O  SECRETÁRIO  DA  FAZENDA,  tendo  em  vista  a  competência  estabelecida  no  art.  2º  do  Regulamento  da  Secretaria  da  Fazenda,  aprovado pelo Decreto nº 49.287, de 11.8.2020, e

Considerando o disposto no Decreto nº 54.436, de 9.2.2023,

RESOLVE:

CAPÍTULO I - DAS DISPOSIÇÕES GERAIS

Art. 1º Instituir a Política de Gestão de Riscos na Secretaria da Fazenda do Estado de Pernambuco - Sefaz, aplicável aos processos organizacionais, alinhados a cadeia de valor e ao planejamento estratégico desta Pasta.

Parágrafo único. Não estão incluídos nesta Política:

I - riscos fiscais;

II - riscos de conformidade tributária; e

III - riscos de segurança da informação, tratados pela Política de Segurança da Informação da Sefaz, instituída pela Portaria SF nº 166 , de 19.12.2022.

Art. 2º Para fins desta Portaria, considera-se:

I - processo: conjunto de ações e atividades inter-relacionadas, que são executadas para alcançar o produto, o resultado ou o serviço predefinido;

II - objetivo organizacional: fins que a organização pretende atingir e que orientam o seu comportamento em relação ao futuro nos ambientes interno e externo;

III - cadeia de valor: método que permite à entidade organizar todos os seus processos, observando os elos e como cada um deles pode gerar valor à organização. Permite que a organização entenda seu funcionamento interno e priorize processos críticos;

IV - criticidade: grau de importância de um determinado ativo institucional para a continuidade do órgão estatal;

V - risco: possibilidade que um evento ocorra e afete desfavoravelmente a realização dos objetivos;

VI - Gestão de Riscos: processo de identificação, avaliação e resposta aos riscos, compreendendo: desde as etapas de definição de contexto e escopo até a elaboração do plano de tratamento;

VII - Política de Gestão de Riscos: declaração das diretrizes e intenções gerais de uma organização relacionadas à Gestão de Riscos;

VIII - tolerância a riscos: disposição do órgão estatal em suportar o risco após o tratamento, a fim de atingir seus objetivos;

IX - apetite a riscos: quantidade e tipo de riscos que uma organização está preparada para buscar, reter ou assumir;

X - nível de risco: magnitude de um risco expressa pela combinação do impacto e da probabilidade de ocorrência;

XI - risco residual: aquele que ainda permanece depois de considerados os efeitos das respostas adotadas pela gestão para reduzir a probabilidade e o impacto dos riscos;

XII - risco inerente: nível de risco intrínseco, anterior à consideração das respostas que a Administração adota para reduzir a probabilidade do evento ou os seus impactos nos objetivos; e

XIII - Alta Administração: composta pelo Secretário da Fazenda, titulares de cargos de natureza especial e ocupantes de cargo de Direção e Assessoramento Superiores - DAS, e DAS-1.

Parágrafo único. As definições desse artigo podem ser ampliadas e retificadas conforme as melhores práticas.

CAPÍTULO II - DAS DIRETRIZES E OBJETIVOS

Art. 3º A Gestão de Riscos na Sefaz deverá observar as seguintes diretrizes principiológicas:

I - ser patrocinada e monitorada pela Alta Administração e pelo Conselho Superior de Governança Fazendária;

II - ser parte integrante dos processos organizacionais, com integração e compartilhamento de informações entre todas as partes interessadas, com vistas à melhoria contínua;

III - considerar o perfil de risco do órgão e os contextos internos e externos de sua atuação;

IV - considerar os fatores humanos e culturais existentes no órgão;

V - ser transparente e estar baseada nas melhores informações disponíveis;

VI - ser personalizada diante das necessidades do órgão; e

VII - manter a razoabilidade da relação custo-benefício nas ações para tratamento de riscos.

Art. 4º A Gestão de Riscos na Sefaz promoverá os seguintes objetivos:

I - aperfeiçoar a governança fazendária;

II - auxiliar e fortalecer o planejamento e a tomada de decisões;

III - fornecer razoável segurança no cumprimento da missão, da visão e no alcance dos objetivos estratégicos;

IV - capacitar a organização para uma gestão proativa e adaptação a mudanças;

V - prezar pelas conformidades legais e normativas dos processos organizacionais;

VI - aprimorar os controles internos da gestão;

VII - fomentar a eficácia e a eficiência da instituição; e

VIII - incentivar a aprendizagem organizacional.

CAPÍTULO III - DA OPERACIONALIZAÇÃO

Art. 5º São partes envolvidas na Gestão de Riscos:

I - o Conselho Superior de Governança Fazendária;

II - a Alta Administração;

III - os agentes públicos responsáveis pela gestão de riscos de cada setor; e

IV - a Assessoria Especial de Controle Interno.

Art. 6º A Gestão de Riscos deverá ser implementada nas áreas da Sefaz de forma gradual e por meio da priorização dos processos institucionais sugeridos pelos membros da Alta Administração.

Art. 7º Os processos submetidos à Gestão de Riscos serão discriminados no Plano Anual de Gestão de Riscos-PAG, e elaborados pela Assessoria Especial de Controle Interno - AECI, no último quadrimestre de cada ano.

Parágrafo único. Os processos discriminados no PAG serão objetos da Gestão de Risco no decorrer do exercício seguinte ao das suas elaborações.

Art. 8º Ao final do ano civil, será apresentado o Relatório Anual de Gestão de Riscos-RAG, que conterá a relação dos riscos tratados, das sugestões de controles e o diagnóstico da evolução do tratamento dos riscos.

CAPÍTULO IV - DAS COMPETÊNCIAS

Art. 9º Compete ao Conselho Superior de Governança Fazendária:

I - propor alterações na Metodologia da Gestão de Riscos e na Declaração de Apetite a Riscos;

II - deliberar sobre a priorização a ser realizada para a lista de processos sugeridos pela Alta Administração;

III - direcionar a implementação, manutenção, monitoramento e aprimoramento da Gestão de Riscos e dos controles internos;

IV - definir, anualmente, o apetite a risco, com objetivo de alinhar a exposição a riscos com os requisitos estatutários, objetivos estratégicos e planejamento orçamentário;

V - revisar o apetite a risco, visando o alinhamento ao planejamento estratégico do órgão, sempre que houver mudanças significativas nos ambientes internos ou externos que legitimem a sua alteração;

VI - aprovar a tolerância a riscos, definindo o limite máximo a ser aceito pela Sefaz após a execução de ações de tratamento dos riscos; e

VII - dirimir eventuais conflitos de atuação decorrentes do Processo de Gestão de Riscos.

Art. 10. Compete à Alta Administração:

I - sugerir processos que terão os riscos gerenciados e tratados ao longo de cada ano, considerando as prioridades das respectivas áreas e os efeitos negativos que os riscos possam causar;

II - avaliar os contextos internos e externos das áreas de atuação que poderão influenciar na consecução dos objetivos;

III - aprovar medidas de controle a serem implementadas nos processos organizacionais, mantendo a razoabilidade na relação custo benefício e desenvolvendo o monitoramento da evolução de níveis de riscos e de efetividade das ações;

IV - incentivar e promover o acompanhamento dos resultados da Gestão de Riscos, fomentando soluções para melhoria do desempenho institucional;

V - apoiar institucionalmente a Gestão de Riscos no órgão, por meio da disponibilização de recursos, da promoção da relação entre as partes interessadas e o desenvolvimento contínuo dos colaboradores;

VI - incentivar o alinhamento da Gestão de Riscos aos padrões de ética e de conduta e em conformidade com o Programa de Integridade; e

VII - monitorar os principais riscos dos processos da cadeia de valor relacionados às respectivas áreas.

Art. 11. Compete aos agentes públicos responsáveis pela Gestão de Riscos, em suas respectivas áreas:

I - identificar, analisar e classificar os riscos dos processos da cadeia de valor do órgão;

II - identificar e avaliar os controles internos existentes;

III - aferir a probabilidade e o impacto do risco identificado;

IV - implementar as medidas de controle propostas; e

V - reportar a evolução dos níveis de riscos e a efetividade das medidas de controles internos implementadas nos processos organizacionais em que estiverem envolvidos ou que tiverem conhecimento.

Art. 12. Compete à AECI, da Sefaz:

I - elaborar a Política de Gestão de Riscos dos processos da cadeia de valor da Sefaz, além de suas revisões;

II - desenvolver e propor a Metodologia de Gestão de Riscos e a Declaração de Apetite a Riscos, além de suas revisões periódicas, considerando as orientações realizadas pela Secretaria da Controladoria Geral do Estado de Pernambuco - SCGE;

III - redigir o PAG e o RAG;

IV - assessorar todas as partes interessadas na implantação da Gestão de Riscos nos processos da Sefaz;

V - disponibilizar para todas as partes interessadas o modelo do Mapa de Riscos;

VI - consolidar os resultados da Gestão de Riscos das diversas áreas da Sefaz em relatório gerencial e encaminhá-lo ao Conselho Superior de Governança Fazendária;

VII - requisitar aos responsáveis pela Gestão de Riscos dos processos organizacionais informações necessárias à consolidação dos dados e elaboração do relatório gerencial;

VIII - sugerir capacitações na temática de Gestão de Riscos para os colaboradores do órgão;

IX - monitorar a execução do PAG; e

X - monitorar a implantação dos controles propostos pelos servidores do órgão.

CAPÍTULO V - DA METODOLOGIA DA GESTÃO DE RISCOS

Art. 13. A Gestão de Riscos dos processos incluídos no PAG será materializada por meio de instrumentos de controle denominados: Mapa de Riscos e Plano de Tratamento.

Art. 14. A elaboração do Mapa de Riscos deverá contemplar:

I - identificação dos eventuais riscos, elencando suas possíveis causas e consequências;

II - identificação dos controles utilizados, além da avaliação de sua efetividade em relação aos riscos identificados;

III - realização da análise qualitativa do risco, por meio da avaliação de sua probabilidade e impacto; e

IV - resposta ao risco e, caso necessário, proposição de controles com definição de responsáveis e prazos para sua implementação.

Art. 15. O Plano de Tratamento será o instrumento utilizado para documentar:

I - o monitoramento da implantação do controle junto aos respectivos responsáveis; e

II - A avaliação dos riscos após a implantação dos controles implementados.

Art. 16. Caso sejam identificados novos riscos ou sejam propostos novos controles, os agentes públicos responsáveis pela Gestão de Riscos de cada processo deverão atualizar o Mapa de Riscos.

§ 1º As atualizações feitas no Mapa de Riscos pelos agentes públicos responsáveis deverão ser informadas, no prazo de até 5 (cinco) dias úteis, à AECI para atualização do Plano de Tratamento.

§ 2º Os eventos de risco são classificados em: muito baixo, baixo, mediano, alto, muito alto ou crítico.

§ 3º Serão incluídos no Plano de Tratamento, os eventos de risco mediano que não possuam controles implementados ou tenham controles implementados que sejam classificados como fracos, conforme o Mapa de Riscos do respectivo processo, e os classificados como de risco alto, muito alto ou crítico.

§ 4º A consolidação do resultado do Gerenciamento de Riscos será realizada por meio do RAG, que será apresentado ao Conselho Superior de Governança Fazendária no primeiro trimestre do ano seguinte ao da sua elaboração.

CAPÍTULO VI - DA DECLARAÇÃO DE APETITE A RISCO

Art. 17. A Declaração de Apetite a Riscos - DAR, sintetiza a cultura de risco e direciona o planejamento estratégico da Sefaz, norteando seus planos e permitindo a otimização da alocação de recursos orçamentários, humanos, tecnológicos, dentre outros.

Art. 18. Os objetivos da DAR são os seguintes:

I - propiciar articulação da posição de tomada de riscos, de planos de ação de riscos e de planos de contingenciamento, criando uma base para comunicação eficaz dos riscos entre as partes interessadas internas e externas;

II - aumentar a compreensão das exposições a risco e formar a consciência no âmbito da Sefaz;

III - impactar positivamente a cultura de Gestão de Riscos na Sefaz;

IV - apoiar o Conselho de Governança e a Alta Administração no planejamento, formulação e execução de decisões estratégicas de forma a atingir as metas e objetivos de curto e de longo prazo; e

V - fornecer ferramentas para o Conselho de Governança e para a Alta Administração monitorarem e alinharem o perfil de risco real da Sefaz com o apetite a riscos.

CAPÍTULO VII - DAS CONSIDERAÇÕES FINAIS

Art. 19. O Conselho Superior de Governança Fazendária, a Alta Administração, a AECI e os agentes públicos responsáveis pela Gestão de Riscos deverão manter fluxo regular e constante de informações entre si.

Art. 20. Esta Política de Gestão de Riscos será revisada a partir de proposta elaborada pela AECI sempre que necessário, no intuito de mantê-la atualizada diante de mudanças na estratégia da Sefaz.

Art. 21. Os processos submetidos à Gestão de Riscos, existentes na Pasta e anteriores a publicação desta Política, deverão ser gradualmente revistos, no intuito de se adaptarem à metodologia apresentada nesta Portaria.

Art. 22. Esta Portaria não exime a Sefaz do cumprimento de outras obrigações previstas em políticas relacionadas a temas específicos e expedidas pela SCGE.

Art. 23. Esta Portaria entra em vigor na data da sua publicação.

Wilson José de Paula

Secretário da Fazenda