SEI/ANATEL - 1833898

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133, inciso XXII, do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013,

CONSIDERANDO o previsto na Instrução Normativa Conjunta nº 1 (MPOG/CGU), de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal;

CONSIDERANDO a recomendação do TCU à Anatel no sentido de que esta adote medidas com vista a gerenciar seus riscos institucionais, por meio do desenvolvimento de uma política de gestão de riscos (item 9.1.2, TC-031031.996/2013-2, Acórdão nº 240/2015-TCU-Plenário, DOU de 4 de março de 2015, Seção 1, página 63);

CONSIDERANDO que a gestão de riscos é o instrumento de governança para lidar com incertezas e favorecer o alcance dos objetivos institucionais;

CONSIDERANDO os fundamentos do modelo de gestão de riscos COSO II – ERM (2004), que define o controle interno como parte integrante do gerenciamento de riscos corporativos;

CONSIDERANDO a Norma ABNT NBR ISO 31000 (2009), que estabelece princípios e diretrizes para a gestão de riscos;

CONSIDERANDO a deliberação tomada por meio do Circuito Deliberativo nº 151, de 25 de agosto de 2017;

Art. 1º Instituir a Política de Gestão de Riscos da Anatel, na forma do Anexo a esta Portaria.

Art 2º Instituir o Comitê de Gestão de Riscos da Anatel, na forma do Anexo a esta Portaria.

Documento assinado eletronicamente por Juarez Martinho Quadros do Nascimento, Presidente do Conselho, em 30/08/2017, às 11:35, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 1833898 e o código CRC E4D897BB.

Art. 1º A Política de Gestão de Riscos tem por finalidade estabelecer os princípios, diretrizes, objetivos e responsabilidades mínimas a serem observados e seguidos para a gestão de riscos e de controles internos dos planos estratégicos, programas, projetos e processos da Anatel.

Art. 2º A Política de Gestão de Riscos e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os níveis de gestão e órgãos da Anatel, abrangendo os gestores, servidores, prestadores de serviço, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades nesta Agência, além dos processos e atividades.

II - controles internos: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores, destinados a enfrentar os riscos e fornecer segurança razoável para a consecução da missão da Anatel;

III - gestão de riscos: princípios, objetivos, estrutura, competências e processo necessários ao gerenciamento de riscos eficaz;

IV - gestor de risco: pessoa com a responsabilidade e a autoridade para gerenciar um risco;

V - governança: combinação de processos e estruturas implantadas pela alta administração da organização, para informar, dirigir, administrar, avaliar e monitorar atividades organizacionais, com o intuito de alcançar os objetivos e prestar contas dessas atividades para a sociedade; e,

VI - risco: possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos institucionais, sendo medido em termos de impacto e de probabilidade.

III - atuação sistemática, estruturada, oportuna e subordinada ao interesse público;

V - estabelecimento de atividades de controles internos proporcionais ao risco, observada a relação custo-benefício, e destinadas a agregar valor à organização;

VI - apoio à tomada de decisões e à elaboração do planejamento institucional da Agência nos níveis estratégico, tático e operacional;

VIII - transparência e inclusão, contando com o envolvimento das partes interessadas e dos tomadores de decisão em todos os níveis da organização;

IX - integração às práticas organizacionais, não podendo ser apartada das principais aplicada às atividades, projetos e processos de forma contínua e coesa;

X - promoção da disseminação de informações necessárias ao fortalecimento da cultura e da valorização da gestão de riscos;

XIII - fundamentação nas melhores informações disponíveis, tais como dados, históricos, observações, previsões e opiniões de especialistas;

XV - abordagem explicita da incerteza, sua natureza e como ela pode ser tratada e seu tratamento;

XVI - capacidade de desenvolver oportunidades e inovações pertinentes para a Agência; e,

XVII - implantação por meio de ciclos de revisão e buscando a melhoria contínua do processo.

I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis da Anatel, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a Agência;

II - aumentar a probabilidade de alcance dos objetivos institucionais, ampliando a gestão proativa, minimizando perdas e melhorando a governança;

III - agregar valor à Anatel por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos e positivos decorrentes de sua materialização; e,

IV - proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica dos processos de trabalho.

Art. 6º A operacionalização da Gestão de Riscos deverá ser descrita pela Metodologia de Gestão de Riscos da Anatel, que deverá contemplar, no mínimo:

I - estabelecimento do contexto: consiste em identificar os objetivos relacionados ao processo organizacional e compreender o ambiente externo e interno no qual se encontra inserido, e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos;

II - identificação de riscos: compreende o reconhecimento e descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos, eventos, causas e consequências;

III - análise de riscos: refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do risco;

IV - avaliação de riscos: envolve a comparação do nível do risco com critérios, a fim de determinar se o risco é aceitável ou se há necessidade de tratamento do risco;

V - priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração a avaliação de riscos e os objetivos estratégicos;

VI - tratamento do risco: compreende o planejamento e a realização de ações para modificar o nível do risco, definindo respostas aos riscos, de forma a adequar seus níveis ao apetite ao risco estabelecido para os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas;

VII - comunicação e consulta: refere-se à identificação das partes interessadas em objetos de gestão de riscos e obtenção, fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto ao sigilo; e,

VIII - monitoramento: compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos de tratamento de riscos, os controles e outros assuntos de interesse, com vistas a promover a melhoria contínua, aperfeiçoamento ou ajuste de aspectos do processo de gestão de riscos.

§ 1º A Metodologia de Gestão de Riscos deverá contemplar critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos.

Art. 7º A Anatel, ao efetuar a identificação e avaliação de riscos, deve considerar, entre outras possíveis, as seguintes tipologias de riscos:

I - riscos de imagem ou reputação: eventos que podem comprometer a confiança da sociedade ou de parceiros, de clientes ou de fornecedores, em relação à capacidade da Anatel em cumprir sua missão institucional;

II - riscos financeiros ou orçamentários: eventos que podem comprometer a capacidade da Anatel de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações;

III - riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades da Anatel; e,

IV - riscos operacionais: eventos que podem comprometer as atividades da Anatel, normalmente associados a falhas, deficiência ou inadequação de processos, pessoas, infraestrutura e sistemas.

Art. 8º Os planos de tratamento de riscos documentam como as opções de tratamento ao risco escolhidas serão implementadas.

§ 1º Os planos de tratamento devem ser integrados com os processos de gestão da organização e discutidos com as partes interessadas apropriadas.

§ 2º O tratamento do risco deverá equilibrar os custos e os esforços de sua implementação e os benefícios dele decorrentes.

§ 3º O plano de tratamento deve indicar claramente a ordem de prioridade em que cada tratamento deve ser implementado.

Art. 9º Os planos de tratamento de riscos serão consolidados pelo Superintendente Executivo em um Plano de Gestão de Riscos, que deverá ser aprovado pelo Comitê de Gestão de Riscos.

Parágrafo único. A revisão ou atualização do Plano de Gestão de Riscos deverá ocorrer de forma articulada com o processo de Planejamento da Agência.

Art. 11. Fica instituído o Comitê de Gestão de Riscos, no âmbito da Anatel, com as seguintes competências:

II - liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade;

V - aprovar método de priorização de temas e processos para gerenciamento de riscos e implementação dos controles internos;

VI - estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de órgão, processo ou atividade;

VII - supervisionar a identificação e a avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público;

X - monitorar e avaliar periodicamente a estrutura de gestão de riscos e o sistema de controles internos, assim como propor melhorias consideradas necessárias;

XI - garantir o apoio institucional para promover a Gestão de Riscos, em especial os seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores;

XIII - deliberar sobre a necessidade de classificação da informação produzida, nos termos da Lei nº 12.527, de 18 de novembro de 2011, seguindo-se os procedimentos dispostos na Portaria nº 912, de 4 de julho de 2017.

§ 1º Em caso de ausência ou impedimento do Presidente da Anatel, a presidência será exercida pelo Superintendente Executivo.

§ 2º No exercício de suas funções, o Comitê será apoiado pelo Superintendente Executivo, incumbindo-lhe a prestação de todo apoio técnico e logístico necessário ao seu funcionamento.

I - planejar, implantar, gerir e executar o processo de gestão de riscos na Anatel junto aos gestores de riscos;

II - desenvolver, testar, implementar e propor a atualização da Metodologia de Gestão de Risco;

III - propor o Plano de Gestão de Riscos, incluindo a definição, priorização e limites de exposição ao risco, bem como as estratégias para evitá-los.

IV - propor os critérios e indicadores a serem usados na avaliação da gestão de risco em cada processo;

V - auxiliar o Comitê de Gestão de Riscos na definição dos Gestores de Riscos;

VII - subsidiar o Comitê de Gestão de Riscos com informações pertinentes à estrutura e ao processo de gestão de riscos;

VIII - acompanhar a execução do Plano de Gestão de Riscos e informar o Comitê de Gestão de Riscos;

IX - monitorar a eficácia da gestão de riscos para fins de promover o aprimoramento, a aprendizagem e melhorias;

X - propor orçamento e demandar treinamentos e outros recursos para gestão dos riscos; e,

Art. 14. Cada risco mapeado e avaliado deve estar associado a um gestor de risco formalmente identificado.

Parágrafo único. Gestor de risco é o detentor de cargo ou função de chefia, institucionalmente definido como responsável por um ou mais processos de trabalho.

I - propor o plano de tratamento de risco sob sua responsabilidade, em conformidade com esta Política de Gestão de Risco;

II - monitorar e gerenciar os riscos ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com o Plano de Gestão de Riscos; e,

III - garantir que as informações adequadas sobre o risco estejam disponíveis.

Parágrafo único. Os riscos não mapeados, sejam eles novos ou não identificados anteriormente, devem ser comunicados tempestivamente ao Superintendente Executivo.

Art. 16. Cabe aos servidores, no âmbito da execução de suas tarefas, a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de possíveis riscos ao seu gestor imediato.

Art. 17. Em função da complexidade e abrangência dos temas sob responsabilidade da Anatel, a implementação desta Política será realizada no prazo de 36 (trinta e seis) meses, a contar da data de sua publicação.

Parágrafo Único. O Comitê de Gestão de Riscos deve acompanhar a execução do projeto de implementação desta Política.

Art. 18. A Auditoria Interna deve manter um papel ativo em monitorar, examinar, avaliar, reportar e recomendar melhorias na adequação e eficácia do processo de gestão de riscos.

Art. 19. Os casos omissos ou excepcionalidades serão solucionados pelo Comitê de Gestão de Riscos.