Atualiza a Política de Gestão de Riscos Corporativos da Agência Nacional de Vigilância Sanitária e dá outras providências.
O Diretor-Presidente da Agência Nacional de Vigilância Sanitária, no uso das atribuições que lhe confere o art.172, XII, aliado ao art. 203, III, §3º do Regimento Interno aprovado pela Resolução de Diretoria Colegiada - RDC nº 585, de 10 de dezembro de 2021, conforme deliberado em Circuito Deliberativo - CD 1.150/2022, de 23 e novembro de 2022, resolve:
Art. 1º Atualizar a Política de Gestão de Riscos Corporativos (GRC) da Agência Nacional de Vigilância Sanitária (Anvisa).
CAPÍTULO I - DAS DISPOSIÇÕES INICIAIS
Art. 2º A Política de Gestão de Riscos Corporativos da Anvisa tem por finalidade estabelecer os princípios, os objetos, os objetivos, as diretrizes e as responsabilidades a serem observados e seguidos por todas as unidades organizacionais da Agência para o gerenciamento dos riscos corporativos e controles internos da gestão.
Art. 3º A Política de Gestão de Riscos Corporativos da Anvisa adota como premissa o alinhamento e a integração à política e ao modelo de governança organizacional desta Agência, bem como ao programa de integridade pública.
Art. 4º A gestão de riscos corporativos é um processo contínuo, de natureza permanente, estabelecido, direcionado, executado e monitorado pelos níveis de gestão da Agência que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos de riscos, fornecendo segurança razoável para o cumprimento da missão institucional na geração de valor público.
Art. 5º Para os efeitos desta portaria, considera-se:
I - apetite a riscos: o nível de risco que a Anvisa está disposta a aceitar para atingir os objetivos organizacionais no contexto analisado;
II - controles internos da gestão: medida que mantém ou modifica o risco, incluídos qualquer processo, política, dispositivo, prática, ou outras condições ou ações, operacionalizados de forma integrada pela direção e pelos gestores de riscos, fornecendo segurança razoável na consecução dos objetivos da Anvisa;
III - cadeia de valor: ferramenta para gerenciar os macroprocessos e processos organizacionais realizados pela Agência para atingir seus objetivos;
IV - critérios de risco: termos de referência diante dos quais a significância de um risco é avaliada;
V - ciclo estratégico: período da gestão do Plano Estratégico de uma organização;
VI - eventos: incidente ou ocorrência, proveniente de fontes internas ou externas, que afeta positiva ou negativamente a implementação da estratégia ou a realização de objetivos da organização;
VII - governança: mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;
VIII - gestor do risco: agente responsável pelo gerenciamento de determinado risco com autoridade para orientar e executar as atividades do processo de gestão de riscos dos objetos de gestão sob sua responsabilidade, conforme a Política e a Metodologia de gestão de riscos da Anvisa;
IX - nível de risco: magnitude de um risco, expressa em termos da combinação de suas consequências e probabilidades de ocorrência;
X - plano de riscos: carteira de riscos que aborda os processos definidos como prioritários para o gerenciamento de riscos no ciclo estratégico;
XI - partes interessadas (stakeholders): são pessoas, grupos ou instituições com interesse em bens, serviços ou benefícios públicos, podendo ser afetados positiva ou negativamente, ou mesmo envolvidos no processo de prestação de serviços públicos;
XII - processo organizacional: conjunto de atividades interrelacionadas que envolve pessoas, equipamentos, procedimentos e informações e, quando executadas, transformam entradas (insumos) em saídas (produtos ou serviços), que atendem a necessidade de um cliente interno ou externo e que agregam valor e produzem resultados para instituição.
XIII - processo de gestão de riscos: conjunto de atividades sequenciadas para identificar, analisar, avaliar, tratar, comunicar e monitorar potenciais eventos ou situações de risco, bem como fornecer segurança razoável no alcance dos objetivos relacionados a processos, projetos e demais objetos avaliados;
XIV - programa de integridade: objetiva promover a adoção de medidas e ações institucionais destinadas à prevenção, à detecção, à punição e à remediação de fraudes e atos de corrupção;
XV - risco: qualquer situação ou evento que pode afetar a capacidade de atingir os objetivos. Abrange eventos positivos, com o potencial de agregar valor, e negativos, com o potencial de destruir valor;
XVI - riscos estratégicos: eventos que podem afetar o alcance dos objetivos estratégicos da Anvisa;
XVII - riscos dos processos organizacionais: podem afetar o alcance aos objetivos dos processos, podendo impactar na missão institucional da Agência;
XVIII - riscos de integridade: efeito da incerteza relacionado a corrupção, fraudes, irregularidades ou desvios éticos e de conduta, que possa comprometer os valores e padrões preconizados pela organização e a realização de seus objetivos.
XIX - tolerância ao risco: margem permitida pela direção para os gestores suportarem o impacto de determinado risco em troca de benefícios específicos para o alcance dos objetivos, ainda que esse risco seja superior ao apetite a riscos determinado pela organização.
CAPÍTULO II - DOS OBJETOS DA GESTÃO DE RISCOS CORPORATIVOS
Art. 6º São objetos da gestão de riscos corporativos:
I - os objetivos estratégicos e demais componentes do plano estratégico e de gestão (quadrienal e anual);
II - os processos organizacionais representados na cadeia de valor da Anvisa e definidos na arquitetura organizacional da instituição; e
III - o programa de integridade da Anvisa.
Parágrafo único. Outros objetos poderão ser incluídos na gestão de riscos desde que indicadas pelo Comitê de Gestão Estratégica, Riscos e Inovação Institucional (CGE) ou pela Diretoria Colegiada da Anvisa.
CAPÍTULO III - DOS OBJETIVOS DA GESTÃO DE RISCOS CORPORATIVOS
Art. 7º São objetivos da gestão de riscos corporativos na Anvisa:
I - subsidiar a tomada de decisão, aprimorando sua capacidade para lidar com incertezas e se adaptar as mudanças;
II - aumentar a probabilidade de alcance dos objetivos da Anvisa, reduzindo os riscos a níveis aceitáveis; e
III - agregar valor por meio da melhoria dos processos organizacionais, dos controles internos adequados dos riscos e balanceados de forma eficiente, eficaz e efetiva.
CAPÍTULO IV - DOS PRINCÍPIOS DA GESTÃO DE RISCOS CORPORATIVOS
Art. 8º A gestão de riscos corporativos observará os seguintes princípios, além daqueles estabelecidos na Política de Governança Organizacional da Anvisa:
I - proteção dos valores organizacionais;
II - adaptação ao contexto externo e interno da instituição;
III - melhoria contínua da organização;
IV - visão sistêmica e integrada;
V - qualidade e tempestividade das informações;
VI - abordagem explícita da incerteza, sua natureza e como ela pode ser tratada;
VII - dinamismo e interatividade;
VIII - basear-se nas melhores informações disponíveis e nas boas práticas da gestão de riscos corporativos; e
IX - considerar a influência do comportamento humano e a cultura da Anvisa.
CAPÍTULO V - DAS DIRETRIZES DA GESTÃO DE RISCOS CORPORATIVOS
Art. 9º São diretrizes para a gestão de riscos corporativos da Anvisa:
I - elaboração dos planos de riscos dos objetos para fins de planejamento, tratamento, monitoramento e avaliação deve seguir o ciclo estratégico, compreendendo os planos estratégico (PE) e de gestão anual (PGA), respectivamente;
II - definição de critérios de priorização para os objetos mencionados no artigo 6º, de forma integrada à estratégia e aos processos organizacionais da cadeia de valor da Agência;
III - adoção de única metodologia personalizada, bem como ferramentas e técnicas de gestão de riscos corporativos adaptadas à cultura e aos valores organizacionais da Anvisa;
IV - fornecimento de subsídios para a tomada de decisão e a elaboração do planejamento estratégico, considerando os contextos externo e interno da Anvisa;
V - adoção de controles internos proporcionais aos riscos e em conformidade à prioridade dos objetos da gestão de riscos, baseada na eficácia dos controles e na agregação de valor à instituição;
VI - produção de informações confiáveis, relevantes e tempestivas dos riscos e monitoramento dos controles e o compartilhamento de informações entre as partes interessadas nos objetos da gestão de riscos, observada a classificação da informação quanto ao sigilo;
VII - estabelecimento de informações sobre riscos para tomada de decisão, otimizando a alocação de recursos humanos, financeiros e materiais e entendendo que a gestão de riscos corporativos é melhorada continuamente por meio de aprendizado e experiências.
§1º Os processos organizacionais de que trata o artigo 6º devem ser classificados, conforme criticidade e priorizados seguindo aplicação dos critérios definidos pelo Comitê de Gestão Estratégica, Riscos e Inovação Institucional (CGE).
§2º Os riscos devem constituir insumos para o diagnóstico institucional do processo de planejamento estratégico e considerados na priorização de projetos, iniciativas e ações, sempre que couber.
CAPÍTULO VI - DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS CORPORATIVOS
Art.10. O Diretor-Presidente e a Diretoria Colegiada são responsáveis pelo direcionamento da gestão de riscos corporativos e implantação dos controles internos da gestão, sem prejuízo das responsabilidades dos gestores das unidades organizacionais nos seus respectivos níveis de gestão.
Art.11. Para efeitos desta política, a gestão de riscos corporativos segue a estrutura e as responsabilidades estabelecidas na Política de Governança Organizacional da Anvisa;
§1º Sem prejuízo das responsabilidades do caput do Art. 11, a gestão de riscos corporativos na Agência utilizará o Modelo das Três Linhas, buscando alinhamento, comunicação, coordenação e colaboração dentro da estrutura mais ampla de governança:
I - a primeira linha constitui-se pelos gestores de riscos das unidades organizacionais desta Agência e diretor supervisor, podendo ser designado outros agentes públicos;
II - a segunda linha constitui-se nas instâncias de governança interna, como o Comitê de Gestão Estratégica, Riscos e Inovação Institucional e a Diretoria Colegiada, conforme trata o art. 23 da Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016, e nos assuntos de integridade, a unidade responsável pela gestão de integridade (UGI) da Agência; e
III - a realização das atividades de terceira linha compete à Auditoria Interna, conforme definição da política de governança e regimento interno.
§2º A primeira linha é responsável pelo gerenciamento dos riscos e implementação dos controles internos, variando a decisão conforme níveis de riscos, com vistas ao desenvolvimento adequado dos objetos sob sua responsabilidade.
§3º Os gestores de riscos corporativos são todos os gestores das unidades organizacionais diretamente subordinadas ou vinculadas às diretorias da Agência.
§ 4º As instâncias de segunda linha apoiam, coordenam e supervisionam as atividades realizadas pela primeira linha, incluindo o monitoramento dos controles internos da gestão.
§ 5º Cabe à terceira linha avaliação e consultoria, desenvolvida por meio da análise dos processos de gerenciamento de riscos e de controles internos, visando adicionar valor e melhorar a capacidade institucional para lidar com as incertezas.
§ 6º A forma de atuação e comunicação entre as três linhas variam conforme nível de risco e serão detalhadas no manual de gestão de riscos corporativos da Anvisa.
Art. 12. Cabe aos gestores de riscos corporativos:
I - implantar o processo de gestão de riscos corporativos nos objetos sob sua responsabilidade, segundo metodologia estabelecida;
II - aplicar a metodologia e utilizar as ferramentas da gestão de riscos nos objetos sob sua responsabilidade;
III - selecionar, com base nos critérios estabelecidos, os processos organizacionais sob sua responsabilidade que devam ter os riscos gerenciados e os controles implementados com prioridade;
IV - elaborar relatórios de monitoramento da gestão de riscos dos objetos sob sua responsabilidade, conforme periodicidade estabelecida na metodologia;
V - estimular a cultura e a capacitação em gestão de riscos corporativos;
VI - averiguar, ao longo do tempo, se os riscos de seus processos estão em níveis aceitáveis, considerando os controles implementados; e
VII - comunicar às instâncias de governança interna, conforme níveis de apetite e tolerância, os riscos com níveis acima dos limites de tolerância ou riscos emergentes, novos ou não identificados anteriormente que impactam na estratégia da Anvisa.
CAPÍTULO VII - DA METODOLOGIA E DO PROCESSO DE GESTÃO DE RISCOS CORPORATIVOS
Art.13. Deve ser adotada metodologia de gestão de riscos personalizada à Agência, bem como técnicas e ferramentas padronizadas para aplicação pelas unidades organizacionais, após aprovação pelo Comitê de Gestão Estratégica, Riscos e Inovação Institucional (CGE).
§1º O processo de gestão de riscos da Anvisa será estabelecido em metodologia apropriada, em conformidade com as melhores práticas adotadas no setor público, abrangendo etapas como entendimento do contexto, identificação, análise, avaliação, tratamento, monitoramento e comunicação dos riscos, dentre outras.
§2º O processo de gestão de riscos a que se refere o caput deste artigo e a metodologia a ser aplicada serão detalhados no manual de gestão de riscos corporativos da Anvisa.
Art.14. A Assessoria de Planejamento (Aplan) dará apoio na implementação do processo de gestão de riscos, de acordo com a metodologia aprovada, observando as competências das instâncias de governança interna dispostas na Política de governança organizacional da Agência.
Parágrafo único: a Assessoria de Planejamento (Aplan) coordenará a disponibilização de informações e de apoio às unidades organizacionais, bem como proporá ações de capacitação a gestores e servidores da Anvisa, objetivando consolidar uma cultura de gerenciamento de riscos na Anvisa.
Art.15. Após a deliberação da metodologia pelo CGE, o processo de gestão de riscos deverá ser implementado de forma gradual por todas as unidades organizacionais da Anvisa, segundo as definições estabelecidas no inciso II do artigo 9º.
Parágrafo único. A qualquer tempo, os gestores poderão aplicar a metodologia de gestão dos riscos corporativos, devendo comunicar os riscos às instâncias de governança interna, conforme níveis de apetite e tolerância estabelecidos.
CAPÍTULO VIII - DAS DISPOSIÇÕES FINAIS
Art.16 A Política de Gestão de Riscos Corporativos deverá ser avaliada e revisada, conforme sua implantação e grau de maturidade da Agência.
Art. 17. Revogar a Portaria n° 854, de 30 de maio de 2017, publicada no DOU nº 103, de 31 de maio de 2017, Seção 1, pág. 39, que dispõe sobre a Política de Gestão de Riscos Corporativos da Anvisa.
Art. 18. Esta Portaria entra em vigor na data de sua publicação.
ANTONIO BARRA TORRES
Diretor-Presidente