• p.7 5.4.2 Articulando o comprometimento com a gestão de riscos - Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização. p.9 6.1 Generalidades - Convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada de decisão, e seja integrado na estrutura, operações e processos da organização. Pode ser aplicado nos níveis estratégico, operacional, de programas ou de projetos. p.11 6.3.4 Definindo critérios de risco - Convém que a organização especifique a quantidade e o tipo de risco que pode ou não assumir em relação aos objetivos. Convém também que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de tomada de decisão.

• Authority and Responsibilities (…) Key roles typically include the following: Individuals in a management role who have the authority and responsibility to make decisions and oversee business practices to achieve strategy and business objectives. Within the management team, the chief risk officer is often responsible for providing expertise and coordinating risk considerations. Other personnel who understand both the entity´s standards of conduct and business objectives in relation to their area of responsibility and the related enterprise risk management practices at their respective levels of the entity.

• Assessing Internal Requirements and the Impact of External Events Successful acquisition strategies require sufficient attention to analyzing agencywide needs. Acquisition planning should include market research to identify appropriate products and services, determination of the extent of competition in the market, assessment of core competencies and opportunities to compete commercial-type activities, and identification of contract approaches that best meet end-users’ needs. Additionally, past acquisitions should be reviewed to identify trends and opportunities for consolidating similar acquisitions planned in the coming year to leverage buying power and reduce administrative burdens. Acquisition planning should take into consideration the effects of the appropriations process on the timing and execution of major contracts. Additionally, agencies must be cognizant of congressional mandates, administration initiatives, socioeconomic policy objectives, governmentwide fiscal imbalances, and other factors external to agencies. Additionally, acquisition processes should be sufficiently flexible to address unforeseen external events and emergencies.

• P. 53: A estrutura de gestão de riscos é a maneira como a entidade se organiza para gerenciar os riscos do seu negócio, representando o conjunto de componentes e arranjos organizacionais para a concepção, a implementação, o monitoramento, a análise crítica e a melhoria contínua da gestão de riscos através de toda a organização. Inclui a política de gestão de riscos, os manuais e guias, os recursos, a definição de objetivos e de papéis e responsabilidades que permitirão incorporar a gestão de riscos em todos os níveis da organização. O processo de gestão de riscos representa o conjunto de atividades contínuas, realizado pelas pessoas em todos os níveis da entidade, desde a definição das estratégias até o nível das atividades operacionais, concebido para identificar riscos que possam afetar a capacidade da organização em atingir os seus objetivos e para apoiar tomadas de decisões e ações que forem necessárias para mantê-los em níveis compatíveis com os limites de exposição a riscos previamente estabelecidos, de maneira a fornecer segurança razoável do cumprimento dos objetivos.

• Art. 2º Para os efeitos do disposto neste Decreto, considera-se: [...] IV - Gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos. [...] Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios: I - implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança.

• P.37: COMUNICAÇÃO E CONSULTA Durante todas as etapas ou atividades do processo de gestão de riscos deve haver uma efetiva comunicação informativa e consultiva entre a organização e as partes interessadas, internas e externas, para: a) auxiliar a estabelecer o contexto apropriadamente e assegurar que as visões e percepções das partes interessadas, incluindo necessidades, suposições, conceitos e preocupações sejam identificadas, registradas e levadas em consideração; b) auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente, reunindo áreas diferentes de especialização; c) garantir que todos os envolvidos estejam cientes de seus papéis e responsabilidades, e avalizem e apoiem o tratamento dos riscos

• p. 5: Papéis da primeira linha: [...] estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno).

• P.13-14: Abordagem dos elementos do processo O monitoramento contínuo é incorporado às atividades operacionais normais e recorrentes de uma empresa. Ele pode ser mais eficaz do que avaliações separadas, porque é conduzido em tempo real, reagindo dinamicamente a condições em constante mudança e est+ enraizado na organização. Os problemas serão frequentemente identificados mais rapidamente pelos processos de monitoramento contínuo, j+ que avaliações separadas ocorrem após a ocorrência do fato. Algumas entidades com atividades sensatas de monitoramento contínuo irão, contudo, conduzir uma avaliação separada de ERM ou de porções do mesmo. O nível percebido de objetividade é maior para avaliações separadas do que para automonitoramento.

• O RCA (documento Riscos e Controles nas Aquisições) traz diversos exemplos de riscos relacionados ao macroprocesso de trabalho de contratação. Exemplos de riscos relacionados ao processo de trabalho de planejamento de cada uma das aquisições (RCA): Responsável(eis) pelo planejamento da contratação não detém(êm) as competências multidisciplinares necessárias à execução da atividade, levando a especificações incompletas ou com requisitos irrelevantes ou indevidamente restritivos, com consequente indefinição do objeto e dificuldade de obtenção da solução necessária ao atendimento da necessidade ou diminuição da competição e aumento dos custos. Sugestão de controle interno: Alta administração estabelece que as contratações devem ser planejadas por uma equipe multidisciplinar, incluindo pelo menos os papéis de requisitante, especialista e administrativo. Contratação direta (dispensa ou inexigibilidade) sem adequado planejamento da contratação, levando a contratos com modelos inadequados (principalmente de execução do objeto e de gestão do contrato), com consequente não recebimento do objeto que satisfaz às necessidades que originaram a contratação e desperdício de recursos públicos. Sugestão de controle interno: A alta administração publica normativo estabelecendo a obrigação de que, mesmo nas contratações diretas (inclusive de empresas públicas), devem ser elaborados os mesmos artefatos necessários para as contratações por meio de licitação (estudos técnicos preliminares, plano de trabalho e termo de referência ou projeto básico).

• Art. 8º [...] § 1º As atividades de gerenciamento de riscos devem ser realizadas durante todas as fases do processo de contratação, observando o disposto no art. 38. [...] Art. 38. O gerenciamento de riscos deve ser realizado em harmonia com a Política de Gestão de Riscos do órgão prevista na Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016. § 1º Durante a fase de planejamento, a equipe de Planejamento da Contratação deve proceder às ações de gerenciamento de riscos e produzir o Mapa de Gerenciamento de Riscos que deverá conter no mínimo: I - identificação e análise dos principais riscos, consistindo na compreensão da natureza e determinação do nível de risco, mediante a combinação do impacto e de suas probabilidades, que possam comprometer a efetividade da contratação, bem como o alcance dos resultados pretendidos com a solução de TIC; II - avaliação e seleção da resposta aos riscos em função do apetite a riscos do órgão; e III - registro e acompanhamento das ações de tratamento dos riscos.

• Art. 25. O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: I - identificação dos principais riscos que possam comprometer a efetividade do Planejamento da Contratação, da Seleção do Fornecedor e da Gestão Contratual ou que impeçam o alcance dos resultados que atendam às necessidades da contratação; II - avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; III - tratamento dos riscos consideradas inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências; IV - para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e V - definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência. Parágrafo único. A responsabilidade pelo Gerenciamento de Riscos compete à equipe de Planejamento da Contratação devendo abranger as fases do procedimento da contratação previstas no art. 19. Art. 26. O Gerenciamento de Riscos materializa-se no documento Mapa de Riscos. § 1º O Mapa de Riscos deve ser atualizado e juntado aos autos do processo de contratação, pelo menos: I - ao final da elaboração dos Estudos Preliminares; II - ao final da elaboração do Termo de Referência ou Projeto Básico; III - após a fase de Seleção do Fornecedor; e IV - após eventos relevantes, durante a gestão do contrato pelos servidores responsáveis pela fiscalização.

• Art. 1º Esta Lei dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, abrangendo toda e qualquer empresa pública e sociedade de economia mista da União, dos Estados, do Distrito Federal e dos Municípios que explore atividade econômica de produção ou comercialização de bens ou de prestação de serviços, ainda que a atividade econômica esteja sujeita ao regime de monopólio da União ou seja de prestação de serviços públicos. [...] § 7º Na participação em sociedade empresarial em que a empresa pública, a sociedade de economia mista e suas subsidiárias não detenham o controle acionário, essas deverão adotar, no dever de fiscalizar, práticas de governança e controle proporcionais à relevância, à materialidade e aos riscos do negócio do qual são partícipes, considerando, para esse fim: VI - relatório de risco das contratações para execução de obras, fornecimento de bens e prestação de serviços relevantes para os interesses da investidora; [...] Art. 42. Na licitação e na contratação de obras e serviços por empresas públicas e sociedades de economia mista, serão observadas as seguintes definições: X - matriz de riscos: cláusula contratual definidora de riscos e responsabilidades entre as partes e caracterizadora do equilíbrio econômico-financeiro inicial do contrato, em termos de ônus financeiro decorrente de eventos supervenientes à contratação, contendo, no mínimo, as seguintes informações: [...] § 1º As contratações semi-integradas e integradas referidas, respectivamente, nos incisos V e VI do caput deste artigo restringir-se-ão a obras e serviços de engenharia e observarão os seguintes requisitos: I - o instrumento convocatório deverá conter: [...] d) matriz de riscos; Art. 9o A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam: (..) § 1º Deverá ser elaborado e divulgado Código de Conduta e Integridade, que disponha sobre: [...] VI - previsão de treinamento periódico, no mínimo anual, sobre Código de Conduta e Integridade, a empregados e administradores, e sobre a política de gestão de riscos, a administradores.

• A função de contratações deve identificar fatores de risco associados a cada contratação, analisar a probabilidade de ocorrência do risco e considerar os impactos potenciais. Planos de gestão de riscos devem ser desenvolvidos, com base na decisão de evitar, assumir ou transferir os riscos identificados. Fatores de risco que podem ser considerados na análise de riscos em cada contratação: Incapacidade do fornecedor de gerenciar riscos internos Instabilidade financeira do fornecedor levando a uma crise de abastecimento Conflito na rede de abastecimento causados por cortes de gastos Falha do fornecedor em cumprir as cláusulas contratuais Mercadorias/Serviços que possuem apenas um fornecedor Mudanças no meio ambiente ou na legislação que afetem a rede de fornecedores; Produtos que não possuem substitutos (tradução nossa)