Tribunal Regional Eleitoral - SP
Secretaria de Gestão da Informação e Documental
Coordenadoria De Gestão Da Informação
Seção de Legislação
RESOLUÇÃO Nº 514, DE 3 DE NOVEMBRO DE 2020.
Dispõe sobre a Política de Gestão de Riscos Corporativos do Tribunal Regional Eleitoral de São Paulo.
O TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso das atribuições legais e regimentais:
CONSIDERANDO as orientações do Tribunal de Contas da União (TCU), constantes nas decisões normativas que regulamentam a elaboração anual dos relatórios de gestão das unidades jurisdicionadas, no que se refere ao aprimoramento das estruturas de governança e de autocontrole da gestão;
CONSIDERANDO que a gestão de riscos possibilita à organização aumentar a probabilidade de atingir os seus objetivos institucionais; encorajar uma gestão proativa; estar atenta para a necessidade de identificar e tratar os riscos através de toda a organização; melhorar a identificação de oportunidades e ameaças; melhorar a governança; estabelecer uma base confiável para a tomada de decisão e para o planejamento;
CONSIDERANDO o constante no Referencial Básico de Governança do TCU, aplicável a órgãos e entidades da Administração Pública, especificamente no que tange à Gestão de Riscos como componente dos mecanismos de governança para o alcance dos objetivos institucionais;
CONSIDERANDO o disposto no Decreto 9.203, de 22 de novembro de 2017;
CONSIDERANDO o disposto nas Resoluções 308 e 309 do Conselho Nacional de Justiça que organizam as diretrizes e atividades de auditoria interna do Poder Judiciário;
CONSIDERANDO que a Declaração de Posicionamento do IIA (The Institute of Internal Auditors) considera três linhas de defesa no gerenciamento eficaz de riscos e controles, endossada pelo Instituto de Auditores Internos do Brasil – IIA Brasil,
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo, nos termos desta Resolução, compreende:
I - os objetivos;
II - os princípios;
III - as diretrizes;
IV - as responsabilidades; e
V - o processo de gestão de riscos.
Art. 2º Definir, para fins do disposto nesta Resolução, a Gestão de Riscos como processo corporativo contínuo e interativo, que visa dirigir e controlar eventos que possam afetar o cumprimento dos objetivos institucionais.
Art. 3º Para fins desta Resolução considera-se:
I - governança: combinação de processos e estruturas implantadas pela alta administração do TRE para informar, dirigir, administrar e monitorar suas atividades, com o intuito de alcançar os seus objetivos;
II - risco: possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos, sendo medido em termos de impacto e de probabilidade;
III - apetite a risco: nível de risco que o TRE está disposto a aceitar;
IV - avaliação de risco: processo de identificação e análise dos riscos relevantes para o alcance dos objetivos do TRE e a determinação de resposta apropriada;
V - identificação de riscos: processo de busca, reconhecimento e descrição de riscos que compreende a identificação de suas fontes, causas e consequências potenciais, podendo envolver dados históricos, análises teóricas, opiniões de pessoas informadas e de especialistas e as necessidades das partes interessadas;
VI - nível de risco: magnitude de um risco, expressa em termos da combinação de suas consequências e probabilidades de ocorrência;
VII - procedimentos de controle interno: procedimentos que o TRE executa para o tratamento do risco, projetados para lidar com o nível de incerteza previamente identificado;
VIII - Processo de Gestão de Riscos (PGRiscos): aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de identificação, avaliação, tratamento e monitoramento de riscos, bem como de comunicação com partes interessadas em assuntos relacionados a risco;
IX - resposta a risco: qualquer ação adotada para lidar com o risco, podendo consistir em:
a) aceitar o risco por uma escolha consciente;
b) transferir ou compartilhar o risco;
c) evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; ou
d) mitigar ou reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências.
X - tratamento de risco: processo de estipular uma resposta ao risco;
XI - processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;
XII - processos de trabalho: no contexto do processo de gestão de risco, são projetos e ações relacionadas às competências e atribuições das unidades do Tribunal;
XIII - riscos residuais: risco remanescente após o tratamento do risco;
XIV - vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado;
XV - linhas de defesa: modelo de gerenciamento de riscos, que consiste na atuação coordenada de três camadas do TRE, com as seguintes responsabilidades e funções:
a) 1ª Linha de Defesa: contempla os controles primários, que devem ser instituídos e mantidos pelos gestores de riscos durante a execução de atividades e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio;
b) 2ª Linha de Defesa: contempla os controles situados ao nível da gestão e objetivam assegurar que as atividades realizadas pela 1ª linha de defesa sejam desenvolvidas e executadas de forma apropriada;
c) 3ª Linha de Defesa: representada pela unidade de auditoria interna, responsável por avaliar as atividades da 1ª e 2ª linhas de defesa no que tange à eficácia da governança, do gerenciamento de riscos e dos controles internos, mediante a prestação de serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e de objetividade.
CAPÍTULO II
DOS PRINCÍPIOS DA GESTÃO DE RISCOS
Art. 4º A gestão de riscos adotada pelo Tribunal Regional Eleitoral do Estado de São Paulo observará os seguintes princípios:
I - criar e proteger os valores institucionais: o risco não deve ser gerenciado isoladamente. A gestão de riscos deve estar alinhada à gestão institucional, de maneira a alcançar os objetivos organizacionais e aprimorar o seu desempenho;
II - integrar os processos organizacionais: a gestão de riscos é parte das responsabilidades de todos os gestores e deverá integrar todos os processos de trabalho, projetos e planos de ação;
III - fazer parte da tomada de decisões: para a tomada de decisão, os gestores, com o apoio das unidades técnicas, deverão avaliar consistentemente os riscos que podem impedir ou oportunizar o alcance dos objetivos pretendidos pela Administração, o impacto de cada um deles no negócio e priorizar as ações com base no plano de resposta ao risco;
IV - abordar explicitamente a incerteza: abordar especificamente o efeito da incerteza nos objetivos estabelecidos pela Administração. O risco só poderá ser avaliado ou tratado com sucesso, se a natureza e a fonte da incerteza forem devidamente compreendidas;
V - ser sistemática, estruturada e oportuna: fazer parte da gestão organizacional, no sentido de contribuir para a eficiência dos processos de trabalho, dos projetos, dos planos de ações e para o alcance de resultados consistentes, confiáveis e comparáveis;
VI - basear-se nas melhores informações disponíveis: para que a tomada de decisão seja baseada em riscos, o processo de gestão de riscos deverá considerar fontes de informações tempestivas e confiáveis, observando dados históricos, experiências, retorno das partes interessadas, observações, previsões, pareceres de especialistas;
VII - atender às necessidades organizacionais: a gestão de riscos deverá alinhar-se ao ambiente interno, externo e à organização estendida;
VIII - considerar a importância dos fatores humanos e culturais: o processo de gestão de riscos deverá reconhecer as capacidades, percepções e intenções de pessoas externas e internas que podem facilitar o atingimento dos objetivos desta Justiça Especializada;
IX - ser transparente e inclusiva: o processo de gestão de riscos deverá envolver, de maneira apropriada e oportuna, as partes interessadas e, em particular, os tomadores de decisões em todos os níveis da organização, a fim de assegurar que a gestão de riscos permaneça relevante, atualizada e disponível aos interessados;
X - ser dinâmica, iterativa e capaz de reagir a mudanças: o processo de gestão de riscos deverá ser capaz de perceber continuamente as mudanças internas e externas e respondê-las tempestivamente; e
XI - facilitar a melhoria contínua: desenvolver e implementar estratégias para que a organização permaneça alerta a novas oportunidades de melhoria.
CAPÍTULO III
DOS OBJETIVOS DA POLÍTICA DE GESTÃO DE RISCOS
Art. 5º A Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado São Paulo tem como objetivo geral estabelecer conceitos, diretrizes, atribuições e responsabilidades do processo da gestão de riscos, bem como orientar a identificação, a avaliação, o tratamento, o monitoramento e a comunicação dos riscos institucionais, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público, bem como ampliar a possibilidade do alcance dos objetivos institucionais.
Art. 6º A Política de Gestão de Riscos tem por objetivos específicos promover:
I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;
II - o fortalecimento das decisões em resposta aos riscos, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público;
III - o aprimoramento dos controles internos administrativos;
IV - o alinhamento do apetite ao risco e da estrutura de controles internos às estratégias adotadas;
V - a disseminação da cultura sobre a importância da gestão de riscos e dos controles internos.
CAPÍTULO IV
DAS DIRETRIZES DA GESTÃO DE RISCOS
Art. 7º A Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo deve utilizar as melhores informações disponíveis e a linguagem comum, bem como, definir as responsabilidades e a adoção de boas práticas de governança.
§ 1º As informações relacionadas à implantação e desenvolvimento do processo de gestão de riscos devem ser registradas e catalogadas de modo sistemático.
§ 2º A adoção de boas práticas de governança deve considerar o contexto interno e externo e o perfil de risco da organização, a fim de atingir e manter a qualidade de suas informações.
Art. 8º A Política de Gestão de Riscos e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todas as unidades do Tribunal Regional Eleitoral do Estado de São Paulo.
Art. 9º A Política de Gestão de Riscos abrange as seguintes categorias de riscos:
I - riscos de comunicação: estão associados a eventos que podem impedir ou dificultar a disponibilidade de informações para a tomada de decisões e para cumprimento das obrigações de accountability (prestação de contas às instâncias controladoras e à sociedade);
II - riscos estratégicos: estão associados à tomada de decisão que pode afetar negativamente o alcance dos objetivos consignados no Plano Estratégico institucional;
III - riscos de imagem: danos à reputação;
IV - riscos operacionais: possibilidade de ocorrência de perdas (produtividade, ativos e orçamentos) resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, tecnologia ou de eventos externos (catástrofes naturais, greves, fraudes);
V - riscos socioambientais: risco de perdas em consequência de efeitos negativos no meio-ambiente e na sociedade decorrentes de impacto ambiental e proteção da saúde humana, de propriedades culturais e da biodiversidade;
VI - riscos tecnológicos: possibilidade de ocorrência de falhas em sistemas de tecnologia da informação e comunicação com impactos nos negócios ou na execução de processos relacionados a tecnologia da informação e comunicação;
VII - riscos de conformidades: estão associados ao não cumprimento de princípios constitucionais, legislações específicas ou regulamentações externas aplicáveis à instituição;
VIII - riscos orçamentários: eventos que podem comprometer a capacidade de a organização contar com os recursos orçamentários necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.
CAPÍTULO V
DA ESTRUTURA DE GOVERNANÇA E RESPONSABILIDADES
Art. 10. A Gestão de Risco do Tribunal Regional Eleitoral do Estado de São Paulo é de responsabilidade da instituição e parte integrante de todos os processos organizacionais, sendo exercida de forma compartilhada por magistrados, servidores, unidades, comitês setoriais e comissões.
Art. 11. A governança de Gestão de Riscos estrutura-se em acordo com o modelo de três linhas de defesa no controle, supervisão de conformidade e avaliação de riscos, compreendendo as seguintes responsabilidades:
I - Pleno do Tribunal;
II - Presidência do Tribunal;
III - Primeira Linha de Defesa: composta pelos gestores de riscos;
IV - Segunda Linha de Defesa: composta pelos órgãos de governança, a exemplo do Comitê Gestor da Estratégia (CoGEst) e do Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC), bem como a Assessoria de Planejamento Estratégico e de Eleições;
V - Terceira Linha de Defesa: composta pela unidade de Auditoria Interna.
Art. 12. Compete ao Pleno do Tribunal aprovar eventuais revisões da Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo.
Art. 13. Compete à Presidência do Tribunal, como órgão máximo de governança da gestão de riscos, submeter ao Pleno eventuais revisões da Política de Gestão de Riscos, além de aprovar por ato próprio, o grau de tolerância consignado nos Planos de Gestão de Riscos das secretarias, assessorias e coordenadorias do Tribunal.
Art. 14. Compete ao gestor de riscos como primeira linha de defesa:
I - gerir os riscos sob sua responsabilidade relativos a ações, processos, projetos e iniciativas, de acordo com o contexto organizacional da gestão de riscos;
II - instituir, implementar e manter controles internos adequados e eficientes no gerenciamento de riscos;
III - reportar à instância superior os riscos que eventualmente extrapolarem sua competência e capacidade para gerenciamento;
IV - estruturar e monitorar o Plano de Gestão de Riscos sob sua responsabilidade; garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização;
V - prover o suporte ao Comitê Gestor da Estratégia (COGEst) e aos Gestores das unidades administrativas nas etapas de avaliação dos Planos de Gestão de Riscos.
§ 1º Considera-se gestor de riscos, em seus respectivos âmbitos e escopos de atuação:
I - o Presidente;
II - o Corregedor;
III - os Juízes Eleitorais;
IV - o Diretor-Geral;
V - os Assessores-chefes;
VI - os Secretários;
VII - os Coordenadores;
VIII- os Chefes de Seção;
IX - os Chefes de Cartório.
Art. 15. Competirá ao Comitê Gestor da Estratégia (CoGEst) como segunda linha de defesa:
I - Monitorar e intervir quando necessário na primeira linha de defesa para modificação dos controles internos estabelecidos no gerenciamento de riscos;
II - Estabelecer temas organizacionais com o intuito de promover a aplicação da gestão de riscos nas estratégias, projetos, serviços, decisões, operações, processos e ativos;
III - Deliberar sobre o apetite e a tolerância aos riscos institucionais com a finalidade de promover o alinhamento da gestão de riscos ao planejamento estratégico da organização, submetendo-o ao Presidente para deliberação;
IV - Revisar a política de gestão de riscos e aprovar o processo de gestão de riscos;
V - Assegurar a alocação dos recursos necessários à gestão de riscos;
VI - Avaliar a adequação, suficiência e eficácia da estrutura e processo de gestão de riscos.
Art. 16. Competirá ao Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC) como segunda linha de defesa, além das atribuições previstas em norma específica:
I - Aprovar e revisar o Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação, submetendo-o à Presidência e ao Pleno do Tribunal;
II - Reavaliar periodicamente a adequação da estratégia de administração de risco da área de Tecnologia da Informação e Comunicação.
Art. 17. Competirá à unidade de Auditoria Interna como terceira linha de defesa:
I - Avaliar as atividades da primeira e segunda linhas de defesa no que tange à eficácia do gerenciamento de riscos e dos controles internos;
II - Recomendar a adequação e suficiência dos mecanismos de gestão de riscos estabelecidos de forma a garantir sua eficácia;
III - Verificar a conformidade das atividades executadas à Política de Gestão de Riscos;
IV - Assessorar e aconselhar a primeira e segunda linha de defesa quanto às melhores práticas no estabelecimento de controles internos no gerenciamento de riscos, em atendimento às solicitações específicas das unidades;
V - Auditar, inspecionar, fiscalizar e avaliar a gestão de riscos corporativa de forma a agregar valor, melhorar as operações e auxiliar a organização a alcançar seus objetivos estratégicos.
Art. 18. Competirá à Assessoria de Planejamento Estratégico e de Eleições, como segunda linha de defesa:
I - coordenar a elaboração e a revisão da Metodologia de Gestão de Riscos a ser aplicada no âmbito da Justiça Eleitoral de São Paulo, dando suporte metodológico à implementação do processo de gerenciamento de riscos;
II - monitorar os riscos que impactam no alcance dos objetivos estratégicos;
III - propor ao Comitê Gestor da Estratégia (COGEst) limites de exposição a riscos estratégicos.
CAPÍTULO VI
DO PROCESSO DE GESTÃO DE RISCOS
Art. 19. O processo de gestão de riscos do Tribunal Regional Eleitoral do Estado de São Paulo compreenderá às seguintes fases:
I - estabelecimento do contexto: diz respeito à definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco;
II - identificação dos riscos: consiste na busca, reconhecimento e descrição de riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;
III - análise dos riscos: refere-se à compreensão da natureza do risco e à determinação do nível de risco mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;
IV - avaliação dos riscos: trata-se da comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco é aceitável ou tolerável, auxiliando na decisão sobre o tratamento de riscos;
V - tratamento dos riscos: consiste na seleção e implementação de uma ou mais ações de tratamento para modificar os riscos;
VI - monitoramento e análise crítica: diz respeito à verificação, supervisão, observação crítica ou identificação da situação de risco, realizadas de forma contínua, a fim de determinar a adequação, suficiência e eficácia dos controles internos para atingir os objetivos estabelecidos;
VII - comunicação e consulta: consiste na manutenção de fluxo regular e constante de informações com as partes interessadas, durante todas as fases do processo de gestão de riscos.
Art. 20. Em até 12 meses a contar da publicação desta Resolução, a Metodologia de Gestão de Riscos (MGR) deverá ser revisada e readequada de acordo com as novas disposições, por grupo de trabalho designado pela Presidência do Tribunal.
CAPÍTULO VII
DAS DISPOSIÇÕES GERAIS
Art. 21. A partir de do ano de 2022 a Política de Gestão de Riscos será revisada a cada dois anos ou sempre que necessário.
Art. 22. Compete ao Presidente do Tribunal expedir os atos necessários à regulamentação desta Resolução e dirimir os casos omissos.
Art. 23. Fica revogada a Resolução TRE-SP 452/2018.
Art. 24. Esta Resolução entra em vigor na data de sua publicação.
São Paulo, aos três dias do mês de novembro de 2020.
DESEMBARGADOR WALDIR SEBASTIÃO DE NUEVO CAMPOS JUNIOR
PRESIDENTE
DESEMBARGADOR PAULO SÉRGIO BRANT DE CARVALHO GALIZIA
VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL
DESEMBARGADOR FEDERAL NELTON AGNALDO MORAES DOS SANTOS
JUIZ MANUEL PACHECO DIAS MARCELINO
JUIZ MAURICIO FIORITO
JUIZ AFONSO CELSO DA SILVA
JUIZ MARCELO VIEIRA DE CAMPOS
Este texto não substitui o publicado no DJE-TRE-SP nº 254, de 6.11.2020, p. 5-11.