INSTRUÇÃO NORMATIVA CNPq Nº 1, DE 11 DE MARÇO DE 2021

Estabelece procedimento metodológico para a
gestão de riscos dos processos organizacionais
e subsidiar a tomada de decisão no CNPq.

          O Presidente do Conselho Nacional de Desenvolvimento Científico e Tecnológico - CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto aprovado pelo Decreto nº 8.866, de 3 de outubro de 2016, e em conformidade com as disposições do Decreto nº 9.203, de 22 de novembro de 2017, e dos autos do processo n° 01300.000587/2020-97, resolve: estabelecer os critérios e procedimentos gerais a serem observados pelas Unidades de Gestão relativos à gestão de riscos.

          Art. 1º  A metodologia de gestão de riscos do CNPq é orientada por processo organizacional e obedece a um modelo de aplicação descentralizado.

          § 1º  As unidades organizacionais podem executar os procedimentos de gerenciamento de riscos em processos sob sua responsabilidade, desde que obedecidas as diretrizes e orientações apresentadas nesta instrução normativa.

          § 2º  Os resultados desses processos devem ser informados à Unidade de Gestão da Integridade, que reportará a Diretoria Executiva - DEX, com a seleção dos riscos classificados como ¿Extremo¿ para a avaliação estratégica do CNPq.

          Art. 2º  Para fins desta Instrução Normativa considera-se:

          I - risco: possibilidade de ocorrência de um evento que possa impactar no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade;

          II - gestão de risco: processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos;

          III - responsável pela gestão do risco: integrante formal da organização com responsabilidades de direção ou gestão de ações ou processos em nível estratégico, tático ou operacional;

          IV - análise de riscos: processo de compreender a natureza do risco e determinar seu nível, fornecendo a base para a avaliação e para as decisões sobre o tratamento deles;

          V - risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais ou controles que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

          VI - risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o seu tratamento;

          VII - custo: esforço que se emprega com o objetivo de se obter algo;

          VIII - controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelos agentes públicos das organizações, destinados a enfrentar os riscos e fornecer segurança razoável na consecução da missão da instituição;

          IX - macroprocesso organizacional - processo que envolve uma função organizacional e cuja operação impacta significativamente no modo como a organização funciona;

          X - processo organizacional - serie de subprocessos ou atividades relacionadas entre si, envolvendo pessoas, procedimentos, equipamentos e informações. A execução do processo organizacional transforma insumos (entradas) em produtos e serviços (saídas), agregando valor para o cidadão e a própria Instituição;

          XI - subprocesso organizacional - conjunto de operações de média a alta complexidade (atividades e tarefas distintas e interligadas), realizando um objetivo específico em apoio a um processo;

          XII - atividades organizacionais - operações ou conjunto de operações de média complexidade, que ocorrem dentro de um processo ou subprocesso, geralmente desempenhadas por uma unidade organizacional determinada e destinada a produzir um resultado específico; e

          XIII - tarefas organizacionais - conjunto de trabalhos a serem executados, envolvendo rotina, dificuldades, esforço ou prazo determinado. Estão no nível imediatamente inferior a uma atividade.

          Art. 3º  O responsável pela gestão do risco da unidade organizacional identifica e registra, o objetivo geral do processo organizacional, as leis e regulamentos, os sistemas utilizados na sua execução, a unidade responsável e o período de referência, nos campos 1 a 5 do Anexo I.

          § 1º  O responsável pela gestão do risco da unidade organizacional:

          I -  identifica os pontos fortes e pontos fracos do processo organizacional e registra nos campos 6 e 7 do Anexo I; e

          II - identifica as oportunidades de melhoria e ameaças que prejudicam as entregas do processo organizacional e registra nos campos 8 e 9 do Anexo I.

          § 2º  As informações coletadas, em conjunto com as informações do processo (normas, fluxograma das atividades, se houver, descrição das tarefas, responsáveis, e etc), são fundamentais para a realização das demais etapas.

          Art. 4º  O resultado do entendimento do fluxo do processo organizacional disposto no artigo anterior consiste em uma lista abrangente de eventos que podem evitar, atrasar, prejudicar ou impedir o cumprimento dos objetivos do processo organizacional ou das etapas críticas e é elaborada a partir da experiência da equipe técnica designada,

          Parágrafo único.  À luz dos objetivos do processo organizacional, o evento identificado como risco deve-se registrar no formulário previsto no Anexo I da seguinte forma:

          I - o evento de risco que pode comprometer claramente o objetivo do processo organizacional, no campo 10;

          II - o subprocesso ou atividade em que o risco está associado, no campo 11;

          III - a categoria do risco, conforme Anexo II, no campo 12;

          IV - os motivos que podem promover a causa da ocorrência do risco, no campo 13; e

          V - os resultados do risco que afetam os objetivos, campo 14.

          Art. 5º  O resultado da identificação do evento de risco previsto no artigo anterior deve ser capaz de calcular os níveis de riscos identificados pela equipe técnica designada, a partir de critérios de probabilidade e impacto.

          Parágrafo único.  Os níveis de risco são estimados pelas escalas de probabilidade e impacto de ocorrerem previstas no Anexo II e são registrados da seguinte forma:

          I - peso da escala de probabilidade, no campo 15 do Anexo I; e

          II - peso da escala de impacto, no campo 16 do Anexo I.

          Art. 6º  A multiplicação entre os valores de probabilidade e impacto define o nível do risco inerente.

          § 1º  O risco inerente é calculado pela fórmula RI = NP x NI e registrado no campo 17 do Anexo I , em que:

          I - RI: nível de risco inerente;

          II - NP: nível de probabilidade do risco; e

          III - NI: nível de impacto do risco.

          § 2º A partir do cálculo do risco inerente, o risco pode ser classificado e registrado no campo 18 do Anexo I, em que:

          I - Risco Baixo - RB, com faixa de 0 - 9,99;

          II - Risco Médio - RM, com faixa de 10 - 39,99;

          III - Risco Alto - RA, com faixa de 40 - 79,99; e

          IV - Risco Extremo - RE, com faixa de 80 - 100.

          Art. 7º  A matriz de riscos, Anexo IV, representa os possíveis resultados da combinação das escalas de probabilidade e impacto.

          Art. 8º  A equipe técnica designada deve avaliar a eficácia dos controles internos existente em relação aos objetivos do processo organizacional, conforme Anexo VI.

          Art. 9º  O valor final da multiplicação entre o valor do risco inerente, art. 7º, e o fator de avaliação dos controles, art. 8º, corresponde ao nível de risco residual.

          § 1º O risco residual é calculado pela fórmula RR = RI x FC e registrado no campo 19 do Anexo I , em que:

          I - RR: nível do risco residual;

          II - RI: nível do risco inerente; e

          III - FC: fator de avaliação dos controles existentes.

          § 2º  O valor de risco residual pode fazer com que o risco se enquadre em uma faixa de classificação diferente da faixa definida para o risco inerente.

          Art. 10.  O valor calculado do risco residual, art. 9º, deve ser considerado para a definição da atitude da unidade de gestão em relação à priorização para o tratamento, Anexo VI.

          Parágrafo Único. A atitude perante o risco, Anexo VI, registrar no campo 20 do Anexo I.

          Art. 11.  O Plano de Ação implementa medidas de tratamento dos riscos do processo organizacional gerenciado, conforme Anexo VII:

          I - preencher os campos 1, 2, 3, 4, 5 conforme formulário - Anexo I;

          II - preencher o risco residual monitorado, campo 6 - Anexo VII, conforme campo 19 do formulário - Anexo I;

          III - responder as perguntas dos campos 8 a 14 do Anexo VII, que tratam do risco inerente monitorado;

          IV - o status da ação, campo 14 - Anexo VII, corresponde a situação no momento da aferição da ação de resta ao risco:

          a) a realizar;

          b) em curso; e

          c) realizado.

          V - o resultado da ação, campo 15 - Anexo VII, corresponde as medidas de tratamento de risco, que podem ser:

          a) satisfatória: situação em que as medidas foram eficientes para reduzir ou mitigar o risco;

          b) insatisfatória: situação em que as medidas não foram eficientes para reduzir ou mitigar o risco. Neste caso deverão ser propostas novas ações para se alcançar o menor risco ao processo; e

          c) a avaliação sobre o resultado da ação de tratamento do risco deverá ser realizada pelo responsável pela gestão do risco da área em que o risco possui probabilidade de ocorrer.

           Art. 12.  Os casos omissos ou excepcionais serão solucionados pela Diretoria Executiva.

          Art. 13.  Esta Instrução Normativa entrará em vigor sete dias após a data da sua publicação.

(Assinada eletronicamente)

 EVALDO FERREIRA VILELA

ANEXOS:

Anexo I - Relatório de Gestão de Riscos do CNPq

Anexo II - Categoria do risco

Anexo III - Critérios de probabilidade e impacto

Anexo IV - Matriz de Riscos

Anexo V - Níveis de Avaliação dos Controles Internos Existentes

Anexo VI - Atitude perante o risco para cada classificação

Anexo VII - Plano de ação para a gestão de riscos no CNPq