Decreto Estadual de São Paulo nº 68.158 de 09 de dezembro de 2023

alta administração: Secretários de Estado, Procurador Geral do Estado, Controlador-Geral do Estado, dirigentes máximos de autarquias e respectivos substitutos, enquanto respondendo pelo expediente do órgão ou entidade;

apetite a risco: nível de risco que os órgãos ou entidades estão dispostos a assumir;

controles internos: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, implementados de forma integrada pela alta administração e pelos demais agentes públicos dos órgãos e entidades que, com base em gestão de riscos, forneçam segurança razoável de que os objetivos institucionais serão alcançados;

gestão de riscos: aplicação sistemática de procedimentos e práticas que contemplam as atividades de identificar, analisar, avaliar, tratar e monitorar potenciais eventos que tenham impacto no cumprimento dos objetivos de uma instituição;

gestor do risco: pessoa, órgão ou entidade com responsabilidade e autoridade para gerenciar o risco;

governança pública: conjunto de mecanismos de liderança, estratégia e controle para avaliar, direcionar e monitorar a gestão, com vistas à concepção e implementação de políticas públicas e à prestação de serviços públicos;

medidas de controle: medidas adotadas por órgãos ou entidades para tratar os riscos identificados, aumentando a probabilidade de que os objetivos e metas institucionais sejam alcançados;

objetivo institucional: situação que se deseja alcançar de forma a se evidenciar êxito no cumprimento da finalidade dos órgãos ou entidades;

risco: potencial evento que tenha impacto no cumprimento dos objetivos de uma instituição;

tratamento do risco: execução de medidas de controle com a finalidade de modificar um risco identificado, aumentando a probabilidade de que os objetivos institucionais sejam alcançados.

aumentar a probabilidade de consecução dos objetivos institucionais, por meio da identificação de potenciais eventos que possam impactá-los;

alinhar a atuação gerencial ao apetite a riscos do órgão ou entidade;

aprimorar os controles internos da gestão;

aperfeiçoar os mecanismos de governança e de prestação de contas por decisões tomadas e ações implementadas, contribuindo para o uso eficiente, eficaz e efetivo de recursos;

disseminar a cultura de gestão de riscos;

agregar valor à instituição ao estabelecer uma base confiável para o planejamento e tomada de decisão;

adequar os controles internos ao tratamento dos riscos.

agregar valor à gestão e proteger o ambiente interno;

ser parte integrante dos processos institucionais;

apresentar abordagem sistemática, estruturada, abrangente e oportuna;

expressar dinamismo, iteratividade e pronta capacidade de resposta a mudanças;

utilizar as melhores informações disponíveis;

considerar fatores humanos e culturais;

fomentar a melhoria contínua, por meio do aprendizado e de experiências;

subsidiar a tomada de decisões.

primeira linha: servidores e empregados públicos responsáveis pelo gerenciamento direto dos riscos nos níveis estratégicos, táticos ou operacionais, como os gestores de unidades, de processos de trabalho, de projetos, de atividades, de ações, de contratos e de demais instrumentos congêneres;

segunda linha: servidores e empregados públicos responsáveis pelos controles internos e gestão de riscos, que têm como objetivo apoiar e monitorar, mediante fornecimento de conhecimento e de ferramentas adequadas, os gestores de que trata o inciso I deste artigo;

terceira linha: Controladoria Geral do Estado, responsável pela avaliação objetiva e independente da gestão de riscos, controles internos e governança.

selecionar os processos, projetos, atividades e ações que terão seus riscos gerenciados, considerando as prioridades do órgão ou entidade, observada a Política de Gestão de Riscos;

elaborar os planos de ação para o tratamento dos riscos, considerando o apetite a riscos do órgão ou entidade;

avaliar os resultados obtidos com o processo de gestão de riscos.

apoiar os gestores de riscos de primeira linha em suas atribuições, especialmente na implantação, monitoramento e melhoria dos controles internos estabelecidos na gestão de riscos;

acompanhar a evolução dos níveis de risco e da efetividade dos planos de ação;

monitorar os riscos que impactam a consecução dos objetivos estratégicos;

avaliar a adequação, suficiência e eficácia do processo de gestão de riscos;

assessorar o Comitê Interno de Governança do órgão ou entidade nos temas técnicos relacionados à gestão de riscos.

avaliar as atividades dos gestores de riscos de primeira e de segunda linha, no que tange à eficácia dos controles internos e da gestão de riscos, assessorando-os quanto às melhores práticas;

verificar a conformidade das atividades executadas à Política de Gestão de Riscos;

avaliar o desempenho da gestão de riscos, com vistas a promover a melhoria contínua do processo e a auxiliar o órgão ou entidade a alcançar seus objetivos estratégicos.

definir os limites de apetite a risco no nível institucional;

aprovar os planos de ação e as respectivas medidas de controle a serem implementadas;

zelar pelo alinhamento da gestão de riscos aos padrões de conduta e integridade, assim como ao planejamento estratégico.

entendimento do contexto: conhecer os objetivos institucionais e os processos a eles relacionados, assim como definir os contextos internos e externos a serem levados em consideração ao gerenciar os riscos;

identificação e análise de riscos: levantar os possíveis riscos relativos aos processos, projetos, atividades e ações, bem como suas causas e consequências;

avaliação de riscos: estimar os níveis dos riscos identificados, avaliando a gravidade com base em critérios de impacto, probabilidade de ocorrência e definição do apetite a riscos;

tratamento de riscos: definir as medidas de controle, de acordo com o apetite a risco estabelecido;

comunicação e monitoramento: acompanhar o desempenho e verificar a adequação e suficiência dos controles internos, mantendo um fluxo contínuo de compartilhamento de informações entre as partes interessadas.