Resolução nº 028, de 25 de setembro de 2023

Altera e consolida a Resolução nº 039/2017, de 11/12/2017, que instituiu a Política de Gestão de Riscos no âmbito da Universidade Federal do Amazonas.

O REITOR DA UNIVERSIDADE FEDERAL DO AMAZONAS E PRESIDENTE DO CONSELHO DE ADMINISTRAÇÃO, no uso de suas atribuições estatutárias,

CONSIDERANDO o teor do Processo nº 055/2022 – CONSAD e SEI 23105.034563/2022-42;

CONSIDERANDO a aprovação da Resolução nº 039/2017, em 11/12/2017, que instituiu a Política de Gestão de Riscos no âmbito da Universidade Federal do Amazonas;

CONSIDERANDO a atualizações feitas na Política de Gestão de Riscos, parte integrante desta Resolução (Anexo);

CONSIDERANDO o Parecer da Relatora, aprovado por unanimidade, em reunião ordinária realizada nesta data,

R E S O L V E :

Art. 1º Alterar e consolidar a Resolução nº 039/2017, de 11/12/2017, que instituiu a Política de Gestão de Riscos no âmbito da Universidade Federal do Amazonas, em anexo.

Art. 2º Em atenção ao disposto no Artigo 4º do Decreto 10.139/2019, esta Resolução entra em vigor a partir de 9/10/2023.

SYLVIO MÁRIO PUGA FERREIRA

Presidente

ANEXO À RESOLUÇÃO 028/2023, DE 25 DE SETEMBRO DE 2023

POLÍTICA DE GESTÃO DE RISCOS DA UNIVERSIDADE FEDERAL DO AMAZONAS

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º - A Política de Gestão de Riscos da Universidade Federal do Amazonas (UFAM) tem por finalidade estabelecer os princípios, diretrizes e responsabilidades a serem observados e seguidos no processo de gestão de riscos, integrados ao Planejamento Institucional, políticas, programas, projetos e processos desta Universidade.

Parágrafo único: entende-se por Planejamento Institucional nos três níveis: estratégico, tático e operacional.

Art. 2º - Para os efeitos desta Resolução, entende-se por:

I. Política de Gestão de Riscos: declaração das intenções e diretrizes gerais da UFAM relacionadas à gestão de riscos;

II. Gestão de Riscos: atividades coordenadas para dirigir e controlar a organização no que se refere a riscos e oportunidades;

III. Comitê de Governança, Integridade, Riscos e Controle: comitê de caráter consultivo e permanente às questões relativas à gestão de riscos, com foco na identificação de oportunidades para a melhoria contínua dos processos internos, visando o estabelecimento de ações consistentes com os objetivos institucionais;

IV. Controle: Conjunto de atividades, utilizado com vistas a assegurar a conformidade dos atos de gestão para que os objetivos e metas estabelecidas para as unidades organizacionais sejam alcançados;

V. Controle interno: processo que engloba o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável para que os objetivos organizacionais sejam alcançados.

I. Governança: combinação de processos e estruturas implantadas pela alta administração da UFAM, para informar, dirigir, administrar, avaliar e monitorar atividades organizacionais, com o intuito de alcançar os objetivos e prestar contas para a sociedade;

II. Gestor de Risco: pessoa, com autoridade e responsabilidade para gerenciar um risco;

III. Evento: uma ou mais ocorrências ou incidências provenientes do ambiente interno ou externo, ou mudança em um conjunto específico de circunstâncias, podendo, inclusive, consistir em alguma coisa não acontecer;

IV. Risco: possibilidade de ocorrência de um evento que tenha impacto no alcance dos objetivos da organização. O risco é medido em termos de probabilidade e de impacto;

V. Oportunidade: possibilidade de que um evento afete, positivamente, o alcance de objetivos;

VI. Ameaça: potencial causa com efeitos negativos de um incidente indesejado, que pode resultar em um dano à organização;

VII. Causa: requisito, premissa, restrição ou condição potencial que crie a possibilidade de resultados negativos ou positivos;

VIII. Risco inerente: risco a que uma organização está exposta, sem considerar quaisquer medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

IX. Risco residual: risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento de risco;

X. Risco operacional: Evento que pode comprometer as atividades do órgão ou entidade, normalmente associado a falhas, por problemas técnicos, deficiência de pessoal, infraestrutura e sistemas.

XI. Risco legal: evento derivado de alterações legislativas ou normativas que podem comprometer as atividades da UFAM;

XII. Risco financeiro/orçamentário: evento que pode comprometer a capacidade da UFAM de contar com recursos financeiros e orçamentários necessários à realização de suas atividades, ou evento que possa comprometer a própria execução financeira ou orçamentária;

XIII. Risco de imagem/reputação do Órgão: evento que pode comprometer a confiança da sociedade (ou de parceiros, clientes ou de fornecedores) em relação à capacidade da UFAM em cumprir sua missão institucional;

XIV. Risco de integridade: eventos relacionados à corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta que podem comprometer os valores e padrões preconizados pela UFAM;

XV. Apetite a risco: nível de risco que a UFAM está disposta a aceitar;

XVI. Resposta ao risco: qualquer ação adotada para lidar com o risco, podendo consistir em:

a) aceitar o risco por uma escolha consciente;

b) compartilhar o risco a outra parte;

c) evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; ou

d) mitigar ou reduzir o risco, diminuindo sua probabilidade de ocorrência ou minimizando suas consequências.

XVII. Identificação de riscos: processo que envolve o reconhecimento, descrição e classificação dos eventos críticos que possam evitar, reduzir, acelerar, atrasar ou descontinuar a consecução dos objetivos;

XVIII. Avaliação de riscos: processo contínuo de análise dos riscos identificados e à definição de medida de mitigação ou de resposta apropriada ao risco, maximizando as oportunidades de alcance dos objetivos institucionais.

XIX. Matriz de risco: ferramenta em que são registrados os riscos identificados, a avaliação de seus impactos e a probabilidade de ocorrência;

XX. Nível de risco: magnitude de um risco, expressa em termos da combinação de probabilidade de ocorrência e impacto;

XXI. Monitoramento: é um componente de controle do risco que permite avaliar a qualidade dos sistemas controladores de forma contínua, para verificar a adequação e a eficácia dos controles internos e atingir os objetivos estabelecidos;

XXII. Plano de Gestão de Riscos: documento que esquematiza e especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para a gestão de riscos.

CAPÍTULO II

PRINCÍPIOS E OBJETIVOS

Art. 3º - A Política de Gestão de Riscos da UFAM observará:

I. Os princípios da transparência, ética, eficiência e integridade;

II. O estabelecimento da gestão de riscos de forma sistemática, estruturada e tempestiva;

III. A aplicação de forma contínua e integrada ao Plano de Desenvolvimento Institucional da UFAM (PDI), Plano de Desenvolvimento da Unidade (PDU) e aos demais processos organizacionais, subsidiando a tomada de decisão;

IV. O propósito em agregar valor aos processos internos, apoiando a melhoria contínua da gestão organizacional;

V. O alinhamento ao perfil de risco da UFAM;

VI. A necessidade de ser dinâmica, interativa e integrada às oportunidades e à inovação.

Art. 4º - A Política de Gestão de Riscos da UFAM tem por objetivos:

I. Mapear e aperfeiçoar os processos e as informações relacionadas a riscos e controles, assegurando que os responsáveis pela tomada de decisão, em todos os níveis, tenham informações suficientes para identificar e tratar riscos, otimizando as oportunidades e minimizando a ocorrência de ameaças;

II. Fomentar o alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;

III. Observar os aspectos da ética, conduta, economicidade, eficiência, eficácia e efetividade nos controles da gestão de riscos;

IV. Otimizar a transparência e a prestação de contas à sociedade;

V. Integrar as informações relacionadas a riscos e controles de gestão ao Planejamento Estratégico da UFAM, em busca do atendimento aos objetivos institucionais;

VI. Desenvolver a capacidade institucional de lidar com graus de riscos em seus planos estratégicos, táticos, operacionais e programas ou projetos finalísticos.

CAPÍTULO III

DAS DIRETRIZES

Art. 5º - São diretrizes para a gestão de riscos na UFAM:

I. As premissas da metodologia do COSO/ ERM, das normas técnicas ABNT, NBR, ISO 31000:2018 e de boas práticas;

II. A integração ao processo de Planejamento Institucional, à gestão e à cultura organizacional da UFAM;

III. A adoção de metodologias e ferramentas que possibilitem a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro de padrões definidos pelas instâncias supervisoras;

IV. A efetivação do processo de gestão de riscos em ciclos periódicos, de acordo com o Plano de Gestão de Riscos, aprovado pelo Conselho de Administração da UFAM;

V. A capacitação em gestão de riscos dos servidores (docentes e técnico-administrativos) da UFAM, a ser realizada de forma contínua.

Art. 6º - O processo de gestão de riscos deverá contemplar o estabelecimento do contexto, o mapeamento de processos, a identificação, a análise, a avaliação, o tratamento de riscos, o monitoramento e a comunicação com partes interessadas.

§ 1º - O estabelecimento do contexto consiste em compreender o ambiente interno e externo no qual o objeto de gestão de riscos encontra-se inserido e identificar parâmetros e critérios a serem considerados no processo.

§ 2º - O mapeamento de processos corresponde à descrição e representação da sequência das atividades e dos fluxos de trabalho que compõem os processos;

§ 3º - A identificação do risco compreende o reconhecimento e sua descrição relacionados a um objeto de gestão.

§ 4º - A análise do risco fornece subsídios para a avaliação de riscos bem como para estratégias, métodos e decisões de tratamento.

§ 5 º - A avaliação do risco envolve a comparação do nível do risco com critérios, a fim de determinar se o risco é aceitável.

§ 6 º A priorização de riscos para definir quais riscos terão suas respostas priorizadas, levando em consideração os níveis a análise de riscos.

§ 7º - O tratamento do risco compreende o planejamento e a realização de ações para modificar o risco.

§ 8º - O monitoramento compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos, para verificar a adequação e a eficácia dos controles internos e atingir os objetivos estabelecidos;

§ 9º - A comunicação se refere ao fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto ao sigilo.

CAPÍTULO IV

DA OPERACIONALIZAÇÃO

Art. 7º - A operacionalização da gestão de riscos deverá contemplar as seguintes etapas:

I. Estabelecimento de contexto: análise dos contextos externos e internos da UFAM, do Plano de Desenvolvimento Institucional (PDI) e Plano de Desenvolvimento da Unidade (PDU), no que tange aos objetivos e a macroprocessos construídos e mapeados;

II. Mapeamento de processos: estudo e representação dos fluxos de trabalho com a participação efetiva de seus respectivos gestores e subordinados;

III. Identificação de riscos: após a constatação das situações listadas nos itens I e II, efetuar o reconhecimento e descrição de riscos, baseados em eventos que possam evitar, reduzir, acelerar, atrasar ou descontinuar a realização dos objetivos;

IV. Análise de riscos: compreensão da natureza dos riscos, analisando as suas possíveis causas e consequências;

V. Avaliação de riscos: estimar e determinar os níveis dos riscos mediante combinação de probabilidade de sua ocorrência e impactos;

VI. Tratamento de riscos: tem como propósito determinar a resposta mais adequada para modificar a probabilidade ou impacto de um risco;

VII. Monitoramento: verificação, supervisão, observação crítica ou identificação da situação de riscos realizados de forma contínua para determinar a adequação e a eficácia dos controles internos e atingir os objetivos estabelecidos;

VIII. Comunicação: manutenção regular e constante de fluxo de informações com as partes interessadas durante todas as fases do processo de gestão de riscos, de forma clara e objetiva, respeitando as boas práticas de governança exigidas pela sociedade.

Parágrafo único – Os riscos identificados serão avaliados, classificados, tratados e monitorados periodicamente, em reunião de gestão, sempre que necessário, a fim de garantir melhoria contínua nos processos.

Art. 8º - Para a classificação no mapeamento dos riscos quanto à sua probabilidade de ocorrência, será considerada:

I. Probabilidade baixa: possível de ocorrer, evento inesperado, muito embora raro, existência de históricos de ocorrência conhecida por parte de gestores e operadores do processo. Passível de mitigar com as estratégias já programadas;

II. Probabilidade média: provável de ocorrer, evento esperado com frequência reduzida. Passível de mitigar com custos e ações adicionais;

III. Probabilidade alta: provável de ocorrer, certamente o evento ocorrerá. Dificuldades de mitigar mesmo com recursos e ações adicionais.

Art. 9º - Para a classificação no mapeamento dos riscos quanto à probabilidade de impacto, será considerado:

I. Impacto baixo: prejuízo de pouca relevância aos objetivos, exigindo novos projetos ou ações;

II. Impacto médio: Reduz a capacidade de gestão, impactando moderadamente ao alcance dos objetivos. Demanda adicional de tempo e recursos;

III. Impacto alto: graves prejuízos a objetivos e ao cumprimento da missão institucional, ocasionando dificuldade de reversão.

Art. 10 - O tipo de tratamento a ser adotado para cada risco será definido pelos responsáveis técnicos dos riscos que determinarão a resposta mais adequada, que seguirá a seguinte categorização:

I. Evitar: decidir não iniciar ou descontinuar o objetivo ou a atividade que dá origem ao risco;

II. Mitigar: reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências;

III. Compartilhar: transferir ou compartilhar o risco a outra parte;

IV. Aceitar: por uma escolha consciente.

CAPÍTULO V

DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 11 - São instâncias responsáveis e com atribuições específicas no âmbito do Sistema de Gestão de Riscos da UFAM:

I. Conselho de Administração (CONSAD):

II. Comitê de Governança, Integridade, Riscos e Controles (CGIRC);

III. Reitor (a);

IV. Pró-Reitores (as);

V. Unidade Central de Gestão de Riscos - UCGR;

VI. Auditoria Interna;

VII. Diretores de Unidades Acadêmicas e de Órgãos Suplementares;

VIII. Agente Setorial;

IX. Gestor de Risco.

§ 1º - Compete ao CONSAD aprovar e homologar a Política de Gestão de Riscos e suas alterações e o Plano de Gestão de Riscos.

§ 2º - Compete ao Comitê de Governança, Integridade, Riscos e Controles (CGIRC) analisar a proposta de mudanças da Política e do Plano de Gestão de Riscos da UFAM, o relatório final de execução do Plano de Gestão de Riscos, propostas de alteração na condução dos processos relacionados à adesão de novas tecnologias, metodologias, dentre outras e acompanhar a efetividade da gestão de riscos no cumprimento de seus objetivos;

§ 3º - Compete ao Reitor (a) e, em sua ausência, a quem for oficialmente delegado, apoiar a implementação e garantir a continuidade e o aperfeiçoamento da política de gestão de riscos da UFAM.

§ 4º - Compete aos Pró-Reitores, Diretores de Unidades Acadêmicas e de Órgãos Suplementares viabilizar a implementação da gestão de riscos no âmbito de sua unidade e aplicar medidas de mitigação necessárias em situações que envolvam risco; designar, por meio de portaria da unidade os agentes setoriais e os gestores de riscos, além de esclarecer dúvidas relacionadas à competência de agir de cada representante diante dos riscos identificados.

§ 5º - Compete à Unidade Central de Gestão de Riscos desempenhar o papel de unidade central de coordenação e supervisão da gestão de riscos, elaborar propostas de regulamentação, implementação e atualização dos processos de gestão de riscos no âmbito institucional para posterior aprovação;

§ 6º - Compete à Auditoria Interna medir e avaliar a eficiência e a eficácia dos controles internos da gestão organizacional, dentre elas a gestão de riscos como ferramenta de controle, sugerindo alterações à Unidade Central de Gestão de Riscos - UCGR, quando necessárias.

§ 7º - Compete ao Agente Setorial coordenar a implementação da gestão de riscos no âmbito de sua unidade organizacional; monitorar e apoiar o gestor de riscos na operacionalização dos riscos mapeados e reportar informações à unidade central;

§ 8º - Compete ao Gestor de Riscos executar as atividades do processo de gestão de riscos sob sua responsabilidade;

Art. 12 - É atribuição do dirigente de cada unidade organizacional da UFAM a designação do agente setorial e do gestor de riscos.

§ 1º Para a função de agente setorial, serão designados dois servidores, um titular e um suplente.

§ 2º Para a função de gestor de riscos, será designado um servidor para cada departamento, coordenação ou estrutura semelhante, tendo como base a matriz RACI estabelecida no PDU de sua unidade organizacional.

§ 3º Os servidores designados para atuar como gestores de riscos serão, preferencialmente, aqueles que ocupam os cargos de diretores de departamento e coordenadores.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 13 - Em virtude da abrangência e da complexidade do tema, a Política de Gestão de Riscos da UFAM será implantada de forma gradual e continuada, em até 24 (vinte e quatro) meses, a contar da data de publicação desta Resolução.

Art. 14 - A Política de Gestão de Riscos da UFAM será reavaliada e readequada sempre que o Comitê de Governança, Integridade, Riscos e Controles (CGIRC) e a Unidade Central de Gestão de Riscos (UCGR) recomendar.

Art. 15 – As metodologias e ferramentas para a operacionalização da gestão de riscos serão adotadas no Plano de Gestão de Riscos, que deverá ser atualizado concomitantemente ao ciclo do Planejamento Institucional da UFAM.

Art. 16 - Os casos omissos e as excepcionalidades deverão ser resolvidos pelo Comitê de Governança, Integridade, Riscos e Controle.

SYLVIO MÁRIO PUGA FERREIRA

Presidente

Documento assinado eletronicamente por SYLVIO MÁRIO PUGA FERREIRA, Presidente, em 06/10/2023, às 14:47, conforme horário oficial de Manaus, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufam.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 1724530 e o código CRC B916C084.

Avenida General Rodrigo Octávio, 6200 - Bairro Coroado I Campus Universitário Senador Arthur Virgílio Filho, Prédio Administrativo da Reitoria (2º andar), Setor Norte - Telefone: (92) 3305-1498
CEP 69080-900, Manaus/AM, sgc@ufam.edu.br​