O GOVERNADOR DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais,
Decreta:
Artigo 1° - Fica instituída a Política de Gestão de Riscos da Administração Pública direta e autárquica do Estado de São Paulo, com vistas à incorporação da análise de riscos à tomada de decisão em órgãos e entidades, em conformidade com a política de governança estadual.
Parágrafo único - A política a que se refere o "caput" deste artigo abrange conceitos, objetivos, princípios, responsabilidades e o processo de gestão de riscos.
Artigo 2° - Para fins deste decreto, considera-se:
I - alta administração: Secretários de Estado, Procurador Geral do Estado, Controlador-Geral do Estado, dirigentes máximos de autarquias e respectivos substitutos, enquanto respondendo pelo expediente do órgão ou entidade;
II - apetite a risco: nível de risco que os órgãos ou entidades estão dispostos a assumir;
III - controles internos: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, implementados de forma integrada pela alta administração e pelos demais agentes públicos dos órgãos e entidades que, com base em gestão de riscos, forneçam segurança razoável de que os objetivos institucionais serão alcançados;
IV - gestão de riscos: aplicação sistemática de procedimentos e práticas que contemplam as atividades de identificar, analisar, avaliar, tratar e monitorar potenciais eventos que tenham impacto no cumprimento dos objetivos de uma instituição;
V - gestor do risco: pessoa, órgão ou entidade com responsabilidade e autoridade para gerenciar o risco;
VI - governança pública: conjunto de mecanismos de liderança, estratégia e controle para avaliar, direcionar e monitorar a gestão, com vistas à concepção e implementação de políticas públicas e à prestação de serviços públicos;
VII - medidas de controle: medidas adotadas por órgãos ou entidades para tratar os riscos identificados, aumentando a probabilidade de que os objetivos e metas institucionais sejam alcançados;
VIII - objetivo institucional: situação que se deseja alcançar de forma a se evidenciar êxito no cumprimento da finalidade dos órgãos ou entidades;
IX - risco: potencial evento que tenha impacto no cumprimento dos objetivos de uma instituição;
X - tratamento do risco: execução de medidas de controle com a finalidade de modificar um risco identificado, aumentando a probabilidade de que os objetivos institucionais sejam alcançados.
Artigo 3° - O processo de gestão de riscos deverá ser implementado pelos órgãos e entidades, de forma gradual, como ferramenta necessária à consecução dos seus objetivos e à garantia de uma gestão pública de qualidade.
Parágrafo único - Os órgãos e entidades poderão estabelecer práticas de gestão de riscos próprias, de acordo com suas especificidades e estratégias, desde que alinhadas às disposições deste decreto.
Artigo 4° - O processo de gestão de riscos deverá ser implementado de maneira a priorizar os processos de trabalho, projetos, atividades e ações mais estratégicos e que impactam diretamente a consecução dos objetivos dos órgãos e entidades.
Parágrafo único - O dirigente máximo do órgão ou entidade deverá garantir apoio institucional necessário para promover a gestão de riscos, em especial os recursos tecnológicos, financeiros e humanos adequados à efetividade do processo.
Artigo 5° - A Política de Gestão de Riscos tem por objetivo orientar o processo de gestão de riscos no âmbito dos órgãos e entidades da Administração Pública direta e autárquica do Estado de São Paulo, com vistas a:
I - aumentar a probabilidade de consecução dos objetivos institucionais, por meio da identificação de potenciais eventos que possam impactá-los;
II - alinhar a atuação gerencial ao apetite a riscos do órgão ou entidade;
III - aprimorar os controles internos da gestão;
IV - aperfeiçoar os mecanismos de governança e de prestação de contas por decisões tomadas e ações implementadas, contribuindo para o uso eficiente, eficaz e efetivo de recursos;
V - disseminar a cultura de gestão de riscos;
VI - agregar valor à instituição ao estabelecer uma base confiável para o planejamento e tomada de decisão;
VII - adequar os controles internos ao tratamento dos riscos.
Artigo 6° - A Política de Gestão de Riscos observará as seguintes diretrizes:
I - agregar valor à gestão e proteger o ambiente interno;
II - ser parte integrante dos processos institucionais;
III - apresentar abordagem sistemática, estruturada, abrangente e oportuna;
IV - expressar dinamismo, iteratividade e pronta capacidade de resposta a mudanças;
V - utilizar as melhores informações disponíveis;
VI - considerar fatores humanos e culturais;
VII - fomentar a melhoria contínua, por meio do aprendizado e de experiências;
VIII - subsidiar a tomada de decisões.
Artigo 7° - As responsabilidades quanto à gestão de riscos organizam-se em três linhas de atuação, compreendendo:
I - primeira linha: servidores e empregados públicos responsáveis pelo gerenciamento direto dos riscos nos níveis estratégicos, táticos ou operacionais, como os gestores de unidades, de processos de trabalho, de projetos, de atividades, de ações, de contratos e de demais instrumentos congêneres;
II - segunda linha: servidores e empregados públicos responsáveis pelos controles internos e gestão de riscos, que têm como objetivo apoiar e monitorar, mediante fornecimento de conhecimento e de ferramentas adequadas, os gestores de que trata o inciso I deste artigo;
III - terceira linha: Controladoria Geral do Estado, responsável pela avaliação objetiva e independente da gestão de riscos, controles internos e governança.
Artigo 8° - À primeira linha de que trata o inciso I do artigo 7° deste decreto, cabe:
I - selecionar os processos, projetos, atividades e ações que terão seus riscos gerenciados, considerando as prioridades do órgão ou entidade, observada a Política de Gestão de Riscos;
II - elaborar os planos de ação para o tratamento dos riscos, considerando o apetite a riscos do órgão ou entidade;
III - avaliar os resultados obtidos com o processo de gestão de riscos.
Artigo 9° - À segunda linha de que trata o inciso II do artigo 7° deste decreto, responsável pelos controles internos e gestão de riscos, cabe:
I - apoiar os gestores de riscos de primeira linha em suas atribuições, especialmente na implantação, monitoramento e melhoria dos controles internos estabelecidos na gestão de riscos;
II - acompanhar a evolução dos níveis de risco e da efetividade dos planos de ação;
III - monitorar os riscos que impactam a consecução dos objetivos estratégicos;
IV - avaliar a adequação, suficiência e eficácia do processo de gestão de riscos;
V - assessorar o Comitê Interno de Governança do órgão ou entidade nos temas técnicos relacionados à gestão de riscos.
Artigo 10 - A Controladoria Geral do Estado, em relação à atuação de que trata o inciso III do artigo 7° deste decreto, tem as seguintes atribuições:
I - avaliar as atividades dos gestores de riscos de primeira e de segunda linha, no que tange à eficácia dos controles internos e da gestão de riscos, assessorando-os quanto às melhores práticas;
II - verificar a conformidade das atividades executadas à Política de Gestão de Riscos;
III - avaliar o desempenho da gestão de riscos, com vistas a promover a melhoria contínua do processo e a auxiliar o órgão ou entidade a alcançar seus objetivos estratégicos.
Artigo 11 - O Comitê Interno de Governança do órgão ou entidade, relativamente à política de que trata este decreto, tem as seguintes atribuições:
I - definir os limites de apetite a risco no nível institucional;
II - aprovar os planos de ação e as respectivas medidas de controle a serem implementadas;
III - zelar pelo alinhamento da gestão de riscos aos padrões de conduta e integridade, assim como ao planejamento estratégico.
Artigo 12 - O processo de gestão de riscos compreende as seguintes etapas:
I - entendimento do contexto: conhecer os objetivos institucionais e os processos a eles relacionados, assim como definir os contextos internos e externos a serem levados em consideração ao gerenciar os riscos;
II - identificação e análise de riscos: levantar os possíveis riscos relativos aos processos, projetos, atividades e ações, bem como suas causas e consequências;
III - avaliação de riscos: estimar os níveis dos riscos identificados, avaliando a gravidade com base em critérios de impacto, probabilidade de ocorrência e definição do apetite a riscos;
IV - tratamento de riscos: definir as medidas de controle, de acordo com o apetite a risco estabelecido;
V - comunicação e monitoramento: acompanhar o desempenho e verificar a adequação e suficiência dos controles internos, mantendo um fluxo contínuo de compartilhamento de informações entre as partes interessadas.
Artigo 13 - O Controlador Geral do Estado editará normas complementares necessárias ao cumprimento deste decreto.
Artigo 14 - A Política de Gestão de Riscos deve ser objeto de revisão periódica, com vistas a sua melhoria contínua.
Artigo 15 - Os representantes do Estado nas fundações instituídas ou mantidas pelo Poder Público adotarão as providências necessárias ao cumprimento deste decreto, em seus respectivos âmbitos.
Artigo 16 - Este decreto entra em vigor na data da sua publicação.
Palácio dos Bandeirantes, 9 de dezembro de 2023.
TARCÍSIO DE FREITAS
Arthur Luis Pinho de Lima
Secretário-Chefe da Casa Civil
Edson Alves Fernandes
Secretário Executivo, Respondendo pelo Expediente da Secretaria de Agricultura e Abastecimento
Jorge Luiz Lima
Secretário de Desenvolvimento Econômico
Marilia Marton Correa
Secretária da Cultura, Economia e Indústria Criativas
Renato Feder
Secretário da Educação
Samuel Yoshiaki Oliveira Kinoshita
Secretário da Fazenda e Planejamento
Marcelo Cardinale Branco
Secretário de Desenvolvimento Urbano e Habitação
Sonaira Fernandes de Santana Souza
Secretária de Políticas para a Mulher
Fábio Prieto de Souza
Secretário da Justiça e Cidadania
Natália Resende Andrade Ávila
Secretária de Meio Ambiente, Infraestrutura e Logística
Gilberto Nascimento Silva Junior
Secretário de Desenvolvimento Social
Lais Vita Merces Souza
Secretária de Comunicação
Eleuses Vieira de Paiva
Secretário da Saúde
Guilherme Muraro Derrite
Secretário da Segurança Pública
Marcello Streifinger
Secretário da Administração Penitenciária
Marco Antonio Assalve
Secretário dos Transportes Metropolitanos
Helena dos Santos Reis
Secretária de Esportes
Roberto Alves de Lucena
Secretário de Turismo e Viagens
Marcos da Costa
Secretário dos Direitos da Pessoa com Deficiência
Rafael Antonio Cren Benini
Secretário de Parcerias em Investimentos
Caio Mario Paes de Andrade
Secretário de Gestão e Governo Digital
Marco Aurélio dos Santos Rocha
Secretário Executivo, Respondendo pelo Expediente da Secretaria de Negócios Internacionais
Vahan Agopyan
Secretário de Ciência, Tecnologia e Inovação
Gilberto Kassab
Secretário de Governo e Relações Institucionais
Publicado na Casa Civil, aos 9 de dezembro de 2023.
Retificações do D.O. de 12-12-2023
No referendo leia-se como segue e não como constou:
André Isper Rodrigues Barnabé
Secretário Executivo, Respondendo pelo Expediente da Secretaria Parcerias em Investimentos