequência: possíveis efeitos resultantes da ocorrência de um evento sobre os objetivos do processo de trabalho ou da organização;

IV - Controles Internos: conjunto de regras, procedimentos, diretrizes, entre outros, operacionalizados de forma integrada pelos colaboradores, e que têm como objetivo a gestão dos riscos e o fornecimento de razoável segurança na consecução da missão da entidade;

V - Dimensões do risco: classificação dos tipos de riscos que podem afetar o alcance dos objetivos da organização, observadas as características de sua área de atuação e as particularidades do setor.

VI - Gestão de riscos: é o conjunto de ações direcionadas ao desenvolvimento, disseminação e implementação de metodologias de gerenciamento de riscos institucionais, objetivando apoiar a melhoria contínua de processos de trabalho, projetos e a alocação e utilização eficaz dos recursos disponíveis, contribuindo para o cumprimento dos objetivos da entidade;

VII - Gerenciamento de riscos: processo contínuo que consiste no desenvolvimento de um conjunto de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos capazes de afetar, positiva ou negativamente, os objetivos, processos de trabalho e projetos da organização, nos níveis estratégico, tático e operacional;

VIII - Nível de risco: o nível de criticidade do risco, ou seja, o quanto um risco pode afetar os objetivos, processos de trabalho e projetos da entidade, a partir de escala predefinida de criticidades possíveis;

IX - Impacto: o grau ou importância dos efeitos da ocorrência de um risco, estabelecido a partir de uma escala pré-definida de consequências possíveis;

X - Probabilidade: é a chance de o risco acontecer, estabelecida a partir de uma escala predefinida de probabilidades possíveis;

XI - Processos-chave: são os processos relevantes para a entidade relacionados a sua atividade-fim e/ou aos objetivos estratégicos definidos no Planejamento Estratégico;

XII - Processos de trabalho: conjunto de atividades inter-relacionadas ou interativas que representam os métodos de execução de um trabalho necessário para alcançar um objetivo;

XIII - Risco: a possibilidade de que um evento ocorra e afete, positiva (risco positivo) ou negativamente (risco negativo), os objetivos estratégicos da organização, por meio dos seus processos de trabalho ou projetos desenvolvidos;

XIV- Risco inerente: é o nível de risco ao qual uma organização está exposta antes de qualquer ação de mitigação ou qualquer controle preexistente ter sido levado em conta;

XV - Risco residual: é o nível de risco ao qual uma organização está exposta mesmo depois de serem consideradas as ações de mitigação e os controles preexistentes; e

XVI - Tolerância ao risco: é o nível de variação aceitável quanto à realização de um objetivo, podendo ser para mais ou para menos. Está relacionada à resiliência da organização.

Capítulo II

Dos Princípios

Art. 3º A Política de Gestão de Riscos da CGM-SP observará os seguintes princípios:

I - Zelar pelos valores éticos, de integridade e pelas boas práticas de governança;

II - Ser parte integrante dos processos organizacionais;

III - Ser sistemática, estruturada e oportuna;

IV - Utilizar as melhores informações disponíveis;

V - Estar alinhada com o contexto interno e externo e com o perfil do risco organizacional;

VI - Considerar os fatores humanos e culturais;

VII - Ser transparente e integrada;

VIII - Ser dinâmica, interativa e capaz de reagir a mudanças;

IX - Agregar valor à instituição;

X - Subsidiar a tomada de decisões;

XI - Apoiar a melhoria contínua e;

XII - Ter o comprometimento de todos os servidores, em especial, o da alta administração.

Capítulo III

Dos Objetivos

Art. 4º A Política de Gestão de Riscos da CGM-SP tem por objetivos:

I - Fomentar o ambiente íntegro e confiável, alinhado aos valores éticos compartilhados pela sociedade;

II - Prezar a conformidade legal e normativa, incluindo políticas, programas, planos, procedimentos e normas internas do Órgão;

III - Ampliar o desenvolvimento do controle interno e das boas práticas de governança;

IV - Subsidiar a tomada de decisões, zelando pelo atingimento de metas e resultados;

V - Mitigar os efeitos dos eventos de riscos negativos que impactam no alcance da missão e dos objetivos traçados no Planejamento Estratégico;

VI - Melhorar os controles de riscos existentes;

VII -Estimular uma gestão proativa que antecipe e previna ocorrências capazes de afetar seu desempenho;

VIII - Desenvolver a gestão eficaz e eficiente dos recursos;

IX - Promover a integração e a melhoria contínua dos processos organizacionais;

X - Fortalecer a cultura da gestão de riscos, de controles internos e de comportamento ético;

XI - Proteger o ambiente institucional.

Parágrafo único. A Política de Gestão de Riscos deverá estar integrada aos processos de planejamento estratégico, tático e operacional e à cultura organizacional da CGM-SP.

Art. 5º O gerenciamento de riscos deverá ser implementado de forma gradual em todas as áreas da CGM-SP, sendo priorizados os processos organizacionais que impactam diretamente no atingimento dos objetivos estratégicos definidos no planejamento estratégico da CGM-SP.

Capítulo IV

Da Operacionalização

Art. 6º A operacionalização desta política deverá ser descrita pela Metodologia de Gestão de Riscos da CGM-SP, que deverá contemplar, no mínimo, as seguintes etapas:

I – entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;

II – identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;

III – análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;

IV – avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;

V – priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa anterior;

VI – definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas; e

VII – comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento de riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria gestão de riscos, com vistas a sua melhoria.

Parágrafo único. A metodologia de gestão de riscos deverá contemplar critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos.

Capítulo V

Das Competências

Art. 7º A estrutura de governança para implementação e acompanhamento da gestão de riscos, no âmbito da Controladoria Geral do Município, é composta pelo(s):

I – Comitê de Gestão de Riscos, composto pelos agentes públicos indicados no Anexo III;

II – Núcleo Especializado de Gestão de Riscos, composto pelos agentes públicos indicados no Anexo IV;

III – Gestores de Riscos: agente público que exerce função de coordenação, direção e chefia.

Art. 8º Compete ao Comitê de Gestão de Riscos:

I – Definir os objetivos e metas do planejamento estratégico da Entidade;

II - Decidir, com base em parecer elaborado pelo Núcleo Especializado de Gestão de Riscos, sobre o apetite a risco organizacional, estabelecendo referências, limites e critérios para mensuração de resultados;

III – Acompanhar e avaliar relatórios periódicos das unidades, definir diretrizes e aprovar trabalho do Núcleo Especializado de Gestão de Riscos;

IV – Monitorar a implementação das deliberações do próprio Comitê de Gestão de Riscos, garantindo apoio institucional para promover a Gestão de Riscos.

Art. 9º Compete ao Núcleo de Gestão de Riscos:

I – assegurar que as informações suficientes e relevantes sobre riscos e controles interno, necessárias para a tomada de decisão, cheguem aos membros do Comitê de Gestão de Riscos;

II – atuar pró-ativamente para que as políticas e diretrizes de gestão de riscos e controles internos emanadas do Comitê de Gestão de Riscos sejam conhecidas e executadas em todos os níveis do órgão;

III – dirigir a aplicação da metodologia de gestão de riscos;

IV - identificar contexto e nível do apetite ao risco conforme planejamento estratégico do órgão e metodologia aplicável;

V – apreciar respostas aos riscos, controles e planos de ação propostos;

VI – consolidar plano de gerenciamento de riscos do órgão de acordo com a resposta ao risco definida, avaliar grau de maturidade e monitorar seu desempenho;

VII – coordenar a implementação de plano de ação e/ou controles internos, bem como ferramentas de gestão de riscos do órgão;

VIII – orientar e capacitar os gestores de riscos do órgão;

IX – executar outras tarefas determinadas pelo Comitê de Gestão de Riscos;

X - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas.

Art. 10. Compete aos gestores de riscos:

I – identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade;

II – propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade;

III – desenvolver os controles e os planos de ação aprovados pelo Comitê de Gestão de Riscos para o tratamento dos riscos;

IV – atuar para garantir a mitigação dos níveis de riscos e a efetividade das medidas de controles implementadas;

V – comunicar ao Núcleo Especializado de Gestão de Riscos as ações realizadas e emitir relatório periódicos dos indicadores de riscos da unidade;

VI – informar o Núcleo Especializado de Gestão de Riscos sobre mudanças significativas nos processos organizacionais sob sua responsabilidade e demais informações relevantes;

VII – responder às solicitações do Núcleo Especializado de Gestão de Riscos;

VIII – designar os servidores que ficarão responsáveis por auxiliar na elaboração dos mapeamentos dos processos e na realização das demais atividades;

IX – orientar e incentivar os servidores responsáveis pelos processo para atuação com foco na gestão de riscos.

Capítulo VI

Das Disposições Gerais

Art. 11. O Comitê de Gestão de Riscos, o Núcleo Especializado de Gestão de Riscos e os Gestores de Riscos deverão manter fluxo regular e constante de informações entre si.

Art. 12. Semestralmente todo material produzido durante o processo de gestão de riscos, tais como fluxogramas, planilhas, relatórios e evidências e implementação do processo deverão ser apresentados pelos gestores de riscos ao Núcleo e ao Comitê.

Art. 13. Fica instituído o Manual de Gestão de Riscos da Controladoria Geral do Município bem como o Fluxo do processo de gerenciamento de riscos da CGM, pelos Anexos I e II desta Portaria.

Parágrafo único. As iniciativas relacionadas à gestão de riscos existentes na CGM-SP anteriormente à publicação desta portaria serão gradualmente alinhadas à metodologia presente no manual ora instituído.

Art. 14. Os casos omissos ou as excepcionalidades serão resolvidas pelo Comitê de Gestão de Riscos.

Art. 15. Fica revogada a Portaria CGM n° 16 de 11 de abril de 2022.

Art. 16. Esta portaria entra em vigor na data de sua publicação.

Anexo I

Manual de Gestão de Riscos

Anexo II

Fluxo do processo de gerenciamento de riscos da CGM

Anexo III

Comitê de Gestão de Riscos

· Controlador Geral do Município

· Auditora Geral do Município

· Corregedora Geral do Município

· Ouvidora Geral do Município

· Coordenador da Promoção de Integridade

Anexo IV

Núcleo Especializado de Gestão de Riscos

· Luís Felipe Nogueira Giacomello – Auditor Municipal de Controle Interno

· Wagner Luiz Taques da Rocha – Analista de Políticas Públicas e Gestão Governamental