PORTARIA CADE Nº 283, DE 11.05.2018
CONTEÚDO
PORTARIA CADE Nº 283, DE 11.05.2018
Atualizada a Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade.
O PRESIDENTE DO CADE, no uso da atribuição que conferes o art. 10, inciso IX da Lei nº 12.259, de 20 de novembro de 2011,
Considerando as orientações da Portaria CGU nº 1.089/2018 sobre os procedimentos para a estruturação, a execução e o monitoramento dos programas de integridade dos órgãos e entidades da Administração Pública Federal,
Considerando que a Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade, instituída pela Portaria Cade nº 173/2017, que estabelece os princípios, diretrizes e responsabilidades mínimas voltadas para gestão de integridade, de riscos e de controles internos no âmbito da autarquia, portanto já tem incorporado o tema do risco de integridade,
Considerando a necessidade de consolidar os aspectos atinentes ao risco de integridade, que envolve, por exemplo, o desenvolvimento do código de conduta, do canal de denúncias, da transparência de informações, do sistema de correição, à sistemática da gestão de risco do Cade, resolve:
Art. 1º Fica atualizada a Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade na forma de anexo desta Portaria.
Art. 2º Fica revogada a Portaria Cade nº 173/2017.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
ALEXANDRE BARRETO DE SOUZA
(DOU de 16.05.2018 – págs. 28 e 29 – Seção 1)
ANEXO
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Seção I
Da Finalidade e Abrangência
Art. 1º A Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade tem por finalidade estabelecer os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a gestão de integridade, de riscos e de controles internos dos planos estratégicos, programas, projetos e processos da Autarquia.
Art. 2º A Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os níveis de gestão e órgãos do Cade, abrangendo os gestores, servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades nesta Autarquia.
Seção II
Das Definições
Art. 3º Para fins desta Portaria, considera-se:
I - risco: a possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos do Cade, sendo medido em termos de impacto e de probabilidade.
II - ética: refere-se aos princípios morais, sendo pré-requisito e suporte para a confiança pública; e
III - fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança, que não implicam o uso de ameaça de violência ou de força física.
Parágrafo único. As demais definições da Instrução Normativa Conjunta nº 1, de 10 de maio de 2016, do Ministério do Planejamento, Orçamento e Gestão e da Controladoria-Geral da União, aplicam-se a este instrumento legal.
CAPÍTULO II
DOS PRINCÍPIOS, OBJETIVOS E DIRETRIZES
Seção I
Dos Princípios
Art. 4º São princípios da Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade a serem seguidos pelo Cade:
I - liderança, integridade, responsabilidade, compromisso, transparência e accountability, nos termos definidos pela IN Conjunta Nº 01, de 10 de maio de 2016, do Ministério do Planejamento, Orçamento e Gestão e da Controladoria-Geral da União;
II - aderência à integridade e aos valores éticos;
III - a gestão de riscos realizada de forma sistemática, estruturada e oportuna, competindo à alta administração a supervisão do desenvolvimento e do desempenho dos controles internos da gestão, respeitados os objetivos da entidade e o interesse público;
IV - níveis de exposição a riscos adequadamente pré-definidos;
V - procedimentos de controle interno proporcionais ao risco, destinados a agregar valor à organização, observada a ética e a relação custo-benefício;
VI - mapeamento das vulnerabilidades que impactam os objetivos do Cade, de forma que sejam adequadamente identificados os riscos a serem geridos e, consequentemente, servindo de ferramenta para a tomada de decisões, para o aperfeiçoamento do planejamento estratégico da entidade e para a melhoria contínua dos processos organizacionais;
VII - utilização da gestão de integridade, de riscos e de controles internos para apoio à melhoria contínua dos processos organizacionais;
VIII - atuação da gestão de integridade, de riscos e de controles internos dinâmica e formalizada por meio de metodologias e normas, e quando conveniente, manuais e procedimentos;
IX - capacitação continuada dos servidores públicos na gestão de integridade, de riscos, e de controles internos, em todos os níveis da organização;
X - identificação e tratamento dos riscos de forma descentralizada, com responsabilização dos gestores e servidores no âmbito das unidades, processos e atividades que lhes são afetos;
XII - coerência e harmonização da estrutura de competências e responsabilidades dos diversos níveis de gestão do Cade, com a clara definição dos responsáveis pelos controles internos da gestão;
XI - disseminação de informações necessárias ao fortalecimento da cultura de gestão de integridade, de riscos e de controles internos;
XIII - coordenação centralizada da alocação de recursos e definição de políticas; e
XIV - realização de avaliações periódicas para verificar a eficácia da gestão de integridade, riscos e de controles internos da gestão, comunicando o resultado aos responsáveis pela adoção de ações corretivas, inclusive a alta administração;
XV - adequado suporte de tecnologia da informação para apoiar os processos de integridade, riscos e a implementação dos controles internos da gestão;
XVI - compromisso da alta administração de atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos institucionais; e
XVII - identificação e avaliação das mudanças internas e externas ao Cade que possam afetar significativamente os controles internos da gestão.
§ 1º Para uma efetiva gestão de integridade, de riscos e de controles internos, os princípios devem ser aplicados de forma integrada, como um processo, e não apenas individualmente, sendo compreendidos por todos na organização.
§ 2º Os agentes da governança institucional do Cade devem contribuir para aumentar a confiança na forma como são geridos os recursos colocados à sua disposição, reduzindo a incerteza dos membros da sociedade.
§ 3º A identificação dos riscos será feita pelo nível hierárquico mais próximo de sua ocorrência.
§ 4º A Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade tem como premissa o alinhamento ao Plano Estratégico do Cade.
Seção II
Dos Objetivos
Art. 5º São objetivos da gestão de riscos do Cade:
I - apoiar a missão e a sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos através da redução dos riscos a níveis aceitáveis;
II - proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica dos processos de trabalho;
III - produzir informações íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;
IV - prover acesso tempestivo, aos responsáveis pela tomada de decisão, de informações suficientes quanto aos riscos envolvidos, inclusive para determinar questões relativas à delegação;
V - assegurar a conformidade com as leis e regulamentos aplicáveis;
VI - salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida; e
VII - agregar valor por meio da melhoria dos processos de tomada de decisão e de tratamento adequado dos riscos e seus impactos decorrentes de sua materialização.
Seção III
Das Diretrizes
Art. 6º São diretrizes da gestão de riscos no Cade:
I - estruturar a gestão de riscos do Cade com base nas premissas da metodologia do Committee of Sponsoring Organizations of the Treadway Commission - COSO, ISO 31000 e de boas práticas;
II - basear as decisões de gestão de riscos no autoconhecimento e diagnóstico de vulnerabilidades;
III - prover os cargos de direção a partir da identificação de perfis e capacitação adequada;
IV - desenvolver e implementar atividades de controle da gestão que considere a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades que impactam os objetivos institucionais;
V - capacitar os agentes públicos na gestão de integridade, de riscos e de controles internos, em todos os níveis da organização, de forma continuada;
VI - estabelecer procedimentos de controle interno proporcionais ao risco, destinados a agregar valor à organização, observada a ética e a relação custo-benefício;
VII - garantir o alinhamento da gestão de riscos ao Programa Nacional de Proteção ao Conhecimento Sensível - PNPC; e
VIII - incorporar aos contratos de serviço de terceiros firmados pelo Cade a dimensão da Política expressa nesta Portaria.
Art. 7º A São diretrizes da gestão de integridade no Cade:
I - promover a cultura ética e a integridade institucional focada nos valores e no respeito às leis e princípios da Administração Pública;
II - fortalecer a integridade institucional do Cade, que deve ser promovida por decisões baseadas no autoconhecimento e diagnose de vulnerabilidades;
III - prover os cargos de direção do Cade a partir da identificação de perfis e capacitação adequada;
IV - definir políticas específicas com orientação de padrões de comportamento esperados dos agentes públicos no relacionamento com cidadãos, setor privado e grupos de interesses;
V - disponibilizar informações à sociedade e primar pela atuação transparente da gestão, conforme legislação vigente;
VI - fortalecer os mecanismos de comunicação com o público externo com objetivo de estimular o recebimento de insumos sobre a implementação de melhorias e a obtenção de informações sobre desvios de conduta a serem apurados; e
VII - dotar os mecanismos de preservação da integridade pública do Cade com critérios de identificação e punição dos responsáveis por possíveis desvios de conduta.
CAPÍTULO III
DO MODELO DE INTEGRIDADE, GESTÃO DE RISCOS E CONTROLES INTERNOS DE GESTÃO DO CADE
Seção I
Da Metodologia de Gerenciamento de Integridade, Riscos e Controles Internos da Gestão
Art. 8º A operacionalização da Gestão de Riscos deverá ser descrita pela Metodologia de Gestão de Riscos, que deverá contemplar, no mínimo, as seguintes etapas e componentes:
I - entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;
II - identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;
III - análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
IV - avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
V - priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa anterior;
VI - definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas;
VII - atividades de controles internos: são as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos;
VIII - informação e comunicação: informações relevantes devem ser identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e conexões externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos, de modo que todos os servidores recebam mensagem clara da alta administração sobre as responsabilidades de cada agente. O Cade deve comunicar as informações necessárias ao alcance dos seus objetivos para todas as partes interessadas; e
IX - monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos, podendo ser:
a) de natureza contínua da organização: inclui a administração e as atividades de supervisão e outras ações que os servidores executam ao cumprir suas responsabilidades; e
b) avaliações específicas: são realizadas com base em métodos e procedimentos predefinidos, cuja abrangência e frequência dependerão da avaliação de risco e da eficácia dos procedimentos de monitoramento contínuo.
§ 1º Os gestores de risco são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos e atividades que lhes são afetos. A instância superior da governança de gestão de riscos do Cade deve avaliar os riscos no âmbito da organização, desenvolvendo uma visão de riscos de forma consolidada.
§ 2º A Metodologia de Gestão de Riscos deverá contemplar critérios predefinidos de avaliação.
Art. 9º Na priorização da implantação da gestão de riscos serão considerados, em especial:
I - os projetos e ações desdobrados dos objetivos estratégicos;
II - a segurança das informações, em particular as de acesso restrito, e patrimonial, com ênfase na prevenção de riscos do trabalho; e
III - a conformidade processual.
Art. 10. A revisão ou atualização do Plano de Riscos, ocorrerá articulado com o processo de Planejamento Estratégico.
Parágrafo único. O Plano de Riscos do Cade deverá considerar, entre outras possíveis, as seguintes tipologias de risco:
a) riscos de imagem ou reputação do órgão: eventos que podem comprometer a confiança da sociedade ou de parceiros, de clientes ou de fornecedores, em relação à capacidade do Cade em cumprir sua missão institucional;
b) riscos financeiros ou orçamentários: eventos que podem comprometer a capacidade do Cade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações;
c) riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do Cade;
d) riscos operacionais: eventos que podem comprometer as atividades do Cade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas; e
e) riscos para a integridade: riscos que configurem ações ou omissões que possam favorecer a ocorrência de fraudes ou atos de corrupção.
Seção II
Das Instâncias, Competências e Responsabilidades da Gestão de Riscos
Art. 11. São instâncias da liderança e gestão de riscos no Cade:
I - o Comitê de Governança, Riscos e Controles - Corisc;
II - o Comitê Executivo de Gestão de Riscos - Cerisc;
III - Subcomitês criados para temas específicos;
IV - os Gestores de Risco; e
V - os servidores.
Art. 12. Fica instituído o Comitê de Integridade, Gestão de Riscos, Governança e Controles Internos - Corisc, no âmbito desta Autarquia e nos termos constantes do art. 23, da IN Conjunta MP/CGU Nº 01/2016 e do art. 6º da Portaria CGU Nº 1.089/2018, com as seguintes competências:
I - promover práticas e princípios de conduta e padrões de comportamentos éticos, que deverão nortear a atualização do Código de Conduta e das sistemáticas de denúncia do Cade;
II - institucionalizar as estruturas adequadas de governança, gestão de integridade, de riscos e de controles internos;
III - promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de integridade, de riscos e de controles internos;
IV - garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público;
V - promover a integração dos agentes responsáveis pela governança, pela gestão de integridade, de riscos e de controles internos;
VI - promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações;
VII - aprovar revisões da política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de integridade, de riscos e de controles internos;
VIII - supervisionar o mapeamento e avaliação dos riscos chave que podem comprometer a prestação de serviços de interesse público;
IX - liderar e supervisionar a institucionalização da gestão de integridade, de riscos e de controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade;
X - estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade;
XI - aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão;
XII - emitir recomendação para o aprimoramento da governança, da gestão de integridade, de riscos e de controles internos;
XIII - garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores; e
XIV - monitorar as recomendações e orientações deliberadas pelo Comitê.
Parágrafo único. O Corisc reunir-se-á no mínimo semestralmente, para avaliação das ações em execução e deliberação quanto à necessidade e a viabilidade de implementação de novas ações.
Art. 13. O Comitê de Governança, Riscos e Controles do Cade fica composto pelos seguintes membros:
I - Presidente do Cade, que o presidirá;
II - Conselheiro mais antigo;
III - Superintendente-Geral;
IV - Procurador-Chefe da Procuradoria Federal Especializada junto ao Cade;
V - Economista-Chefe do Departamento de Estudos Econômicos; e
VI - Diretor de Administração e Planejamento.
§ 1º No exercício de suas funções, o Comitê será apoiado pela Unidade de Auditoria.º
§ 2º O Diretor de Administração e Planejamento será o Secretário-Executivo do Corisc, incumbindo-lhe a prestação de todo apoio técnico e logístico necessário ao seu funcionamento.
§ 3º Em caso de afastamento ou impedimento legal de algum de seus representantes, as atividades inerentes ao Corisc serão desempenhadas pelo substituto legal.
Art. 14. Fica criado o Comitê Executivo de Gestão de Riscos - Cerisc, sob coordenação da Diretoria de Administração e Planejamento, com a responsabilidade de implementar esta política.
Parágrafo único. Ato do Presidente do Cade instituirá o Cerisc com a participação de pelo menos um representante titular de cada órgão do Cade e respectivo suplente.
Art. 15. São competências do Comitê Executivo de Gestão de Riscos:
I - propor o plano de gestão de riscos, incluindo a definição, priorização e limites de exposição ao risco, bem como as estratégias para evitá-los.
II - propor os critérios e indicadores a serem usados na avaliação da gestão de risco em cada processo;
III - desenvolver/ajustar metodologias de gestão de risco adequadas ao Cade;
IV - propor orçamento e demandar treinamentos e outros recursos para gestão dos riscos;
V - criar subcomitês para temas específicos;
VI - coordenar as ações dos gestores de risco;
VII - promover a disseminação do conhecimento gestão de riscos;
VIII - monitorar a eficácia da gestão de riscos para fins de promover o aprimoramento, a aprendizagem e melhorias;
IX - elaborar e manter atualizado documento identificando o contexto da gestão de risco no Cade; e
X - coordenar a avaliação da política de gestão de riscos.
Art. 16. A participação dos membros no Corisc, Cerisc, ou subcomitês, a qualquer tempo, será considerada serviço de natureza relevante e não ensejará qualquer tipo de remuneração.
Art. 17. Cada risco mapeado e avaliado deve estar associado a um gestor de risco formalmente identificado.
§ 1º Gestor de risco é o detentor de cargo ou função de chefia, institucionalmente definido no regimento interno como responsável por um ou mais processos de trabalho.
§ 2º São responsabilidades do gestor de risco:
I - assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos;
II - monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; e
III - garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.
Art. 18. Cabe aos servidores, no âmbito da execução de suas tarefas, a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de possíveis riscos às instâncias superiores.
Art. 19. O Presidente do Cade e o Superintendente-Geral são os principais responsáveis pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.
Seção III
Dos Instrumentos do Modelo de Gestão de Riscos
Art. 20. São instrumentos do Modelo de Gerenciamento de Integridade, Riscos e Controles Internos da Gestão do Cade:
I - a Política de Governança, Gestão de Integridade, Riscos e Controles da Gestão do Cade;
II - as Instâncias de Liderança e Gestão de Risco do Cade;
III - a metodologia: o modelo de gestão de riscos deve ser estruturado com base Committee of Sponsoring Organizations of the Treadway Commission - COSO, ISO 31000 e boas práticas, conforme art. 5º;
IV - o plano de riscos;
V - a capacitação continuada;
VI - as normas, os manuais e os procedimentos; e
VII - a solução tecnológica.
Art. 21. São processos e funções da gestão de integridade do Cade:
I - promoção da ética e de regras de conduta para servidores;
II - promoção da transparência ativa e do acesso à informação;
III - tratamento de conflitos de interesses e nepotismo;
IV - tratamento de denúncias;
V - verificação do funcionamento de controles internos e do cumprimento de recomendações de auditoria; e
VI - implementação de procedimentos de responsabilização.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 22. A metodologia de Gestão de Riscos deverá ser aprovada pelo Corisc, até novembro de 2018.
Art. 23. Os casos omissos ou excepcionalidades serão solucionados pelo Corisc.
Art. 24. A aprovação do Plano de Riscos ocorrerá até novembro de 2018 após a aprovação da metodologia.