Art. 1º - A Política de Gestão de Integridade, Riscos e Controles Internos da Gestão da Fiocruz tem por finalidade estabelecer e difundir princípios, objetivos, diretrizes, competências e responsabilidades a serem observados para a gestão de integridade, de riscos e de controles internos, necessários aos processos de governança e gestão das políticas, programas, processos e projetos da Fiocruz.
Art. 2º - Esta Política e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os colaboradores internos e externos à Fiocruz, abrangendo, entre outros, os servidores, estagiários, bolsistas e prestadores de serviço.
3.0 - CONCEITOS E DEFINIÇÕES
Art. 3º - Para os efeitos desta Política, entende-se por:
Accountability: conjunto de procedimentos adotados no âmbito da Fiocruz e pelos indivíduos que a integram para evidenciar as responsabilidades inerentes por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho.
Atividades de controles internos: são as políticas e os procedimentos estabelecidos para enfrentar os riscos e alcançar os objetivos institucionais da Fiocruz.
Avaliação de risco: processo permanente de identificação e análise dos riscos relevantes para o alcance dos objetivos institucionais e a determinação de resposta apropriada.
Categoria de riscos: é a classificação dos tipos de riscos definidos pela instituição e que podem afetar o alcance de seus objetivos estratégicos, observadas as características de sua área de atuação e as particularidades do setor público.
Controle: são os procedimentos para responder adequadamente aos riscos a fim de assegurar que os objetivos institucionais sejam alcançados.
Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações destinados a enfrentar os riscos e fornecer segurança razoável para a consecução da missão institucional da Fiocruz.
Ética: refere-se aos princípios morais, sendo pré-requisito e suporte para a confiança pública; conjunto de atributos baseados na postura moral, no bom comportamento e na boa fé dos servidores da Fiocruz na realização de suas atribuições e relações sociais, em observância aos princípios do interesse público.
Gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza no alcance dos objetivos institucionais.
Gestão da Integridade: conjunto de medidas preventivas e corretivas contra possíveis desvios de conduta no desempenho das atividades da Fiocruz, que consiste em zelar e fortalecer a sua imagem e credibilidade institucional perante a sociedade.
Governança: combinação de processos e estruturas implantadas pela alta administração para informar, dirigir, administrar e monitorar suas atividades, com o intuito de alcançar os seus objetivos.
Governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
Integridade: conjunto de arranjos institucionais que visam a fazer com que a Administração Pública não se desvie de seu objetivo precípuo: entregar os resultados esperados pela população de forma adequada e eficiente.
Método de priorização de processos: classificação de processos baseadas em avaliação qualitativa e quantitativa, visando o estabelecimento de prazos para a realização de gerenciamento de riscos.
Monitoramento: componente do controle interno que permite avaliar a qualidade do sistema de controle interno ao longo do tempo.
Plano de implementação de controles: documento elaborado pelo gestor para registrar e acompanhar a implementação de ações de tratamento a serem adotadas em resposta aos riscos avaliados.
Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade.
4.0 REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 4º - As referências legais-regulatórias adotadas por órgãos nacionais e internacionais são basicamente as seguintes:
BRASIL. Associação Brasileira de Normas Técnicas - ABNT. Gestão de Riscos: Princípios e Diretrizes. Norma Brasileira ABNT NBR ISO 31000: Primeira Edição, 2009.
BRASIL. Associação Brasileira de Normas Técnicas - ABNT. Gestão de Riscos: Princípios e Diretrizes. Norma Brasileira ABNT NBR ISO 31010: Primeira Edição, 2012.
BRASIL. Casa Civil. Decreto nº 1.171, de 22 de junho de 1994, que dispõe sobre o Código de Ética do Servidor Público Civil do Poder Executivo Federal.
BRASIL. Controladoria Geral da União. Guia de Integridade Pública - Orientações para a administração pública federal: direta, autárquica e fundacional. Brasília, 2015. Disponível em: http://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/guia-de-…
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Guia de orientação para o gerenciamento de riscos. Brasília, 2013.
BRASIL. Ministério do Planejamento. Secretaria de Gestão Pública. Programa Gespública - O Modelo de Excelência em Gestão Pública. Brasília, 2014a.
BRASIL. Ministério do Planejamento. Secretaria de Gestão Pública. Programa Gespública - Instrumento para Avaliação da Gestão Pública. Brasília, 2014b.
BRASIL. MP e CGU. INSTRUÇÃO NORMATIVA CONJUNTA No 1 2016. Disponível em http://www.cgu.gov.br/sobre/legislacao/arquivos/instrucoes-normativas/i…. Acesso em 25_05_16
BRASIL. Tribunal de Contas da União. Processo TC 020.905/2014-9 - Relatório de Levantamento de Auditoria, Acórdão nº 927/2015 - TCU Plenário, Brasília, 2014c
IIA. As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. Disponível em https://na.theiia.org/standards-guidance/Publico20Documents. Acesso em 17.nov.2015.
TRIBUNAL DE CONTAS DA UNIÃO. Avaliação de controles internos na administração pública federal. 2012. Disponível em http://portal2.tcu.gov.br/portal/pls/portal/docs/2436815.PDF. Acesso em 14.set.2013.
TRIBUNAL DE CONTAS DA UNIÃO. 10 passos para a boa governança. Brasília, 2014.
TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança. Brasília, 2014.
5.0 PRINCÍPIOS
Art. 5º - As atividades de gestão da integridade, de riscos e controles internos de gestão, bem como seus instrumentos resultantes, devem guiar-se pelos seguintes princípios:
I - Aplicação dos fundamentos basilares da administração pública, a saber: legalidade, impessoalidade, moralidade, publicidade e eficiencia; II - Aderência à integridade e aos valores éticos; III - Alinhamento aos objetivos estratégicos da instituição; IV - Compromisso com os resultados voltados para a melhoria das condições de vida e de saúde dos brasileiros e para o desenvolvimento da ciência e tecnologia no país; V - Alinhamento ao modelo de gestão participativa da Fiocruz; VI - Democratização das informações e transparência; VII - Respeito à diversidade organizacional.
6.0 OBJETIVOS
Art. 6º - Esta Política tem por objetivos:
7.0 DIRETRIZES
Art. 7º - São diretrizes para a gestão da integridade:
I - A gestão da integridade deve promover a cultura ética e a integridade institucional focada nos valores e no respeito às leis e princípios da Administração Pública; II - o fortalecimento da integridade institucional da Fiocruz deve ser promovido por decisões baseadas no autoconhecimento e no diagnóstico de vulnerabilidades; III - a capacitação dos agentes públicos que exercem cargo, função ou emprego na Fiocruz, em gestão da integridade, deve ser desenvolvida de forma continuada; IV - a orientação de padrões de comportamento esperados dos agentes públicos no relacionamento com cidadãos, setor privado e grupos de interesses deve ser definida em políticas específicas; V - a disponibilidade de informações à sociedade deve primar pela atuação transparente, conforme legislação vigente; VI - a política de integridade deve promover o fortalecimento dos mecanismos de comunicação com o público externo; VII - os mecanismos de preservação da integridade pública da Fiocruz devem ser dotados de critérios de identificação e punição dos responsáveis por possíveis desvios de conduta.
Art. 8º - São diretrizes para a gestão de riscos:
I - A atuação da gestão de riscos deve ser dinâmica e formalizada por meio de metodologias, normas, manuais e procedimentos, definidos por padrões reconhecidos nacionalmente e internacionalmente; II - as metodologias e ferramentas implementadas devem possibilitar a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro de padrões definidos pelas instâncias supervisoras; III - a medição do desempenho da gestão de riscos deve ser realizada mediante atividades contínuas; IV - a capacitação dos agentes públicos que exercem cargo, função ou emprego na Fiocruz, em gestão de riscos, deve ser desenvolvida de forma continuada, por meio de soluções educacionais, em todos os níveis; V - o desenvolvimento e implementação de atividades de controle da gestão considera a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades que impactam os objetivos institucionais; e, VI - a utilização de procedimentos de controles internos da gestão proporcionais aos riscos e baseada na relação custo-benefício e na agregação de valor à instituição.
Art. 9º - São diretrizes para os controles internos da gestão:
I - a implementação dos controles internos da gestão deve ser integrada às atividades, planos, ações, politicas, sistemas, recursos e em sinergia com os agentes públicos que exercem cargo, função, emprego ou atividade remunerada na Fiocruz, projetados para fornecer segurança razoável para a consecução dos objetivos institucionais; II - a definição e operacionalização dos controles internos da gestão devem considerar os riscos internos e externos que se pretende gerenciar, tendo em vista a mitigação da ocorrência de riscos ou impactos sobre os objetivos institucionais da Fiocruz; III - a implementação dos controles internos da gestão deve ser efetiva e compatível com a natureza, complexidade, grau de importância e riscos dos processos de trabalhos; IV - os controles internos da gestão devem ser baseados no modelo de gerenciamento de riscos; e, V - a alta administração deve criar condições para que a implementação de procedimentos efetivos de controles internos integrem as práticas de gestão de riscos.
8.0 INSTRUMENTOS
Art. 10º - São instrumentos da Política de Gestão da Integridade, Riscos e Controles Internos da Gestão da Fiocruz:
I - as Instâncias de Supervisão: o modelo de gestão de integridade, riscos e controles internos da gestão deve ser definido pelo Comitê de Governança, Gestão de Riscos e Controles Internos, que é formado pelo Conselho Deliberativo da Fiocruz; II - as metodologias: o modelo de gestão de riscos da Fiocruz deve ser estruturado com base nas melhores práticas nacionais e internacionais sobre o tema; III - o Plano de Implementação de Controles dos Riscos Estratégicos; IV - os planos de implementação de controles das unidades; V - os relatórios de controles internos, riscos e integridade; VI - a capacitação continuada: a Política de Capacitação da Fiocruz deve contemplar no eixo temático de Governança Pública, competências relacionadas à capacitação sobre temas afetos à gestão de integridade, riscos e controles internos da gestão; VI - as normas, manuais e procedimentos: as normas, manuais e procedimentos formalmente definidos pelas Instâncias de Supervisão devem ser consideradas como instrumentos que suportam a gestão de integridade, riscos e controles internos da gestão; e, VII - a solução tecnológica: o processo de gestão de integridade, riscos e controles internos da gestão deve ser apoiado por adequado suporte de tecnologia da informação.
9.0 INSTÂNCIAS DE SUPERVISÃO
Art. 11º - A gestão de integridade, riscos e controles internos de gestão constitui disciplina fundamental da boa governança corporativa, sendo de responsabilidade da Presidente da Fiocruz.
Art. 12º - Para assessorar a Presidente da Fiocruz nas atividades de gestão de integridade, riscos e controles internos relativas à definição e à implementação de diretrizes, políticas, normas e procedimentos, são definidas as Instâncias de Supervisão de Gestão da Integridade, Riscos e Controles Internos da Gestão, com as atribuições estabelecidas nesta Política.
Art. 13º - As Instâncias de Supervisão têm como função precípua apoiar e suportar os diversos níveis hierárquicos da Fiocruz e seus órgãos no objetivo de integrar as atividades de Gestão de Integridade, de Riscos e de Controles Internos da Gestão nos processos e atividades organizacionais.
Art. 14º - As Instâncias de Supervisão são compostas por:
I - Comitê de Governança, Gestão de Riscos e Controles - CGRC. II - Executiva Técnica do CGRC, que funcionará como Subcomitê Assessor do CGRC. III - Comitês das Unidades para Gestão de Integridade, Riscos e Controles Internos da Gestão dos respectivos órgãos específicos singulares, dos órgãos seccionais e dos órgãos vinculados à Presidência. IV - Grupos de Trabalho por Áreas Temáticas, que funcionará de modo ad hoc em apoio à Executiva Técnica.
Parágrafo único - O CGRC através da Executiva Técnica da Fiocruz será responsável pela elaboração de proposta de instituição e alteração de atribuições necessárias para o funcionamento das instâncias de supervisão e seus respectivos regimentos internos.
10. COMPOSIÇÃO
Art. 15º - O Comitê de Governança, Riscos e Controles é composto pelos membros do Conselho Deliberativo da Fiocruz.
Art. 16º - A Executiva Técnica será composta pela Diretoria Executiva da Fiocruz.
Art. 17º - Os Comitês das Unidades para Gestão de Integridade, Riscos e Controles Internos da Gestão são compostos por servidores com capacitação nos temas afetos à gestão de integridade, riscos e controles internos da gestão nos respectivos órgãos específicos singulares, dos órgãos seccionais e dos órgãos vinculados à Presidência.
Art. 18º - Os Grupos de Trabalho por Áreas Temáticas serão compostos por profissionais especializados das diferentes áreas de atuação finalística da Fiocruz e serão compostos pela indicação da Executiva Técnica
11. ATRIBUIÇÕES E RESPONSABILIDADES
Art. 19º - Compete ao Comitê de Governança, Riscos e Controles:
I- atuar na segunda linha de defesa, definindo o nível de exposição ao risco na condução dos programas, projetos e processos da Fiocruz; II- aprovar as políticas e normas de gerenciamento de integridade, riscos e controles internos e suas revisões; III- aprovar os relatórios de controles internos, riscos e integridade; IV- aprovar o Plano de Implementação de Controles dos Riscos Estratégicos; V- implementar e supervisionar os sistemas de gerenciamento de riscos, controles internos e integridade estabelecidos para a prevenção e resposta aos principais riscos que a Fiocruz está exposta; VI- discutir, aprovar e monitorar decisões que envolvam práticas de governança corporativa, relacionamento com partes interessadas, política de gestão de pessoas e código de conduta dos agentes; VII - apoiar a inovação e a adoção de boas práticas de governança, gestão de integridade, riscos e controles internos da gestão; VIII - institucionalizar estruturas adequadas de governança, gestão de integridade, riscos e controle internos da gestão; IX - realizar avaliações periódicas para verificar a eficácia da gestão de integridade, riscos e dos controles internos da gestão, comunicando o resultado aos responsáveis pela adoção de ações corretivas; X - tomar decisões considerando as informações sobre gestão de integridade, riscos e controles internos da gestão e assegurar que estejam disponíveis em todos os níveis;
Art. 20º - Compete à Executiva Técnica do CGRC:
I - atuar na segunda linha de defesa do gerenciamento de integridade, riscos e controles internos, dando suporte à estrutura de gerenciamento de riscos, identificando mudanças nos níveis de exposição aos riscos da Fiocruz e auxiliando as unidades a desenvolver processos e controles para gerenciar os riscos identificados; II - apoiar o Comitê de Governança, Riscos e Controles no cumprimento de suas competências e responsabilidades; e, III- assegurar o cumprimento dos objetivos estratégicos, das políticas, diretrizes, metodologias e mecanismos para a comunicação e institucionalização do gerenciamento de integridade, riscos e controles internos da gestão; IV- propor aprimoramentos em políticas, diretrizes e normas complementares para o gerenciamento de integridade, riscos e controles internos da gestão ao CGRC; V- prestar consultoria interna e assessorar no gerenciamento de riscos dos processos de trabalho priorizados, no âmbito das unidades organizacionais; VI- assessorar as unidades na implementação do Plano de Implementação de Controles das unidades e acompanhar a execução das acões e avaliar os resultados; VII- monitorar os riscos estratégicos ao longo do tempo, de modo a permitir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com esta Política; VIII- assegurar que as informações adequadas sobre gerenciamento de integridade, riscos e controles internos da gestão estejam disponíveis em todos os níveis, no âmbito das unidades; IX- disseminar a cultura do gerenciamento de integridade, riscos e de controles internos; X- estimular práticas e princípios de conduta e padrões de comportamento estabelecidos nas diretrizes de integridade desta Política; XI- estimular e promover condições à capacitação dos gestores, no exercício do cargo, e dos trabalhadores no gerenciamento de integridade, riscos e controles internos da gestão; XII- fomentar a inovação e a adoção de boas práticas de governança; XIII- assegurar o cumprimento das recomendações e orientações emitidas pelo CGRC; XIV- assegurar aderência às regulamentações, leis, códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público; XIV- proporcionar o cumprimento de práticas que institucionalizem a responsabilidade de todos os envolvidos na prestação de contas, transparência e efetividade das informações; XV- promover a integração dos trabalhadores responsáveis pelo gerenciamento de integridade, riscos e controles internos da gestão; XVI- promover a implementação de metodologias e instrumentos no gerenciamento de integridade, riscos e controles internos da gestão; XVII - monitorar o cumprimento do Código Conduta e Integridade; XVIII - coordenar os processos de identificação, classificação e avaliação dos riscos estratégicos a que a Fiocruz está sujeita; e XIX- emitir relatórios semestrais de controles internos, riscos e integridade; XX- proporcionar suporte de tecnologia da informação para apoiar os processos de integridade, riscos e a implementação dos controles internos da gestão nas unidades;
Art. 21º - Compete aos Comitês das Unidades para Gestão de Integridade, Riscos e Controles Internos da Gestão:
I- atuar na primeira linha de defesa, assegurando a efetividade do gerenciamento de integridade, riscos e controles internos em suas respectivas unidades; II- elaborar e submeter ao conselho deliberativo da unidade o Plano de Implementação de Controle; III- indicar um representante para atuar como ponto focal para gestão de integridade, riscos e controles internos; IV - manter controles internos eficazes, conduzindo procedimentos de resposta aos riscos; V - gerenciar os riscos dos processos de trabalho de acordo com essa política e as correlacionadas, bem como, garantir a implantação do modelo de gerenciamento de risco adotado pela Fiocruz; VI - submeter, após aprovação do conselho deliberativo da unidade, o Plano de Implementação de Controles à aprovação da CGRC; VI - implementar e gerenciar as ações contidas no Plano de Implementação de Controles e avaliar os resultados; VII - apoiar no monitoramento dos riscos de seus processos ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com o modelo de gerenciamento de riscos aprovado e com esta Política; VIII- gerar e reportar informações adequadas sobre o gerenciamento de integridade, riscos e controles internos à CGRC; IX- disseminar preceitos de comportamento íntegro e da cultura de gerenciamento de riscos e controles internos da gestão, em sua área de atuação; X- observar a inovação e a adoção de boas práticas no gerenciamento de integridade, riscos e controles da gestão; XI- cumprir as recomendações e observar as orientações emitidas pelo CGRC; XI- adotar princípios de conduta e padrões de comportamento estabelecidos nas diretrizes de integridade desta Política; XII- cumprir as regulamentações, leis e códigos, normas e padrões instituídas nesta; e XIII- cumprir as práticas institucionalizadas na prestação de contas, transparência e efetividade das informações.
Art. 22º - Compete aos Grupos de Trabalho por Área Temática:
I - Subsidiar a executiva técnica para a identificação, análise e classificação de risco dos processos finalísticos da Fiocruz; II - apoiar no monitoramento dos riscos dos processos finalísticos ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados; III- gerar e reportar informações adequadas sobre integridade, riscos e controles internos nos processos finalísticos.
12. DA ATUAÇÃO DA AUDITORIA INTERNA
Art. 23º - Além das competências estatutárias, compete à Auditoria Interna: I- atuar na terceira linha de defesa no gerenciamento eficaz de integridade, riscos e controles da Fiocruz, procedendo à avaliação da operacionalização dos controles internos da gestão, da governança e do processo de gerenciamento de riscos, com foco na melhoria contínua dos processos organizacionais; II- examinar o gerenciamento de integridade, adequação e eficácia dos controles internos e das informações físicas, contábeis e operacionais da Fiocruz para evitar fraude, erros, ineficiências e outras irregularidades causadas por agentes internos e externos, contribuindo para minimizar os riscos envolvidos no desempenho das atividades organizacionais; III- apoiar a Executiva Técnica no gerenciamento de integridade, riscos e controles internos da gestão; IV- auxiliar o CGRC na supervisão dos sistemas de gerenciamento de integridade, riscos e controles internos; V- aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança, e a confiabilidade do processo de coleta, mensuração, classificação, acumulação, registro e divulgação de eventos e transações, visando o preparo de demonstrações financeiras; e VI- acompanhar, assessorar, avaliar e contribuir para o fortalecimento da gestão da Fiocruz, especialmente para aprimoramento dos controles internos.
13. DAS DISPOSIÇÕES FINAIS
Art. 24º - A implementação desta Política será realizada de forma gradual, incremental e continuada, com prazo de conclusão de 60 (sessenta) meses a contar da publicação desta Portaria.
Art. 25º - Os casos omissos ou excepcionalidades serão solucionados pelo Comitê de Governança, Riscos e Controles.