PORTARIA Nº 42, DE 1º DE FEVEREIRO DE 2019 A DIRETORIA DA AGÊNCIA NACIONAL DO PETRÓLEO, GÁS NATURAL E BIOCOMBUSTÍVEIS - ANP, no exercício das atribuições conferidas pelo art. 6º do Regimento Interno e pelo art. 7º do Decreto nº 2.455, de 14 de janeiro de 1998, tendo em vista o disposto na Lei nº 9.478, de 6 de agosto de 1997, considerando o previsto no art. 17 da Instrução Normativa Conjunta CGU/MP nº 1, de 10 de maio de 2016, no Decreto nº 9.203, de 22 de novembro de 2017, na Portaria CGU nº 1.089, de 25 de abril de 2018, e tendo em vista a Resolução de Diretoria nº 92 de 31 de janeiro de 2019, resolve: CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Fica estabelecida a Política de Gestão de Riscos e Controles Internos (PGRCI) com a finalidade de estabelecer os princípios, objetivos, diretrizes e responsabilidades da gestão de riscos e de controles internos da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis - ANP. Parágrafo único. A PGRCI se aplica a todas as atividades e unidades organizacionais (UORGs) da ANP, abrangendo servidores, prestadores de serviço, colaboradores e quem, de alguma forma, desempenhe atividades na ANP. Art. 2º Para os fins da PGRCI, adotam-se as seguintes definições: I - análise de riscos: processo de estimativa do risco quanto à probabilidade, relacionada às possíveis causas, e ao impacto (ou magnitude), relacionado às consequências; II - apetite a risco: nível de risco que uma organização está disposta a aceitar para atingir seus objetivos; III - avaliação de riscos: processo de classificação e aceitabilidade, em função do apetite a risco, que subsidiará a definição das estratégias de tratamento do risco; IV - controles internos de gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos, de forma preventiva ou corretiva, fornecendo segurança razoável de que os objetivos organizacionais serão alcançados; V - gestor do risco: autoridade responsável pelo processo de negócio e, consequentemente, por manter os respectivos riscos dentro da margem de apetite a risco da organização; VI - governança: combinação de processos e estruturas implantadas pela alta administração para informar, dirigir, administrar e monitorar as atividades da ANP com o intuito de alcançar os seus objetivos com eficiência e integridade; VII - monitoramento: verificação, supervisão, observação crítica ou identificação de situação, executada de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado; VIII - Plano de Gestão de Riscos e Controles Internos: documento com a identificação, avaliação, tratamentos escolhidos e ações para monitoramento dos riscos; IX - processo de negócio: conjunto de ações e atividades inter-relacionadas executadas para alcançar produto, resultado ou serviço predefinido, colaborando para o atingimento dos objetivos estratégicos da ANP; X - risco: evento interno ou externo cuja ocorrência possa causar impacto no cumprimento dos objetivos organizacionais; um evento de risco pode decorrer de um ou mais elementos e ter origem advinda de fontes associadas a pessoas, eventos externos, tecnologia, processos, sistemas ou infraestrutura física/organizacional, ou então ser decorrente de outro evento de risco, caracterizando um encadeamento de riscos; XI - risco inerente: risco intrínseco à atividade, presente antes da adoção de medidas de resposta ao risco; XII - risco residual: risco remanescente após a adoção de medidas de resposta ao risco;
XIII - riscos de imagem ou de reputação: eventos que possam comprometer a confiança de agentes regulados, de fornecedores ou da sociedade em relação à capacidade da ANP de cumprir sua missão institucional; XIV - riscos financeiros ou orçamentários: eventos que possam comprometer a capacidade da ANP de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária; XV - riscos legais: eventos derivados de alterações legislativas ou normativas que possam comprometer as atividades da ANP, ou ainda aqueles decorrentes de contestações judiciais às ações da ANP; XVI - riscos operacionais: eventos que possam comprometer as atividades da ANP, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas; XVII - riscos regulatórios: eventos derivados de atos normativos da ANP que possam afetar agentes regulados, consumidores ou a sociedade em geral; e XVIII - tolerância a risco: nível máximo de variação temporária e excepcional do apetite a risco, aceitável para o cumprimento de um objetivo específico. CAPÍTULO II PRINCÍPIOS, OBJETIVOS E DIRETRIZES Art. 3º A gestão de riscos da ANP observará os seguintes princípios: I - apoio à tomada de decisão, ao planejamento estratégico e à melhoria contínua dos processos organizacionais; II - proporcionalidade e razoabilidade no estabelecimento de controles internos, priorizando atividades, projetos e processos críticos para o cumprimento da missão da ANP; III - sistematização, estruturação, uso das melhores informações disponíveis e integração com os processos organizacionais; IV - dinamismo, interatividade, transparência e capacidade de reagir a mudanças; e V - consideração dos fatores humanos e culturais da organização, devendo, ao mesmo tempo, ser indutora de inovação. Art. 4º A gestão de riscos da ANP tem por objetivos: I - proteger a Agência dos riscos ao cumprimento de sua missão, de modo a favorecer a alocação de recursos, a continuidade operacional e a prestação de serviços de interesse público; II - aumentar a probabilidade de alcance dos objetivos da Agência, identificando e tratando os riscos para reduzi-los a níveis adequados; III - estabelecer uma base confiável para a tomada de decisão e o planejamento; IV - melhorar o controle interno da gestão, a eficácia e a eficiência operacional, bem como a aprendizagem organizacional; V - subsidiar os processos de Avaliação de Impacto Regulatório baseado em evidências; VI - favorecer a gestão proativa, antecipando ameaças e oportunidades que possam impactar a Agência e a sociedade; VII - subsidiar a elaboração de planos de ação e de comunicação, no caso de ocorrência de eventos indesejáveis; e VIII - proteger bens, ativos e recursos públicos contra o desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida. Art. 5º São diretrizes para a gestão de riscos da ANP: I - a implementação de forma gradual em todas as áreas da Agência, priorizando as unidades organizacionais, os projetos e os processos críticos que impactam o cumprimento dos seus objetivos estratégicos; II - a presença da perspectiva de integridade quando da identificação de riscos; III - a definição de metodologias e procedimentos que resultem na formalização de um Plano de Gestão de Riscos e Controles Internos; IV - a definição de indicadores e implementação de avalições periódicas para medir o desempenho da gestão de riscos e a eficácia dos controles internos, comunicando
o resultado aos responsáveis pela aprovação e pela adoção de ações corretivas e preventivas; e V - a transparência, por meio da criação de meios de comunicação às partes interessadas, do fortalecimento da cultura e da valorização da gestão de riscos e dos controles internos. CAPÍTULO III OPERACIONALIZAÇÃO Art. 6º A operacionalização da gestão de riscos da ANP será descrita na Metodologia de Gestão de Riscos da ANP, que deverá contemplar, no mínimo, as seguintes etapas: I - entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos; II - identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais; III - análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco; IV - avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados; V - priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando-se em consideração os níveis calculados na etapa anterior; VI - definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite a risco estabelecido para os processos organizacionais, além da escolha das medidas de controle associadas a essas respostas; e VII - comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento de riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria gestão de riscos com vistas a sua melhoria. Parágrafo único. A Metodologia de Gestão de Riscos deverá contemplar critérios predefinidos de avaliação, de forma a permitir a comparabilidade entre os riscos. CAPÍTULO III ATRIBUIÇÕES, RESPONSABILIDADES E PROCEDIMENTOS Art. 7º Compete à Diretoria Colegiada: I - estabelecer a estratégia da organização e a estrutura de gerenciamento de riscos, incluindo a aprovação da Política de Gestão de Riscos e Controles Internos; II - fornecer apoio institucional para promover a gestão de riscos, garantindo os recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores; III - promover o alinhamento da gestão de riscos aos padrões de ética e de conduta, em conformidade com o Programa de Integridade da ANP; IV - aprovar o apetite a risco dos processos organizacionais críticos, bem como as respostas e as medidas de controle a serem implementadas nesses processos; e VI - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controle implementadas nos processos organizacionais críticos. Art. 8º O Comitê de Governança, Riscos e Controles e a Assessoria de Gestão de Risco serão as instâncias de supervisão para a gestão de riscos e de controles internos da ANP. Art. 9º Compete ao Comitê de Governança, Riscos e Controles, além das atribuições previstas na Portaria ANP nº 435, de 9 de novembro de 2018: I - aprovar a Metodologia de Gestão de Riscos e suas revisões; II - aprovar os indicadores de desempenho propostos para monitorar o sistema de gestão de riscos e os controles internos; III - auxiliar na definição dos níveis de apetite a risco dos processos organizacionais; IV - auxiliar na definição dos critérios para avaliação de criticidade de atividades, projetos e processos e respectiva priorização;
V - auxiliar na definição das respectivas medidas de controle a serem implementadas nos processos organizacionais; VI - aprovar a estrutura do relatório gerencial a ser desenvolvido pela Assessoria de Gestão de Riscos; e VII - auxiliar na definição de requisitos funcionais necessários à ferramenta de tecnologia para suporte ao processo de gerenciamento de riscos. Art. 10. Compete à Assessoria de Gestão de Risco: I - propor a Metodologia de Gestão de Riscos e suas revisões; II - estabelecer os critérios para avaliação de criticidade de atividades, projetos e processos e definir a respectiva priorização, consultando o Comitê de Governança, Riscos e Controles; III - definir os critérios para aceitação de riscos, consultando o Comitê de Governança, Riscos e Controles; IV - orientar as UORGs na aplicação da metodologia e instrumentos para a identificação e análise de riscos e controles internos; V - revisar e consolidar as análises e avaliações de riscos setoriais, ratificando a criticidade dos riscos identificados pelas UORGs e a pertinência das medidas mitigadoras propostas; VI - definir indicadores de desempenho para avaliar o nível de maturidade da gestão de riscos e a eficácia dos controles internos, comunicando à Diretoria Colegiada sempre que identificada a necessidade de adotar medidas mitigadoras; VII - monitorar o nível de risco e acompanhar o atendimento a recomendações e orientações relacionadas a riscos e controles internos; VIII - liderar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação na ANP; IX - oferecer capacitação continuada em gestão de riscos para os servidores da ANP; X - definir requisitos funcionais necessários à ferramenta de tecnologia de suporte ao processo de gerenciamento de riscos; e XI - encaminhar periodicamente, em período não superior a seis meses, relatórios gerenciais ao Comitê de Governança, Riscos e Controles. Parágrafo único. Excepcionalmente, a Assessoria de Gestão de Riscos poderá avocar parte das atribuições conferidas às UORGs nesta Política de Gestão de Riscos e Controles Internos, mediante comum acordo que defina os termos e prazos da sua atuação. Art. 11. Compete aos gestores das unidades organizacionais (UORGs): I - identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade com a política e a metodologia de gestão de riscos; II - propor respostas e respectivas medidas de controle a serem implementadas nos processos organizacionais sob sua responsabilidade; III - monitorar a evolução dos níveis de riscos e a efetividade das medidas de controles implementadas nos processos organizacionais sob sua responsabilidade; IV - informar a Assessoria de Gestão de Riscos sobre mudanças significativas nos processos organizacionais sob sua responsabilidade; V - responder às requisições da Assessoria de Gestão de Riscos; VI - prestar à Assessoria de Gestão de Riscos e ao Comitê de Governança, Riscos e Controles as informações quanto à gestão dos riscos dos processos sob sua responsabilidade; VII - explicitar causas, consequências, possibilidades de ocorrência e eventuais circunstâncias que favoreçam a consumação de tais eventos, estimando o nível de risco a que a UORG está submetida; VIII - classificar os eventos como de risco de imagem ou reputação, financeiro ou orçamentário, legal, operacional ou regulatório, conforme metodologia a ser desenvolvida; IX - submeter a análise de riscos da UORG e suas revisões à Assessoria de Gestão de Risco;
X - promover a implementação das medidas de mitigação de riscos e de aprimoramento da gestão de riscos e controles internos, de acordo com o Plano de Gestão de Riscos e Controles Internos; e XI - propor à Assessoria de Gestão de Risco aprimoramentos em políticas, diretrizes e normas complementares para a gestão de riscos e controles internos. 1º Os responsáveis pelo gerenciamento de riscos dos processos organizacionais deverão orientar e acompanhar as etapas de identificação, análise, avaliação e implementação das respostas aos riscos. 2º Os gestores das UORGs poderão implementar o processo de gerenciamento de riscos em seus processos organizacionais independentemente de priorização prévia, desde que a implementação esteja de acordo com a Política de Gestão de Riscos e Controles Internos e com a Metodologia de Gestão de Riscos da ANP. Art. 12. Compete a todos os servidores da ANP monitorar a evolução dos níveis de riscos e da efetividade das medidas de controles implementadas nos processos organizacionais em que estiverem envolvidos ou que tiverem conhecimento. Parágrafo único. Caso sejam identificadas mudanças ou fragilidades nos processos organizacionais durante o monitoramento referido no caput, o servidor deverá reportar imediatamente o fato ao responsável pelo gerenciamento de riscos do processo em questão. CAPÍTULO IV DISPOSIÇÕES FINAIS Art. 13. Caberá ao Comitê de Governança, Riscos e Controles avaliar, a cada dois anos, a pertinência de revisão desta Política de Gestão de Riscos e Controles Internos. Art. 14. Os casos omissos ou excepcionalidades serão solucionados pelo Comitê de Governança, Riscos e Controles. Art. 15. Esta Portaria entra em vigor na data de sua publicação. DÉCIO FABRICIO ODDONE DA COSTA Diretor-Geral