GOVERNO DO ESTADO DE SÃO PAULO



Decreto nº 68.158, de 9 de dezembro de 2023

Institui a Política de Gestão de Riscos da Administração Pública direta e autárquica do Estado de São Paulo.


O GOVERNADOR DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais,

Decreta:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Artigo 1º - Fica instituída a Política de Gestão de Riscos da Administração Pública direta e autárquica do Estado de São Paulo, com vistas à incorporação da análise de riscos à tomada de decisão em órgãos e entidades, em conformidade com a política de governança estadual.

Parágrafo único - A política a que se refere o caput deste artigo abrange conceitos, objetivos, princípios, responsabilidades e o processo de gestão de riscos.

Artigo 2º - Para fins deste decreto, considera-se:

I - alta administração: Secretários de Estado, Procurador Geral do Estado, Controlador-Geral do Estado, dirigentes máximos de autarquias e respectivos substitutos, enquanto respondendo pelo expediente do órgão ou entidade;

II - apetite a risco: nível de risco que os órgãos ou entidades estão dispostos a assumir;

III - controles internos: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, implementados de forma integrada pela alta administração e pelos demais agentes públicos dos órgãos e entidades que, com base em gestão de riscos, forneçam segurança razoável de que os objetivos institucionais serão alcançados;

IV - gestão de riscos: aplicação sistemática de procedimentos e práticas que contemplam as atividades de identificar, analisar, avaliar, tratar e monitorar potenciais eventos que tenham impacto no cumprimento dos objetivos de uma instituição;

V - gestor do risco: pessoa, órgão ou entidade com responsabilidade e autoridade para gerenciar o risco;

VI - governança pública: conjunto de mecanismos de liderança, estratégia e controle para avaliar, direcionar e monitorar a gestão, com vistas à concepção e implementação de políticas públicas e à prestação de serviços públicos;

VII - medidas de controle: medidas adotadas por órgãos ou entidades para tratar os riscos identificados, aumentando a probabilidade de que os objetivos e metas institucionais sejam alcançados;

VIII - objetivo institucional: situação que se deseja alcançar de forma a se evidenciar êxito no cumprimento da finalidade dos órgãos ou entidades;

IX - risco: potencial evento que tenha impacto no cumprimento dos objetivos de uma instituição;

X - tratamento do risco: execução de medidas de controle com a finalidade de modificar um risco identificado, aumentando a probabilidade de que os objetivos institucionais sejam alcançados.

Artigo 3º - O processo de gestão de riscos deverá ser implementado pelos órgãos e entidades, de forma gradual, como ferramenta necessária à consecução dos seus objetivos e à garantia de uma gestão pública de qualidade.

Parágrafo único - Os órgãos e entidades poderão estabelecer práticas de gestão de riscos próprias, de acordo com suas especificidades e estratégias, desde que alinhadas às disposições deste decreto.

Artigo 4º - O processo de gestão de riscos deverá ser implementado de maneira a priorizar os processos de trabalho, projetos, atividades e ações mais estratégicos e que impactam diretamente a consecução dos objetivos dos órgãos e entidades.

Parágrafo único - O dirigente máximo do órgão ou entidade deverá garantir apoio institucional necessário para promover a gestão de riscos, em especial os recursos tecnológicos, financeiros e humanos adequados à efetividade do processo.

CAPÍTULO II

DOS OBJETIVOS

Artigo 5º - A Política de Gestão de Riscos tem por objetivo orientar o processo de gestão de riscos no âmbito dos órgãos e entidades da Administração Pública direta e autárquica do Estado de São Paulo, com vistas a:

I - aumentar a probabilidade de consecução dos objetivos institucionais, por meio da identificação de potenciais eventos que possam impactá-los;

II - alinhar a atuação gerencial ao apetite a riscos do órgão ou entidade;

III - aprimorar os controles internos da gestão;

IV - aperfeiçoar os mecanismos de governança e de prestação de contas por decisões tomadas e ações implementadas, contribuindo para o uso eficiente, eficaz e efetivo de recursos;

V - disseminar a cultura de gestão de riscos;

VI - agregar valor à instituição ao estabelecer uma base confiável para o planejamento e tomada de decisão;

VII - adequar os controles internos ao tratamento dos riscos.

CAPÍTULO III

DAS DIRETRIZES

Artigo 6º - A Política de Gestão de Riscos observará as seguintes diretrizes:

I - agregar valor à gestão e proteger o ambiente interno;

II - ser parte integrante dos processos institucionais;

III - apresentar abordagem sistemática, estruturada, abrangente e oportuna;

IV - expressar dinamismo, iteratividade e pronta capacidade de resposta a mudanças;

V - utilizar as melhores informações disponíveis;

VI - considerar fatores humanos e culturais;

VII - fomentar a melhoria contínua, por meio do aprendizado e de experiências;

VIII - subsidiar a tomada de decisões.

CAPÍTULO IV

DAS RESPONSABILIDADES

Artigo 7º - As responsabilidades quanto à gestão de riscos organizam-se em três linhas de atuação, compreendendo:

I - primeira linha: servidores e empregados públicos responsáveis pelo gerenciamento direto dos riscos nos níveis estratégicos, táticos ou operacionais, como os gestores de unidades, de processos de trabalho, de projetos, de atividades, de ações, de contratos e de demais instrumentos congêneres;

II - segunda linha: servidores e empregados públicos responsáveis pelos controles internos e gestão de riscos, que têm como objetivo apoiar e monitorar, mediante fornecimento de conhecimento e de ferramentas adequadas, os gestores de que trata o inciso I deste artigo;

III - terceira linha: Controladoria Geral do Estado, responsável pela avaliação objetiva e independente da gestão de riscos, controles internos e governança.

Artigo 8° - À primeira linha de que trata o inciso I do artigo 7º deste decreto, cabe:

I - selecionar os processos, projetos, atividades e ações que terão seus riscos gerenciados, considerando as prioridades do órgão ou entidade, observada a Política de Gestão de Riscos;

II - elaborar os planos de ação para o tratamento dos riscos, considerando o apetite a riscos do órgão ou entidade;

III - avaliar os resultados obtidos com o processo de gestão de riscos.

Artigo 9° - À segunda linha de que trata o inciso II do artigo 7º deste decreto, responsável pelos controles internos e gestão de riscos, cabe:

I - apoiar os gestores de riscos de primeira linha em suas atribuições, especialmente na implantação, monitoramento e melhoria dos controles internos estabelecidos na gestão de riscos;

II - acompanhar a evolução dos níveis de risco e da efetividade dos planos de ação;

III - monitorar os riscos que impactam a consecução dos objetivos estratégicos;

IV - avaliar a adequação, suficiência e eficácia do processo de gestão de riscos;

V - assessorar o Comitê Interno de Governança do órgão ou entidade nos temas técnicos relacionados à gestão de riscos.

Artigo 10 - A Controladoria Geral do Estado, em relação à atuação de que trata o inciso III do artigo 7º deste decreto, tem as seguintes atribuições:

I - avaliar as atividades dos gestores de riscos de primeira e de segunda linha, no que tange à eficácia dos controles internos e da gestão de riscos, assessorando-os quanto às melhores práticas;

II - verificar a conformidade das atividades executadas à Política de Gestão de Riscos;

III - avaliar o desempenho da gestão de riscos, com vistas a promover a melhoria contínua do processo e a auxiliar o órgão ou entidade a alcançar seus objetivos estratégicos.

Artigo 11 - O Comitê Interno de Governança do órgão ou entidade, relativamente à política de que trata este decreto, tem as seguintes atribuições:

I - definir os limites de apetite a risco no nível institucional;

II - aprovar os planos de ação e as respectivas medidas de controle a serem implementadas;

III - zelar pelo alinhamento da gestão de riscos aos padrões de conduta e integridade, assim como ao planejamento estratégico.

CAPÍTULO V

DO PROCESSO

Artigo 12 - O processo de gestão de riscos compreende as seguintes etapas:

I - entendimento do contexto: conhecer os objetivos institucionais e os processos a eles relacionados, assim como definir os contextos internos e externos a serem levados em consideração ao gerenciar os riscos;

II - identificação e análise de riscos: levantar os possíveis riscos relativos aos processos, projetos, atividades e ações, bem como suas causas e consequências;

III - avaliação de riscos: estimar os níveis dos riscos identificados, avaliando a gravidade com base em critérios de impacto, probabilidade de ocorrência e definição do apetite a riscos;

IV - tratamento de riscos: definir as medidas de controle, de acordo com o apetite a risco estabelecido;

V - comunicação e monitoramento: acompanhar o desempenho e verificar a adequação e suficiência dos controles internos, mantendo um fluxo contínuo de compartilhamento de informações entre as partes interessadas.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Artigo 13 - O Controlador Geral do Estado editará normas complementares necessárias ao cumprimento deste decreto.

Artigo 14 - A Política de Gestão de Riscos deve ser objeto de revisão periódica, com vistas a sua melhoria contínua.

Artigo 15 - Os representantes do Estado nas fundações instituídas ou mantidas pelo Poder Público adotarão as providências necessárias ao cumprimento deste decreto, em seus respectivos âmbitos.

Artigo 16 - Este decreto entra em vigor na data da sua publicação.

Palácio dos Bandeirantes, 9 de dezembro de 2023.

TARCÍSIO DE FREITAS


Publicado em: 12/12/2023
Atualizado em: 12/12/2023 15:05

68.158.docx68.158.docxClique com o botão direito do mouse na imagem ao lado e selecione a opção 'Salvar destino como...'