Resolução CEGOV/INSS nº 5 de 28 de Maio de 2020

apetite a risco: nível de risco que uma organização está disposta a aceitar para atingir seus objetivos organizacionais;

controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável de que os objetivos organizacionais serão alcançados;

coordenador-setorial de gestão de riscos: agente capacitado em gestão de riscos, que tem a responsabilidade de prover assessoramento no processo de gerenciamento de riscos;

gestão de riscos: conjunto de princípios, estruturas, alçadas, processos e atividades coordenados para dirigir e controlar a organização no que se refere a riscos;

gestor de risco: agente que tem a responsabilidade e a autoridade para gerenciar determinado risco;

medida de controle: medida aplicada pela organização para tratar os riscos, aumentando a probabilidade de que os objetivos e as metas organizacionais estabelecidos sejam alcançados, bem como medidas de resposta aos riscos que mitiguem, transfiram ou evitem esses riscos;

nível do risco: resultado da aferição da criticidade do risco, considerando aspectos como probabilidade e impacto;

objeto de gestão: qualquer processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional do INSS;

processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para identificar, analisar, avaliar, tratar, comunicar e monitorar potenciais eventos ou situações de risco, bem como fornecer segurança razoável no alcance dos objetivos relacionados a processos, projetos e demais objetos avaliados;

risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos; e

risco-chave: risco que, em função do impacto potencial ao INSS, deve ser conhecido e acompanhado pela alta administração.

criar e proteger valor público;

subsidiar a tomada de decisões;

abordar explicitamente a incerteza;

aplicar-se de forma contínua e integrada a qualquer tipo de atividade, projeto e aos processos de trabalho;

ser dinâmica, iterativa e capaz de reagir a mudanças;

estar integrada às oportunidades e à inovação;

basear-se nas melhores informações disponíveis;

ser transparente e inclusiva;

considerar a importância dos fatores humanos e culturais;

facilitar a melhoria contínua da organização; e

ser dirigida, apoiada e monitorada pela alta administração.

aumentar a probabilidade de atingir os objetivos;

fomentar uma gestão proativa;

preservar a imagem institucional;

facilitar a identificação de oportunidades e ameaças;

prezar pelas conformidades legal e normativa dos processos organizacionais;

melhorar a prestação de contas à sociedade;

melhorar a governança;

estabelecer uma base confiável para a tomada de decisão e o planejamento;

melhorar o controle interno da gestão;

estabelecer controles proporcionais ao risco, observada a relação custo-benefício;

alocar e utilizar eficazmente os recursos para o tratamento de riscos;

melhorar a eficácia e a eficiência operacional;

melhorar a prevenção de perdas e a gestão de incidentes;

minimizar perdas;

melhorar a aprendizagem organizacional; e

aumentar a capacidade da organização de se adaptar às mudanças.

estabelecimento de contexto: consiste em compreender o ambiente externo e interno no qual o objeto da gestão encontra-se inserido e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos;

identificação de riscos: compreende o reconhecimento e a descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos;

análise e avaliação de riscos: processo que estima o nível do risco, considerando a probabilidade e o impacto, e que compara o nível com critérios, a fim de determinar se o risco exige tratamento e outras providências, como o escalamento a instâncias decisórias superiores;

tratamento do risco: compreende o planejamento e a realização de ações para modificar o nível do risco;

informação e comunicação: refere-se à identificação das partes interessadas em objetos de gestão de riscos e obtenção, fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto ao sigilo;

monitoramento: compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos; e

melhoria contínua: compreende o aperfeiçoamento ou ajuste de aspectos da gestão de riscos avaliados no monitoramento.

o Comitê Estratégico de Governança - CEGOV;

o Presidente;

a Auditoria-Geral;

a Diretoria de Integridade, Governança e Gerenciamento de Riscos - DIGOV;

as Diretorias e Superintendências-Regionais;

o coordenador-setorial de gestão de riscos; e

os gestores de riscos.

definir e atualizar as estratégias de implantação do Sistema de Gestão de Riscos do INSS, considerando os contextos externo e interno;

definir os níveis de apetite a riscos aceitos no âmbito do INSS;

definir a periodicidade máxima do ciclo do processo de gerenciamento de riscos no âmbito do INSS;

aprovar a Metodologia de Gestão de Riscos e suas revisões;

aprovar os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;

definir indicadores de desempenho para a Gestão de Riscos;

monitorar os riscos-chave e respectivas medidas de mitigação e determinar eventuais ações corretivas;

monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;

promover o desenvolvimento contínuo dos agentes e incentivar a adoção de boas práticas de governança e de gestão de riscos;

aprovar e supervisionar o método de priorização de processos para gerenciamento de riscos;

zelar pela eficácia, eficiência e efetividade do processo de gerenciamento de riscos; e

promover a integração e supervisionar a atuação das demais instâncias da Gestão de Riscos.

aferir a efetividade do gerenciamento de riscos e a adequação dos controles internos; e

fornecer ao CEGOV avaliações abrangentes e independentes, conforme aprovado no Plano Anual de Auditoria Interna pelo Presidente.

propor a Política de Gestão de Riscos para o INSS, bem como melhorias futuras;

propor metodologia para o processo de gerenciamento de riscos, bem como melhorias futuras;

definir os requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos;

coordenar a implantação e a operação do Sistema de Gestão de Riscos do INSS;

promover a realização de ações de comunicação e capacitação continuada em Gestão de Riscos, fomentando, quando possível, a formação de multiplicadores;

dar suporte à identificação, análise e avaliação dos riscos dos processos organizacionais selecionados para a implementação da Gestão de Riscos;

assessorar metodologicamente as unidades da estrutura organizacional do INSS na execução dos processos de gerenciamento de riscos;

monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas;

consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los ao CEGOV;

medir o desempenho da Gestão de Riscos objetivando a sua melhoria contínua;

construir e propor ao CEGOV os indicadores de desempenho para a gestão de riscos; e

assessorar o Presidente e o CEGOV em matérias relacionadas à gestão de riscos.

patrocinar a implantação da gestão de riscos;

gerenciar os riscos inerentes às suas atividades (identificar, avaliar e tratar);

definir e acompanhar os planos de tratamento para redução da exposição ao risco, assim como definir o responsável e a data da implantação do plano; e

designar o coordenador-setorial de gestão de riscos da sua unidade.

apoiar os dirigentes e os gestores de riscos no desempenho das competências definidas nesta Política;

monitorar a evolução da implantação dos Planos de Tratamento dos Riscos junto aos gestores de riscos;

informar à DIGOV sobre a identificação de novos riscos ou eventos que sejam relevantes e suas respectivas evoluções; e

consolidar os resultados das diversas áreas em relatórios gerenciais e encaminhá-los à DIGOV.

identificar, analisar e avaliar os riscos, em conformidade com o que define esta Política;

propor respostas e respectivas medidas de controle a serem implementadas;

monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas;

informar ao coordenador-setorial de gestão de riscos sobre mudanças significativas nos objetos de gestão sob sua responsabilidade;

responder às requisições do coordenador-setorial de gestão de riscos e da DIGOV;

consolidar as informações relevantes e suficientes sobre o risco, para que estejam disponíveis tempestivamente a fim de subsidiar a tomada de decisão; e

dar transparência às avaliações realizadas a respeito da gestão de riscos.