Brasão

Tribunal Regional Eleitoral - BA

Secretaria de Gestão Administrativa e Serviços

Coordenadoria de Gestão da Informação

Seção de Gestão da Informação (SEINFO)

RESOLUÇÃO ADMINISTRATIVA Nº 16, DE 13 DE JUNHO DE 2018

Institui o Sistema de Gestão de Riscos (SGR) no âmbito do Tribunal Regional Eleitoral da Bahia e dá outras providências.

CONSIDERANDO a observância aos princípios da eficiência, inserto no art. 37, da Constituição Federal ; do planejamento e controle, expressos no art. 6º, do Decreto-Lei nº 200, de 25 de fevereiro de 1967 ; e da eficácia e efetividade dispostos nos arts. 7º, III , e 20, II, da Lei nº 10.180, de 6 de fevereiro de 2001 , que impõem a todo agente público o dever de realizar suas atribuições com presteza, qualidade e rendimento funcional, de modo a alcançar os melhores resultados na prestação do serviço público;

CONSIDERANDO as recomendações atinentes à gestão de riscos na administração pública federal, constantes dos Acórdãos nº 2.467/2013 e 242, 548, 605, 673, 1.220, 1.273, 1.294, 2.213 e 2.524/2015, do Plenário do TCU;

CONSIDERANDO as orientações do Tribunal de Contas da União, constantes das decisões normativas que regulamentam a elaboração anual dos relatórios de gestão das unidades jurisdicionadas, no que se refere ao aprimoramento das estruturas de governança e de autocontrole da gestão, aferidas por meio de avaliações periódicas para acompanhamento da maturidade dos Órgãos sob sua jurisdição;

CONSIDERANDO a importância da gestão de riscos para o Tribunal Regional Eleitoral da Bahia no alcance dos objetivos estratégicos organizacionais;

CONSIDERANDO a Norma ABNT NBR ISO 31000:2009, que estabelece princípios e diretrizes para a gestão de riscos e o COSO que aborda gerenciamento de riscos corporativos de forma integrada à estratégia organizacional;

CONSIDERANDO a declaração de posicionamento do Instituto de Auditores Internos intitulada As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles, que esclarece papéis e responsabilidades no gerenciamento de riscos corporativos;

CONSIDERANDO a necessidade de definir os responsáveis pela tomada de decisão, estruturas de apoio e processos relacionados à gestão de riscos;

CONSIDERANDO, finalmente, o disposto no art. 13, da Resolução TSE nº 23.501, de 19 de dezembro de 2016, que exige a implementação de processo de gestão de riscos de ativos de informação e de processamento dos Tribunais Regionais Eleitorais,

RESOLVE:

Art. 1º Instituir o Sistema de Gestão de Riscos (SGR) do Tribunal Regional Eleitoral da Bahia (TRE-BA), observado o disposto nesta Resolução.

§ 1º Para efeito desta Resolução, SGR consiste no conjunto de instrumentos de governança e de gestão que suportam a concepção, implementação, monitoramento e melhoria contínua da gestão de riscos através de toda a organização e compreende, entre outros: política, estruturas, princípios, diretrizes, objetivos, planos, relacionamentos, processos, responsabilidades atividades e recursos relacionados.

§ 2º Integram-se ao SGR as normas internas que regulamentam aspectos específicos dessas atividades no âmbito do TRE-BA, a exemplo da Política de Segurança da Informação (PSI).

TÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 2º Para os efeitos desta Resolução consideram-se:

I Alta Administração: compreende o Pleno, o Presidente, o Vice-Presidente e o Titular da Diretoria-Geral;

II princípios: conjunto de normas ou padrões de conduta que orientam a tomada de decisão e devem ser seguidos pela instituição;

III diretrizes: conjunto de instruções ou indicações para alcançar um determinado objetivo, fixando parâmetros básicos de governança e gestão da organização;

IV política: instruções claras e mensuráveis de direção e comportamento desejado de forma a condicionar as decisões tomadas no âmbito da instituição;

V política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos;

VI processo: aplicação sistemática de políticas, procedimentos, práticas e atividades, visando ao alcance de objetivos ou à entrega de produtos e serviços;

VII processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos;

VIII processo de avaliação de riscos: processo global de identificação, análise e avaliação de riscos;

IX risco: efeito da incerteza sobre os objetivos, medido em termos de probabilidade e impacto;

X risco inerente: é o risco próprio, agregado ou inerente à atividade desenvolvida, anterior a qualquer tratamento;

XI risco residual: parcela do risco inerente não modificada por tratamento. Pode ser chamado de risco retido ou remanescente;

XII perfil de risco: descrição de um conjunto qualquer de riscos que dizem respeito a toda a organização, parte da organização, ou referente ao qual tiver sido definido;

XIII análise de riscos: processo de compreender a natureza do risco e determinar o seu nível, fornecendo a base para a avaliação de riscos e para as decisões sobre o respectivo tratamento, incluindo a estimativa de riscos;

XIV gestão: conjunto de atividades de planejamento, desenvolvimento, execução e monitoramento de atividades em consonância com a direção definida pela governança a fim de atingir os objetivos corporativos;

XV governança: compreende essencialmente os mecanismos de liderança, estratégia e controle, postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;

XVI gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos;

XVII estabelecimento de contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, do escopo e dos critérios de risco para a política de gestão de riscos;

XVIII contexto externo: ambiente externo no qual a organização busca atingir seus objetivos, podendo incluir o ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, seja internacional, nacional, regional ou local, os fatores chave e as tendências que tenham impacto sobre os objetivos da organização e as relações com partes interessadas externas e suas percepções e valores;

XIX contexto interno: ambiente interno no qual a organização busca atingir seus objetivos, podendo incluir governança, estrutura organizacional, funções, responsabilidades, políticas, objetivos e estratégias implementadas para atingi-los, capacidades compreendidas em termos de recursos e conhecimento, sistemas de informação, fluxos de informação e processos de tomada de decisão, relações com partes interessadas internas e suas percepções e valores, cultura da organização, normas, diretrizes e modelos adotados pela organização e forma e extensão das relações contratuais;

XX parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade;

XXI - nível do risco: medida da importância ou significância do risco, considerando a probabilidade de ocorrência do evento e o seu impacto nos objetivos;

XXII critérios de risco: termos de referência contra os quais a significância de um risco é avaliada, podendo ser baseados nos objetivos organizacionais, no contexto interno/externo ou derivados de normas, leis, políticas e outros requisitos;

XXIII tratamento de riscos: processo para modificar o risco;

XXIV monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;

XXV - organização estendida: conjunto de interdependências da instituição com outras organizações;

XXVI - objeto de gestão de riscos: qualquer processo de trabalho, atividade, projeto, iniciativa, ação ou plano institucional, assim como os recursos que dão suporte à realização dos objetivos da organização;

XXVII - evento: um ou mais incidentes ou ocorrências, proveniente do ambiente interno ou externo, ou mudança em um conjunto específico de circunstâncias, podendo também consistir em algo não acontecer;

XXVIII impacto: resultado de um evento que afeta os objetivos;

XXIX probabilidade: chance de algo acontecer;

XXX gestor de riscos: servidor com autoridade e responsabilidade para gerenciar riscos e com competência para orientar e acompanhar as ações de identificação, avaliação, resposta e monitoramento de risco;

XXXI Plano de Tratamento de Riscos: conjunto de ações selecionadas pelos gestores de riscos, com indicação de procedimentos, atribuições de responsabilidades e prazos para implementação, com vistas identificar, avaliar, tratar e monitorar os riscos dos processos institucionais;

XXXII Plano de Gestão de Riscos-Chave: conjunto de ações deliberadas pelo Conselho de Governança, embasado nos objetivos estratégicos e nos planos de tratamento de riscos propostos pelos supervisores de riscos;

XXXIII Manual de Gestão de Riscos: conjunto de procedimentos sistematizados que definem uma metodologia de gestão de riscos para a organização, a fim de orientar os gestores na condução dos processos, projetos e atividades;

XXXIV apetite ao risco: grau de exposição a incertezas que a organização está disposta a aceitar para alcançar seus objetivos; e

XXXV controles internos: conjunto de regras, métodos, procedimentos, protocolos, rotinas, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada na organização, destinados a enfrentar os riscos a que ela está exposta e fornecer segurança razoável para a consecução da missão institucional e objetivos organizacionais;

CAPÍTULO I

DOS PRINCÍPIOS

Art. 3º A gestão de riscos no TRE-BA observará os seguintes princípios:

I criar, aumentar e proteger valores institucionais: deve estar alinhada à gestão institucional de maneira a assegurar, de forma razoável, o alcance dos objetivos organizacionais, aprimorando o seu desempenho;

II fazer parte dos processos organizacionais: deve ser de responsabilidade de todos os gestores, alcançar todos os níveis organizacionais, sendo parte integrante de todos os processos de trabalho, projetos e planos de ação;

III subsidiar a tomada de decisões: deve auxiliar os gestores a fazer escolhas conscientes, priorizando ações e distinguindo entre formas alternativas de ação;

IV abordar explicitamente a incerteza: deve levar em consideração a incerteza, a natureza dessa incerteza e como ela pode ser tratada;

V ser sistemática, estruturada e oportuna: deve fazer parte da gestão organizacional de modo a contribuir para a eficiência dos processos de trabalho, dos projetos, dos planos de ação e para o alcance de resultados consistentes, comparáveis e confiáveis;

VI ser baseada nas melhores informações disponíveis: deve ser provida de informações tempestivas e confiáveis, baseadas em dados históricos, experiências, retorno das partes interessadas, observações, previsões e opiniões de especialistas;

VII ser elaborada sob medida: deve estar alinhada com o contexto interno e externo da organização e com o perfil do risco;

VIII considerar a importância dos fatores humanos e culturais: deve reconhecer as capacidades, percepções e intenções de pessoas internas e externas que podem facilitar ou dificultar a realização dos objetivos da organização;

IX ser transparente e inclusiva: deve envolver de maneira apropriada e oportuna as partes interessadas e, em particular, os tomadores de decisões em todos os níveis da organização, a fim de assegurar sua pertinente e constante atualização;

X ser dinâmica, iterativa e capaz de reagir a mudanças: deve perceber e reagir continuamente a mudanças internas e externas, respondendo a elas tempestivamente; e

XI apoiar a melhoria contínua da organização: deve subsidiar a organização no desenvolvimento e na implementação de estratégias para melhorar sua maturidade em gestão de riscos.

CAPÍTULO II

DAS DIRETRIZES

Art. 4º São diretrizes para a gestão de riscos:

I a gestão de riscos deve ser sistematizada e suportada pelas premissas da Norma ABNT NBR ISO 31000:2009, do COSO e de boas práticas reconhecidas;

II a atuação da gestão de riscos deve ser dinâmica e formalizada por meio de metodologias, normas, manuais e procedimentos;

III as metodologias e ferramentas implementadas devem possibilitar a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para a gestão e a manutenção dos riscos dentro de padrões definidos pelo Tribunal;

IV a medição do desempenho da gestão de riscos deve ser realizada mediante atividades contínuas, ou avaliações independentes, ou por intermédio da combinação de ambas;

V a capacitação de pessoal em gestão de riscos deve ser desenvolvida de forma continuada, em todos os níveis organizacionais;

VI - o desenvolvimento e implementação de atividades de controle da gestão deve considerar a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades que impactam os objetivos institucionais; e

VII - a utilização de procedimentos de controles internos proporcionais aos riscos e baseada na relação custo-benefício e na agregação de valor à instituição.

Art. 5º A gestão de riscos deverá estar integrada aos processos de planejamento estratégico, tático e operacional, à gestão e à cultura organizacional do Tribunal, compreendendo as seguintes categorias de riscos:

a) riscos estratégicos: são os relacionados à tomada de decisão pela Alta Administração, que podem impactar o alcance das metas estratégicas;

a) riscos estratégicos: são os relacionados à tomada de decisão pela Alta Administração, que podem impactar diretamente o atingimento dos objetivos estratégicos; (Redação dada pela Resolução Administrativa nº 27/2019 )

b) riscos operacionais: são os relacionados a procedimentos ou processos internos;

c) riscos de conformidade: são os relacionados ao não atendimento à legislação, normas e procedimentos vigentes;

c) riscos à conformidade: são os relacionados ao não atendimento à legislação, normas e procedimentos vigentes; ( Redação dada pela Resolução Administrativa nº 29/2021)

d) riscos de imagem: são os que podem comprometer a imagem da instituição junto à população ou a outros órgãos da Administração Pública;

d) riscos à imagem: são os que podem comprometer a imagem da instituição junto à população ou a outros órgãos da Administração Pública; ( Redação dada pela Resolução Administrativa nº 29/2021)

e) riscos-chave: são os estratégicos e operacionais relevantes para o negócio, relacionados aos objetivos-chave da organização.

e) riscos-chave: são os estratégicos e os que, em função do impacto potencial ao Tribunal, devem ser conhecidos pela Alta Administração; (Redação dada pela Resolução Administrativa nº 27/2019 )

f) riscos à integridade: são os relacionados à corrupção, fraudes, irregularidades e/ou desvios éticos de conduta, que possam comprometer os valores e padrões preconizados pela Instituição e a realização de seus objetivos. (Acrescido pela Resolução Administrativa nº 27/2019 )

CAPÍTULO III

DOS OBJETIVOS

Art. 6º O Sistema de Gestão de Riscos do TRE-BA tem por objetivos:

I estabelecer princípios e diretrizes para o gerenciamento de riscos no âmbito organizacional;

II dar suporte à missão, à continuidade do negócio e à sustentabilidade institucional, pela razoável asseguração dos objetivos estratégicos;

III produzir informações íntegras e confiáveis à tomada de decisão, ao cumprimento de obrigações de transparência e à prestação de contas;

IV assegurar a conformidade com leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos;

V possibilitar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais o Tribunal está exposto;

VI aumentar a probabilidade de alcance dos objetivos institucionais, reduzindo os riscos a níveis aceitáveis;

VII - melhorar a governança;

VIII agregar valor por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos decorrentes de sua materialização;

IX - fomentar a inovação e a ação empreendedora responsáveis;

X - minimizar perdas;

XI - ser implantada por meio de ciclos de revisão e melhoria contínua; e

XII - ser dirigida, apoiada e monitorada pela Alta Administração.

TÍTULO II

DA ESTRUTURA, COMPETÊNCIAS E RESPONSABILIDADES

Art. 7º A gestão de riscos é parte integrante dos processos de trabalho e iniciativas organizacionais e constitui responsabilidade:

I do Gestor de Riscos;

II do Supervisor de Riscos;

III - da Coordenadoria de Planejamento, Estratégia e Gestão (COPEG)

IV do Comitê de Segurança da Informação (CSI); e

IV - do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais (CGSIPD); e (Redação dada pela Resolução Administrativa nº 6/2021)

IV- do Comitê de Governança de Segurança da Informação (CGSI); (Redação dada pela Resolução Administrativa nº36/2022)

V do Conselho de Governança.

V - do Conselho de Governança; (Redação dada pela Resolução Administrativa nº36/2022)

VI - do Comitê Gestor de Proteção de Dados Pessoais (CGPD). (Incluído pela Resolução Administrativa nº36/2022)

§1º O CGSI deverá atuar como consolidador do Plano de Tratamento de Riscos de ativos de informação e de processamento do TRE-BA. (Incluído pela Resolução Administrativa nº36/2022)

§2º O CGPD deverá atuar como consolidador do Plano de Tratamento de Riscos de proteção de dados pessoais do TRE-BA. (Incluído pela Resolução Administrativa nº36/2022)

Parágrafo único. O CSI deverá atuar como consolidador do Plano de Tratamento de Riscos de ativos de informação e de processamento do TRE-BA.

Parágrafo único. O CGSIPD deverá atuar como consolidador do Plano de Tratamento de Riscos de ativos de informação, de proteção de dados pessoais e de processamento do TRE-BA. (Redação dada pela Resolução Administrativa nº 6/2021)(Revogado pela Resolução Administrativa nº36/2022)

Art. 8º Integram a primeira linha de defesa no gerenciamento de riscos do TRE-BA, responsável pelo controle direto e contínuo de gerência, notadamente no que tange à instituição e prática de controles internos, os seguintes gestores de riscos, em seus respectivos âmbitos e escopos de atuação:

I os Assessores;

II os Coordenadores;

III- os Chefes de Seção;

IV os Chefes de Cartório;

V os Oficiais de Gabinete;

VI os Assistentes de Núcleos;

VII os gerentes de projetos;

VIII os fiscais de contratos; e

Parágrafo único. Serão também considerados gestores de riscos os titulares de cargos ou funções equivalentes, responsáveis pelos processos de trabalho e iniciativas desenvolvidas no âmbito da Justiça Eleitoral da Bahia.

Art. 9º Integram a segunda linha de defesa no gerenciamento de riscos do TRE-BA, responsável pela supervisão de riscos e de conformidade regulatória (compliance), os seguintes supervisores de risco:

I o Presidente do TRE-BA;

II o Vice-Presidente do TRE-BA;

III - o Corregedor Regional Eleitoral;

IV o Juiz Diretor da Escola Judiciária Eleitoral;

V o Juiz Ouvidor;

VI os Juízes Eleitorais da Segunda Instância;

VII os Juízes Eleitorais da Primeira Instância;

VIII o titular da Diretoria-Geral; e

IX os Secretários.

IX – o titular da Coordenadoria de Planejamento de Estratégia e Gestão - COPEG. (Redação dada pela Resolução Administrativa nº 27/2019 )

X – os(as) Secretários(as); e ( Incluído pela Resolução Administrativa nº 29/2021)

XI – o Comitê Gestor Regional de Priorização do Primeiro Grau. ( Incluído pela Resolução Administrativa nº 29/2021)

Art. 10. Integra a terceira linha de defesa no gerenciamento de riscos do TRE-BA, a Secretaria de Auditoria Interna, responsável pela avaliação independente e objetiva da eficácia da primeira e segunda linhas, por meio do exame dos sistemas de governança e gestão, controle interno e gerenciamento de riscos em nível de entidade e de atividade.

Art. 10. Integra a terceira linha de defesa no gerenciamento de riscos do TRE-BA a Coordenadoria de Auditoria Interna, responsável pela avaliação independente e objetiva da eficácia da primeira e segunda linhas, por meio do exame dos sistemas de governança e gestão, controle interno e gerenciamento de riscos em nível de entidade e de atividade. (Redação dada pela Resolução Administrativa nº 27/2019 )

Art. 11. Compete ao aos gestores de riscos:

Art. 11. Compete aos gestores de riscos: (Redação dada pela Resolução Administrativa nº 27/2019 )

I estabelecer as especificidades do contexto para o processo de gestão de riscos, fornecendo subsídios para a elaboração do Plano de Tratamento de Riscos da unidade a que está vinculado, em seus respectivos âmbitos e escopo de atuação;

II - executar as atividades do processo de gestão de riscos, inclusive daqueles associados à segurança da informação, previstas no Título

III desta Resolução, de acordo com o disposto no Manual de Gestão de Riscos, para os objetos de gestão sob sua responsabilidade;

III prover o suporte ao Supervisor de Riscos, na elaboração do Plano de Tratamento de Riscos e elaboração dos respectivos relatórios analíticos;

IV consultar e comunicar as partes interessadas no processo de gestão de riscos, sempre que reputar necessário; e

V disponibilizar as informações adequadas quanto à gestão dos riscos dos processos sob sua responsabilidade ao Supervisor de riscos, à COPEG, ao Conselho de Governança e demais partes interessadas.

V – disponibilizar as informações adequadas, quanto à gestão dos riscos dos processos sob sua responsabilidade, ao supervisor de riscos, à COPEG, ao Conselho de Governança e demais partes interessadas. (Redação dada pela Resolução Administrativa nº 27/2019 )

Art. 12. Compete aos supervisores de riscos:

I - apresentar Plano de Tratamento de Riscos e respectivas revisões anuais, acompanhados de relatórios sucintos descritivos de ações de gestão de riscos executadas no período e respectivos resultados aferidos por meio de indicadores;

I – apresentar Plano de Tratamento de Riscos consolidado e respectivas revisões anuais, acompanhados de relatórios de ações de gestão de riscos executadas no período; (Redação dada pela Resolução Administrativa nº 27/2019 )

II informar à COPEG sobre mudanças significativas nos processos organizacionais sob sua responsabilidade;

III responder às requisições da COPEG e do Conselho de Governança; e

IV dirimir dúvida quanto à identificação do Gestor de Riscos referente a processo e iniciativas afetos à sua unidade.

V – promover a evolução gradual do Plano de Tratamento de Riscos sob sua supervisão, por meio da identificação, análise, avaliação e resposta a novos riscos, considerando os critérios de priorização e objetos de gestão aprovados pelo Conselho de Governança; (Acrescido pela Resolução Administrativa nº 27/2019 )

VI – criar, com o apoio da COPEG, e promover a medição de indicador de desempenho relacionado a risco-chave sob sua supervisão, quando assim recomendado pela Secretaria de Planejamento, de Estratégia e de Eleições; e (Acrescido pela Resolução Administrativa nº 27/2019 )

VII – aprovar e consolidar os Planos de Tratamentos das unidades sob sua supervisão. (Acrescido pela Resolução Administrativa nº 27/2019 )

VIII – prestar o suporte necessário aos(às) gestores(as) sob sua supervisão na implementação e monitoramento contínuo dos controles internos destinados a mitigar os riscos identificados; e ( Incluído pela Resolução Administrativa nº 29/2021)

IX – alertar os(as) gestores(as) de riscos sobre questões emergentes e mudanças no cenário regulatório e de riscos.” (NR) ( Incluído pela Resolução Administrativa nº 29/2021)

Art. 12-A. Compete à Secretaria de Planejamento de Estratégia e de Eleições: (Acrescido pela Resolução Administrativa nº 27/2019 )

I – assessorar o Presidente do Tribunal, fornecendo elementos e demais informações necessárias para a tomada de decisão relativa às diretrizes de riscos do TRE-BA; (Acrescido pela Resolução Administrativa nº 27/2019 )

II – assessorar a Alta Administração na tomada de decisão relativa aos riscos estratégicos e riscos-chave; (Acrescido pela Resolução Administrativa nº 27/2019 )

III – propor ao Conselho de Governança os critérios e os objetos de gestão de riscos a serem priorizados na evolução dos planos de tratamento das unidades do Tribunal; (Acrescido pela Resolução Administrativa nº 27/2019 )

IV – propor a formulação de estratégias e diretrizes de gestão de riscos do TRE-BA; (Acrescido pela Resolução Administrativa nº 27/2019 )

V – submeter à apreciação do Conselho de Governança os relatórios de gestão dos riscos-chave consolidados pela COPEG. (Acrescido pela Resolução Administrativa nº 27/2019 )

V – submeter à apreciação do Conselho de Governança o Plano de Gestão de Riscos-Chave e respectivas revisões e relatórios, consolidados pela COPEG. ( Redação dada pela Resolução Administrativa nº 29/2021)

VI – recomendar aos supervisores de riscos a criação e medição de indicador de desempenho para monitoramento de risco-chave sob sua supervisão, quando entender necessário. (Acrescido pela Resolução Administrativa nº 27/2019 )

Art. 13. Compete à COPEG:

I assessorar o Presidente do Tribunal, fornecendo elementos e demais informações necessárias para a tomada de decisão relativa às diretrizes de riscos do TRE-BA;

I – consolidar os relatórios de gestão dos riscos-chave; (Redação dada pela Resolução Administrativa nº 27/2019 )

II propor a formulação de estratégias e diretrizes de gestão de riscos do TRE-BA;

II – monitorar a efetividade da gestão dos riscos-chave; (Redação dada pela Resolução Administrativa nº 27/2019 )

III monitorar, sistematicamente o cumprimento da política de gestão de riscos, com vistas a assegurar sua eficácia e o cumprimento dos objetivos, sugerindo melhorias para os procedimentos adotados;

IV consolidar e submeter à apreciação do Conselho de Governança os relatórios de gestão dos riscos estratégicos, identificando os que possam impactar as metas do Órgão;

IV – orientar os gestores na identificação, análise e avaliação dos riscos, definição de respostas e na elaboração dos planos de gestão de riscos a serem adotados em suas atividades, bem como na criação de indicadores de desempenho, quando for o caso; (Redação dada pela Resolução Administrativa nº 27/2019 )

V monitorar a efetividade da gestão dos riscos estratégicos, operacionais, de imagem e de conformidade;

V – propor e medir indicadores de desempenho para acompanhamento da gestão de riscos no Órgão; (Redação dada pela Resolução Administrativa nº 27/2019 )

VI orientar os gestores na identificação, análise, avaliação dos riscos, definição de respostas e na elaboração dos planos de gestão de riscos a serem adotados em suas atividades;

VI – propor criação de indicador de desempenho específico para monitoramento de risco-chave, quando entender pertinente; (Redação dada pela Resolução Administrativa nº 27/2019 )

VII apresentar proposta de limite de exposição a riscos e de melhoria do SGR ao Conselho de Governança;

VII – apoiar o Secretário de Planejamento de Estratégia e de Eleições nas atribuições listadas no art. 12-A. (Redação dada pela Resolução Administrativa nº 27/2019 )

VIII consolidar e submeter o Plano Geral de Riscos-Chave ao Conselho de Governança para aprovação;

VIII - consolidar o Plano de Gestão de Riscos-Chave, respectivas revisões e relatórios, e encaminhá-los à SPL, para providências com vistas à apreciação pelo Conselho de Governança; ( Redação dada pela Resolução Administrativa nº 29/2021)

IX propor a metodologia de gerenciamento de riscos do TRE-BA;

X propor indicadores de desempenho para acompanhamento da gestão de riscos;

X – propor e medir indicadores de desempenho para acompanhamento da gestão de riscos no Órgão; (Redação dada pela Resolução Administrativa nº 27/2019 ) ( Revogado pela Resolução Administrativa nº 29/2021)

XI - assessorar a Alta Administração na tomada de decisão relativa aos riscos estratégicos;

XI – acompanhar a evolução da maturidade organizacional em gerenciamento de riscos; (Redação dada pela Resolução Administrativa nº 27/2019 )

XII acompanhar as ações de tratamento e controle dos riscos-chave, a partir dos relatórios consolidados das unidades do Tribunal; e

XIII acompanhar a evolução da maturidade organizacional em gerenciamento de riscos. (Revogado pela Resolução Administrativa nº 27/2019 )

Art. 14. Compete ao Conselho de Governança:

I - avaliar propostas de limite de exposição a riscos e de melhoria do SGR;

II - acompanhar a situação dos riscos-chave e determinar eventuais ações corretivas;

III - aprovar o Plano de Gestão de Riscos-Chave;

IV aprovar o Plano de Tratamento de Riscos e respectivas revisões, contemplando ações a serem implementadas nos processos e iniciativas organizacionais; (Revogado pela Resolução Administrativa nº 27/2019 )

V deliberar sobre indicadores de desempenho para a gestão de riscos;

V – deliberar sobre indicadores de desempenho para a gestão de riscos no Órgão e os relacionados aos riscos-chave; (Redação dada pela Resolução Administrativa nº 27/2019 )

VI garantir o apoio institucional para promover a gestão de riscos, em especial seus recursos, o relacionamento entre as partes interessadas e o desenvolvimento contínuo dos servidores;

VII definir ações para disseminação da cultura de gestão de riscos; (Revogado pela Resolução Administrativa nº 27/2019 )

VIII emitir e monitorar as recomendações e orientações para o aprimoramento da gestão de riscos;

IX promover  a revisão periódica e a atualização do SGR do TRE-BA; (Revogado pela Resolução Administrativa nº 27/2019 )

X deliberar sobre a segurança da informação no tocante à gestão de riscos;

X – deliberar sobre a gestão de riscos no tocante à segurança da informação; (Redação dada pela Resolução Administrativa nº 27/2019 )

XI apreciar relatórios descritivos e analíticos submetidos pela COPEG;

XII dirimir dúvida suscitada quanto à responsabilidade pela gestão de determinado risco entre unidades representadas no Conselho de Governança; e

XIII praticar outros atos de natureza estratégica e administrativa necessários ao exercício de suas responsabilidades.

Art. 15. Compete ao Comitê de Segurança da Informação:

I - assessorar o Conselho de Governança, provendo os subsídios necessários ao acompanhamento e desenvolvimento da segurança da informação no TRE-BA, em alinhamento com a PSI instituída; (Revogado pela Resolução Administrativa nº 27/2019 )

II propor ao Conselho de Governança e implementar ações, métricas, responsabilidades e mecanismos que visem à melhoria da gestão da segurança das informações digitais de acordo com padrões nacionais e internacionais; (Revogado pela Resolução Administrativa nº 27/2019 )

III apresentar ao Conselho de Governança propostas de diretrizes e políticas para a gestão de riscos relacionados à segurança da informação; (Revogado pela Resolução Administrativa nº 6/2021)

IV propor aos gestores de riscos processos de trabalho, métodos, técnicas, ferramentas, arquitetura e padrões aplicáveis ao provimento de repostas a riscos relacionados à segurança da informação, observados os princípios e diretrizes estabelecidos; (Revogado pela Resolução Administrativa nº 6/2021  )

V acompanhar a execução dos planos e projetos da segurança da informação e respectivos indicadores de desempenho;

V – identificar, avaliar, tratar e monitorar riscos e mapear vulnerabilidades nos ativos. (Redação dada pela Resolução Administrativa nº 27/2019 ) (Revogado pela Resolução Administrativa nº 6/2021)

VI auxiliar os gestores na identificação, análise, avaliação e tratamento de riscos associados à segurança da informação; e (Revogado pela Resolução Administrativa nº 6/2021)

VII desenvolver outras atribuições inerentes à sua finalidade. (Revogado pela Resolução Administrativa nº 6/2021)

TÍTULO III

DO PROCESSO

Art. 16. O processo de gestão de riscos no TRE-BA contemplará o modelo estabelecido na norma ABNT NBR ISO 31000:2009, observada a ordem relacionada a seguir:

I - o estabelecimento do contexto diz respeito à definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, do escopo e dos critérios de risco;

II a identificação de riscos compreende o reconhecimento e a descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos, eventos, causas e consequências;

III - a análise de riscos refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do risco mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;

IV - a avaliação e priorização de riscos envolve a comparação do nível do risco com critérios definidos, a fim de determinar se o risco é aceitável;

V o tratamento de riscos compreende a adoção de ações para modificar o nível do risco;

VI - o monitoramento compreende o acompanhamento e a verificação contínuos do desempenho ou da situação de elementos da gestão de riscos, podendo abranger a política, o processo de gestão de riscos, os riscos, os planos de tratamento de riscos, os controles e outros assuntos de interesse;

VII - a comunicação e consulta refere-se à identificação das partes interessadas em objetos de gestão de riscos e obtenção, fornecimento ou compartilhamento de informações relativas à gestão de riscos sobre tais objetos, observada a classificação da informação quanto à confidencialidade; e

VIII - a melhoria contínua compreende o aperfeiçoamento ou ajuste de aspectos da gestão de riscos avaliados no monitoramento.

§ 1º Para definição do escopo a que se refere o inciso I deste artigo, o processo de gestão de riscos será aplicado aos processos de trabalho e demais iniciativas do Órgão.

§ 2º O processo de gestão de riscos poderá versar sobre escopo que não esteja circunscrito aos previstos no § 1º deste artigo, a critério dos gestores especificados no art. 8º desta Resolução.

§ 3º A descrição detalhada das fases a que se refere este artigo, bem como os procedimentos e os instrumentos necessários ao processo de gestão de riscos, serão definidos no Manual de Gestão de Riscos, a ser aprovado pela Presidência, nos termos das disposições finais desta Resolução.

Art. 17. Os graus de impacto a serem considerados na análise de riscos são: muito baixo, baixo, médio, alto e muito alto. Parágrafo único. Os impactos nos objetivos deverão ser observados primordialmente nas dimensões conformidade, prazo, custo e qualidade.

Art. 18. Os graus de probabilidade a serem considerados na análise de riscos são: muito baixo, baixo, médio, alto e muito alto.

Art. 19. Os níveis de risco a serem considerados na avaliação de riscos são: muito baixo, baixo, médio, alto e muito alto. Art. 20. O processo de gestão de riscos no TRE-BA deve observar:

I - o ambiente interno, o ambiente externo e a organização estendida;

II - os objetivos estratégicos, táticos e operacionais;

III - a razoabilidade da relação custo-benefício nas ações para tratamento de riscos;

IV - a comunicação tempestiva às partes interessadas; e

V - o acompanhamento dos riscos-chave pela Alta Administração.

Parágrafo único. Nas atividades de planejamento, considera-se, sempre que couber, o risco como um dos critérios para seleção e priorização de iniciativas e ações.

TÍTULO IV

DAS DISPOSIÇÕES FINAIS

Art. 21. Todas as unidades do Tribunal e cartórios eleitorais devem implementar e executar processos e atividades relacionados à gestão de riscos, em conformidade com esta Resolução, fazendo uso de mecanismos (indicadores, métricas, ferramentas, metodologias) que garantam a adequada execução e acompanhamento do gerenciamento de riscos.

Art. 22. O Conselho de Governança e os responsáveis pela gestão e supervisão de riscos deverão manter fluxo regular e constante de informações entre si.

Art. 23. O Plano de Tratamento de Riscos das unidades do TRE-BA deverá ser elaborado no prazo de 120 (cento e vinte) dias a contar da publicação do Manual de Gestão de Riscos e encaminhado à COPEG para apreciação, consolidação de riscos-chave e encaminhamento ao Conselho de Governança.

Parágrafo único. Os Planos de Tratamento de Riscos citados no caput deverão ser aprimorados gradualmente, considerando os critérios de priorização estabelecidos pelo Conselho de Governança. (Acrescido pela Resolução Administrativa nº 27/2019 )

Art. 23-A Na hipótese de o Plano de Tratamento de Riscos prever ação de tratamento a ser executada por unidade sob supervisão diversa da que planejou, o plano deverá ser comunicado ao(à) Supervisor(a) de Riscos da unidade responsável pela execução do tratamento, para manifestação prévia sobre a viabilidade da ação e do prazo proposto. ( Incluído pela Resolução Administrativa nº 29/2021)

Parágrafo único. Em não havendo acordo entre os(as) Supervisores(as) de Riscos envolvidos, caberá ao(à) Presidente do TRE-BA decidir sobre ação e prazo para tratamento do risco associado ao tratamento proposto. ( Incluído pela Resolução Administrativa nº 29/2021)

Art. 24. A COPEG submeterá ao Conselho de Governança, no prazo de 180 (cento e oitenta) dias, a partir da data de publicação do Manual de Gestão de Riscos, o Plano Geral de Riscos-Chave, contemplando a descrição detalhada das fases, dos procedimentos e os instrumentos necessários ao processo de gestão de riscos.

Parágrafo único. O Plano de Gestão de Riscos-Chave será elaborado a partir da consolidação dos riscos-chave catalogados nos Planos de tratamento de riscos das unidades do TRE-BA.

Parágrafo único. O Plano de Gestão de Riscos-chave será elaborado a partir da consolidação dos riscos-chave catalogados nos Planos de Tratamento de Riscos das unidades do TRE-BA, bem como da análise da COPEG, com base no contexto interno e externo e nas informações decorrentes do gerenciamento da estratégia. (Redação dada pela Resolução Administrativa nº 27/2019 )

Art. 25. A aprovação do Manual de Gestão de Riscos, incluídas suas atualizações, será formalizada por meio de portaria do Presidente do TRE-BA.

Parágrafo único. O apetite a risco será definido no Manual de Gestão de Riscos.

Parágrafo único. O apetite a risco será definido no Manual de Gestão de Riscos e ratificado pelo Conselho de Governança. (Redação dada pela Resolução Administrativa nº 27/2019 )

Art. 26. Caberá ao Presidente constituir, quando necessário, grupos de trabalho para executar atividades relacionadas a gestão de riscos, com escopo e prazo de conclusão definidos.

Art. 27. Compete à Secretaria de Tecnologia de Informação, além do disposto no artigo 9º, observar as especificidades definidas pelo grupo de Governança de Tecnologia da Informação e Comunicação da Justiça Eleitoral (GOVTIC), relativas a riscos.

Art. 28. A Secretaria de Gestão de Pessoas fica responsável por promover a capacitação das unidades do Tribunal para o desempenho das atividades de gestão de riscos, observando a necessidade de efetuar ciclos de atualização periódicos.

Art. 29. As diretrizes para a gestão de riscos estabelecidas nesta Resolução deverão ser revistas pelo Conselho de Governança no mínimo uma vez ao ano.

Art. 30. Os casos omissos devem ser submetidos ao Presidente do TRE-BA.

Art. 31. Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do TRE da Bahia, em 13 de junho de 2018.

JOSÉ EDIVALDO ROCHA ROTONDANO

Juiz-Presidente

EDMILSON JATAHY FONSECA JÚNIOR

Vice-Presidente e Corregedor Regional Eleitoral

Este texto não substitui o publicado no DJE-TRE-BA, nº 108, de 15/07/2018, p. 20-26.