RESOLUÇÃO Nº 5, DE 28 DE MAIO DE 2020

Institui a Política de Gestão de Riscos do Instituto Nacional do Seguro Social - INSS.

O COMITÊ ESTRATÉGICO DE GOVERNANÇA DO INSTITUTO NACIONAL DO SEGURO SOCIAL - INSS, no uso das atribuições que lhe foram conferidas pelo art. 5º da Portaria nº 3.213/PRES/INSS, de 10 de dezembro de 2019, e considerando o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa nº 1/MP/CGU, de 10 de maio de 2016, bem como o contido no Processo Administrativo nº 35014.049554/2020-92, resolve:

Art. 1º Instituir a Política de Gestão de Riscos do Instituto Nacional do Seguro Social - INSS, nos termos desta Resolução.

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

Art. 2º A Política de Gestão de Riscos do INSS tem por finalidade precípua estabelecer e difundir princípios e diretrizes, objetivos, competências e responsabilidades a serem observados para a gestão de riscos, necessários aos processos de governança e gestão das políticas, programas, processos e projetos do Instituto.

§ 1º O Sistema de Gestão de Riscos do INSS - SGR-INSS consiste no conjunto de instrumentos de governança e de gestão que suportam a concepção, implementação, monitoramento e melhoria contínua da gestão de riscos de toda a organização.

§ 2º O SGR-INSS compreende, entre outros: política, estruturas organizacionais, metodologia, planos, normas, processos e recursos.

§ 3º Esta política de gestão de riscos integra o SGR-INSS.

Art. 3º Para os efeitos desta Resolução, entende-se por:

I - apetite a risco: nível de risco que uma organização está disposta a aceitar para atingir seus objetivos organizacionais;

II - controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável de que os objetivos organizacionais serão alcançados;

III - coordenador-setorial de gestão de riscos: agente capacitado em gestão de riscos, que tem a responsabilidade de prover assessoramento no processo de gerenciamento de riscos;

IV - gestão de riscos: conjunto de princípios, estruturas, alçadas, processos e atividades coordenados para dirigir e controlar a organização no que se refere a riscos;

V - gestor de risco: agente que tem a responsabilidade e a autoridade para gerenciar determinado risco;

VI - medida de controle: medida aplicada pela organização para tratar os riscos, aumentando a probabilidade de que os objetivos e as metas organizacionais estabelecidos sejam alcançados, bem como medidas de resposta aos riscos que mitiguem, transfiram ou evitem esses riscos;

VII - nível do risco: resultado da aferição da criticidade do risco, considerando aspectos como probabilidade e impacto;

VIII - objeto de gestão: qualquer processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional do INSS;

IX - processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para identificar, analisar, avaliar, tratar, comunicar e monitorar potenciais eventos ou situações de risco, bem como fornecer segurança razoável no alcance dos objetivos relacionados a processos, projetos e demais objetos avaliados;

X - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos; e

XI - risco-chave: risco que, em função do impacto potencial ao INSS, deve ser conhecido e acompanhado pela alta administração.

CAPÍTULO II
DOS PRINCÍPIOS

Art. 4º A Gestão de Riscos do INSS será norteada pelos seguintes princípios:

I - criar e proteger valor público;

II - subsidiar a tomada de decisões;

III - abordar explicitamente a incerteza;

IV - aplicar-se de forma contínua e integrada a qualquer tipo de atividade, projeto e aos processos de trabalho;

V - ser dinâmica, iterativa e capaz de reagir a mudanças;

VI - estar integrada às oportunidades e à inovação;

VII - basear-se nas melhores informações disponíveis;

VIII - ser transparente e inclusiva;

IX - considerar a importância dos fatores humanos e culturais;

X - facilitar a melhoria contínua da organização; e

XI - ser dirigida, apoiada e monitorada pela alta administração.

CAPÍTULO III
DOS OBJETIVOS

Art. 5º A Gestão de Riscos no INSS deve auxiliar a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos institucionais.

Parágrafo único. Nas atividades de planejamento, considera-se o risco, sempre que couber, como um dos critérios para seleção e priorização de iniciativas e ações.

Art. 6º São objetivos da Gestão de Riscos do INSS:

I - aumentar a probabilidade de atingir os objetivos;

II - fomentar uma gestão proativa;

III - preservar a imagem institucional;

IV - facilitar a identificação de oportunidades e ameaças;

V - prezar pelas conformidades legal e normativa dos processos organizacionais;

VI - melhorar a prestação de contas à sociedade;

VII - melhorar a governança;

VIII - estabelecer uma base confiável para a tomada de decisão e o planejamento;

IX - melhorar o controle interno da gestão;

X - estabelecer controles proporcionais ao risco, observada a relação custo-benefício;

XI - alocar e utilizar eficazmente os recursos para o tratamento de riscos;

XII - melhorar a eficácia e a eficiência operacional;

XIII - melhorar a prevenção de perdas e a gestão de incidentes;

XIV - minimizar perdas;

XV - melhorar a aprendizagem organizacional; e

XVI - aumentar a capacidade da organização de se adaptar às mudanças.

CAPÍTULO IV
DA GESTÃO DE RISCOS

Art. 7º A Gestão de Riscos do INSS deve ser implantada por meio de ciclos de revisão e melhoria contínua, estando a sua operacionalização descrita na Metodologia de Gestão de Riscos do INSS, que contemplará, no mínimo, as seguintes etapas:

I - estabelecimento de contexto: consiste em compreender o ambiente externo e interno no qual o objeto da gestão encontra-se inserido e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos;

II - identificação de riscos: compreende o reconhecimento e a descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos;

III - análise e avaliação de riscos: processo que estima o nível do risco, considerando a probabilidade e o impacto, e que compara o nível com critérios, a fim de determinar se o risco exige tratamento e outras providências, como o escalamento a instâncias decisórias superiores;

IV - tratamento do risco: compreende o planejamento e a realização de ações para modificar o nível do risco;

V - informação e comunicação: refere-se à identificação das partes interessadas em objetos de gestão de riscos e obtenção, fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto ao sigilo;

VI - monitoramento: compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos; e

VII - melhoria contínua: compreende o aperfeiçoamento ou ajuste de aspectos da gestão de riscos avaliados no monitoramento.

Parágrafo único. A Metodologia de Gestão de Riscos deverá contemplar critérios predefinidos de avaliação continuada, de forma a permitir a comparabilidade entre os riscos.

CAPÍTULO V
DOS PAPÉIS E RESPONSABILIDADES

Art. 8º As Instâncias responsáveis pelo SGR-INSS têm como função precípua apoiar e suportar os diversos níveis hierárquicos do INSS, de modo a integrar as atividades de Gestão de Riscos nos processos e atividades organizacionais.

Art. 9º São instâncias responsáveis pelo SGR-INSS:

I - o Comitê Estratégico de Governança - CEGOV;

II - o Presidente;

III - a Auditoria-Geral;

IV - a Diretoria de Integridade, Governança e Gerenciamento de Riscos - DIGOV;

V - as Diretorias e Superintendências-Regionais;

VI - o coordenador-setorial de gestão de riscos; e

VII - os gestores de riscos.

Art. 10. Compete a todos os colaboradores do INSS o monitoramento da evolução dos níveis de riscos e da efetividade das medidas de controles internos implementadas nos objetos de gestão em que estiverem envolvidos ou que tiverem conhecimento.

Parágrafo único. No monitoramento de que trata o caput, caso sejam identificadas mudanças ou fragilidades, o colaborador deverá reportar imediatamente o fato ao responsável pelo gerenciamento de riscos do objeto de gestão em questão.

Art. 11. Compete ao CEGOV, criado por meio da Portaria nº 3.213/PRES/INSS, de 10 de dezembro de 2019:

I - definir e atualizar as estratégias de implantação do Sistema de Gestão de Riscos do INSS, considerando os contextos externo e interno;

II - definir os níveis de apetite a riscos aceitos no âmbito do INSS;

III - definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos no âmbito do INSS;

IV - aprovar a Metodologia de Gestão de Riscos e suas revisões;

V - aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;

VI - definir indicadores de desempenho para a Gestão de Riscos;

VII - monitorar os riscos-chave e respectivas medidas de mitigação e determinar eventuais ações corretivas;

VIII - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;

IX - promover o desenvolvimento contínuo dos agentes e incentivar a adoção de boas práticas de governança e de gestão de riscos;

X - aprovar e supervisionar o método de priorização de processos para gerenciamento de riscos;

XI - zelar pela eficácia, eficiência e efetividade do processo de gerenciamento de riscos; e

XII - promover a integração e supervisionar a atuação das demais instâncias da Gestão de Riscos.

Art. 12. Compete ao Presidente do INSS garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores.

Art. 13. Compete à Auditoria-Geral do INSS, sem prejuízo de outras competências previstas no Regimento Interno:

I - aferir a efetividade do gerenciamento de riscos e a adequação dos controles internos; e

II - fornecer ao CEGOV avaliações abrangentes e independentes, conforme aprovado no Plano Anual de Auditoria Interna pelo Presidente.

Art. 14. A DIGOV desempenha o papel de unidade central de coordenação e supervisão da gestão de riscos, sendo responsável por:

I - propor a Política de Gestão de Riscos para o INSS, bem como melhorias futuras;

II - propor metodologia para o processo de gerenciamento de riscos, bem como melhorias futuras;

III - definir os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;

IV - coordenar a implantação e a operação do Sistema de Gestão de Riscos do INSS;

V - promover a realização de ações de comunicação e capacitação continuada em Gestão de Riscos, fomentando, quando possível, a formação de multiplicadores;

VI - dar suporte à identificação, análise e avaliação dos riscos dos processos organizacionais selecionados para a implementação da Gestão de Riscos;

VII - assessorar metodologicamente as unidades da estrutura organizacional do INSS na execução dos processos de gerenciamento de riscos;

VIII - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;

IX - consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los ao CEGOV;

X - medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;

XI - construir e propor ao CEGOV os indicadores de desempenho para a gestão de riscos; e

XII - assessorar o Presidente e o CEGOV em matérias relacionadas à gestão de riscos.

Art. 15. Compete às Diretorias e às Superintendências-Regionais do INSS na sua área de competência:

I - patrocinar a implantação da gestão de riscos;

II - gerenciar os riscos inerentes às suas atividades (identificar, avaliar e tratar);

III - definir e acompanhar os planos de tratamento para redução da exposição ao risco, assim como definir o responsável e a data da implantação do plano; e

IV - designar o coordenador-setorial de gestão de riscos da sua unidade.

Art. 16. O coordenador-setorial de gestão de riscos é o responsável por coordenar ações e promover a execução do SGR-INSS, no âmbito da unidade básica a que se vincula, devendo:

I - apoiar os dirigentes e os gestores de riscos no desempenho das competências definidas nesta Política;

II - monitorar a evolução da implantação dos Planos de Tratamento dos Riscos junto aos gestores de riscos;

III - informar à DIGOV sobre a identificação de novos riscos ou eventos que sejam relevantes e suas respectivas evoluções; e

IV - consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los à DIGOV.

Art. 17. Compete aos gestores de riscos nos objetos de gestão sob sua responsabilidade:

I - identificar, analisar e avaliar os riscos, em conformidade com o que define esta Política;

II - propor respostas e respectivas medidas de controle a serem implementadas;

III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas;

IV - informar ao coordenador-setorial de gestão de riscos sobre mudanças significativas nos objetos de gestão sob sua responsabilidade;

V - responder às requisições do coordenador-setorial de gestão de riscos e da DIGOV;

VI - consolidar as informações relevantes e suficientes sobre o risco, para que estejam disponíveis tempestivamente a fim de subsidiar a tomada de decisão; e

VII - dar transparência às avaliações realizadas a respeito da gestão de riscos.

§ 1º Os dirigentes de unidade, de coordenação-geral, de coordenação, de gerências-executivas, de gerência de agências, de chefias de divisão e de serviços, e de chefias de gabinete são os gestores dos riscos relativos aos objetos de gestão sob sua responsabilidade.

§ 2º Na hipótese de dúvida quanto à responsabilidade pela gestão de determinado risco no âmbito das unidades citadas no § 1º, cabe à chefia comum imediata decidir.

§ 3º Na hipótese de dúvida quanto à responsabilidade pela gestão de determinado risco entre diretorias, unidades diretamente subordinadas à Presidência e/ou entre Superintendências-Regionais, cabe ao CEGOV decidir.

CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS

Art. 18. Esta Política de Gestão de Riscos do INSS aplica-se, irrestritamente, a todos os macroprocessos do INSS, sendo obrigatória a sua observância por todos os colaboradores do Instituto.

Art. 19. As iniciativas relacionadas à Gestão de Riscos existentes no INSS anteriormente à publicação desta política deverão, gradualmente, ser alinhadas à Metodologia de Gestão de Riscos do INSS.

Parágrafo único. O alinhamento de que trata o caput deve ser feito no prazo máximo de 12 (doze) meses após a aprovação da Metodologia de Gestão de Riscos do INSS.

Art. 20. Os casos omissos, exceções, bem como os ajustes na presente Política de Gestão de Riscos devem ser submetidos à avaliação da DIGOV, antes da análise e aprovação do CEGOV.

Art. 21. Os casos de dúvidas na aplicação desta Política serão solucionados pela DIGOV.

Art. 22. A não observância desta política e seus desdobramentos normativos implicará, no que couber, em sanções previstas no Regime Disciplinar, no Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal e em demais normas internas sobre condutas.

Art. 23. Fica revogada a Portaria nº 774/PRES/INSS, de 9 de maio de 2017, publicada no Boletim de Serviço nº 87, de 9 de maio de 2017.

Art. 24. Esta Resolução entra em vigor em 1º de julho de 2020.

LEONARDO JOSÉ ROLIM GUIMARÃES
Presidente do Comitê

ALESSANDRO ROOSEVELT SILVA RIBEIRO
Diretor de Benefícios

JOBSON DE PAIVA SILVEIRA SALES
Diretor de Atendimento

HELDER CALADO DE ARAÚJO
Diretor de Gestão de Pessoas e Administração

CLÓVIS DE CASTRO JÚNIOR
Diretor de Integridade, Governança e Gerenciamento de Riscos

FLÁVIO FERREIRA DOS SANTOS
Diretor de Tecnologia da Informação e Inovação