1. CAPÍTULO I - DISPOSIÇÕES GERAIS
1.1. Seção I- Dos Conceitos
1.1.1. Art. 2º Para fins desta Instrução Normativa, considera-se:
1.1.1.1. I - accountability: conjunto de procedimentos adotados pelas organizações públicas e pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho das organizações; II - apetite a risco: ; III - auditoria interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança; IV - componentes dos controles internos da gestão: são o ambiente de controle interno da entidade, a avaliação de risco, as atividades de controles internos, a informação e comunicação e o monitoramento; V - controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados: a - execução ordenada, ética, econômica, eficiente e eficaz das operações; b - cumprimento das obrigações de accountability; c - cumprimento das leis e regulamentos aplicáveis; e d - salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica; VI - fraude: ; VII - gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização; VIII - governança: combinação de processos e estruturas implantadas pela alta administração, para informar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar os seus objetivos; IX - governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade; X - incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros; XI - mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência; XII - Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos; XIII - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade; XIV - risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto; XV - risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco; e XVI - Sistema de Controle Interno do Poder Executivo federal: l.
2. CAPÍTULO II - DOS CONTROLES INTERNOS DA GESTÃO
2.1. Preâmbulo
2.1.1. Art. 3º Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público. Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos.
2.2. Seção I - Dos Princípios
2.2.1. Art. 8º Os controles internos da gestão do órgão ou entidade devem ser desenhados e implementados em consonância com os seguintes princípios:
2.2.1.1. I - aderência à integridade e a valores éticos; II - competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão; III - coerência e harmonização da estrutura de competências e reponsabilidades dos diversos níveis de gestão do órgão ou entidade; IV - compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização; V - clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização; VI - clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos; VII - mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos; VIII - identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão; IX - desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos; X - adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão; XI - definição de políticas e normas que suportem as atividades de controles internos da gestão; XII - utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão; XIII - disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão; XIV- realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão; e XV - comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração.
2.3. Seção II - Dos Objetivos dos Controles Internos da Gestão
2.3.1. Art. 10. Os objetivos dos controles internos da gestão são:
2.3.1.1. I - dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos do órgão ou entidade; II - proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações; III - assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas; IV - assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria organização; e V - salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.
2.4. Seção III - Da Estrutura dos Controles Internos da Gestão
2.4.1. Art. 11. Na implementação dos controles internos da gestão, a alta administração, bem como os servidores da organização, deverá observar os componentes da estrutura de controles internos, a seguir descritos:
2.4.1.1. I - ambiente de controle
2.4.1.2. II - avaliação de risco: é o processo permanente de identificação e análise dos riscos relevantes que impactam o alcance dos objetivos da organização e determina a resposta apropriada ao risco.
2.4.1.3. III - atividades de controles internos: são atividades materiais e formais, como políticas, procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas.
2.4.1.4. IV - informação e comunicação: as informações produzidas pelo órgão ou entidade devem ser apropriadas, tempestivas, atuais, precisas e acessíveis, devendo ser identificadas, armazenadas e comunicadas de forma que, em determinado prazo, permitam que os funcionários e servidores cumpram suas responsabilidades, inclusive a de execução dos procedimentos de controle interno.
2.4.1.5. V - monitoramento: é obtido por meio de revisões específicas ou monitoramento contínuo, independente ou não, realizados sobre todos os demais componentes de controles internos, com o fim de aferir sua eficácia, eficiência, efetividade, economicidade, excelência ou execução na implementação dos seus componentes e corrigir tempestivamente as deficiências dos controles internos
2.5. Seção IV - Das Responsabilidades
2.5.1. Art. 12. A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação. Parágrafo único. Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.
3. CAPÍTULO III - DA GESTÃO DE RISCOS
3.1. Seção I - Dos Princípios da Gestão de Riscos
3.1.1. Art. 14. A gestão de riscos do órgão ou entidade observará os seguintes princípios:
3.1.1.1. I - gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público; II - estabelecimento de níveis de exposição a riscos adequados; III - estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização; IV - utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e V - utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais.
3.2. Seção II - Dos Objetivos da Gestão de Riscos
3.2.1. Art. 15. São objetivos da gestão de riscos:
3.2.1.1. I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso; II - aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e III - agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
3.3. Seção III - Da Estrutura do Modelo de Gestão de Riscos
3.3.1. Art. 16. Na implementação e atualização do modelo de gestão de riscos, a alta administração, bem como seus servidores ou funcionários, deverá observar os seguintes componentes da estrutura de gestão de riscos:
3.3.1.1. I - ambiente interno: inclui, entre outros elementos, integridade, valores éticos e competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas de recursos humanos. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;
3.3.1.2. II- fixação de objetivos: todos os níveis da organização (departamentos, divisões, processos e atividades) devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução;
3.3.1.3. III - identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis;
3.3.1.4. IV - avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser avaliados quando à sua condição de inerentes e residuais;
3.3.1.5. V - resposta a riscos
3.3.1.6. VI - atividades de controles internos
3.3.1.7. VII - informação e comunicação
3.3.1.8. VII - informação e comunicação
3.4. Seção IV - Da Política de Gestão de Riscos
3.4.1. Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos:
3.4.1.1. I - princípios e objetivos organizacionais; II - diretrizes sobre: a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização; b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos; c) como será medido o desempenho da gestão de riscos; d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos; e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e III - competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade.
3.5. Seção V - Das Responsabilidades
3.5.1. Art. 19. O dirigente máximo da organização é o principal responsável pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.
3.5.2. Art. 20. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.
3.5.2.1. §1º O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco. §2º São responsabilidades do gestor de risco: I - assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização; II - monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; e III - garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.
4. CAPÍTULO IV - DA GOVERNANÇA
4.1. Seção I - Dos Princípios
4.1.1. Art. 21. São princípios da boa governança, devendo ser seguidos pelos órgãos e entidades do Poder Executivo federal:
4.1.1.1. I - liderança: deve ser desenvolvida em todos os níveis da administração. As competências e responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a se obter resultados adequados; II - integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho; III - responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao melhor atendimento dos interesses da sociedade; IV - compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade, prática indispensável à implementação da governança; V - transparência: caracterizada pela possibilidade de acesso a todas as informações relativas à organização pública, sendo um dos requisitos de controle do Estado pela sociedade civil. As informações devem ser completas, precisas e claras para a adequada tomada de decisão das partes interessas na gestão das atividades; e VI - Accountability: obrigação dos agentes ou organizações que gerenciam recursos públicos de assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma voluntária, assumindo integralmente a consequência de seus atos e omissões.
5. CAPÍTULO V - DO COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES
5.1. Art. 22. Riscos e controles internos devem ser geridos de forma integrada, objetivando o estabelecimento de um ambiente de controle e gestão de riscos que respeite os valores, interesses e expectativas da organização e dos agentes que a compõem e, também, o de todas as partes interessadas, tendo o cidadão e a sociedade como principais vetores.
5.2. Art. 23. Os órgãos e entidades do Poder Executivo federal deverão instituir, pelos seus dirigentes máximos, Comitê de Governança, Riscos e Controles.
5.2.1. §1º No âmbito de cada órgão ou entidade, o Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo Assessor Especial de Controle Interno.
5.2.2. §2º São competências do Comitê de Governança, Riscos e Controles: I - promover práticas e princípios de conduta e padrões de comportamentos; II - institucionalizar estruturas adequadas de governança, gestão de riscos e controles internos; III - promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos; IV - garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público; V - promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos; VI - promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações; VII - aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos; VIII - supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público; IX - liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade; X - estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade; XI - aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão; XII - emitir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos; e XIII - monitorar as recomendações e orientações deliberadas pelo Comitê.