Imprensa Nacional

INSTRUÇÃO NORMATIVA CONJUNTA Nº 1,DE 10 DE MAIO DE 2016

Dispõe sobre controles internos, gestão deriscos e governança no âmbito do PoderExecutivo federal.

O MINISTÉRIO DO PLANEJAMENTO, ORÇAMEN-

TO E GESTÃO eaCONTROLADORIA-GERAL DA UNIÃO,no uso das atribuições que lhes conferem respectivamente, o inciso Xdo art. 1o do Anexo I do Decreto no 8.578, de 26 de novembro de2015, e o § 2o do art. 1o do Anexo I do Decreto no 8.109, de 17 desetembro de 2013, resolvem:

Art. 1o Os órgãos e entidades do Poder Executivo federaldeverão adotar medidas para a sistematização de práticas relacionadasà gestão de riscos, aos controles internos, e à governança.

Capítulo IDAS DISPOSIÇÕES GERAIS

Seção IDos Conceitos

Art. 2o Para fins desta Instrução Normativa, considera-se:

I-accountability: conjunto de procedimentos adotados pelasorganizações públicas e pelos indivíduos que as integram que evidenciamsua responsabilidade por decisões tomadas e ações implementadas,incluindo a salvaguarda de recursos públicos, a imparcialidadee o desempenho das organizações;

II - apetite a risco: nível de risco que uma organização estádisposta a aceitar;

III - auditoria interna: atividade independente e objetiva deavaliação e de consultoria, desenhada para adicionar valor e melhoraras operações de uma organização. Ela auxilia a organização a realizarseus objetivos, a partir da aplicação de uma abordagem sistemática edisciplinada para avaliar e melhorar a eficácia dos processos de gerenciamentode riscos, de controles internos, de integridade e degovernança. As auditorias internas no âmbito da Administração Públicase constituem na terceira linha ou camada de defesa das organizações,uma vez que são responsáveis por proceder à avaliaçãoda operacionalização dos controles internos da gestão (primeira linhaou camada de defesa, executada por todos os níveis de gestão dentroda organização) e da supervisão dos controles internos (segunda linhaou camada de defesa, executada por instâncias específicas, comocomitês de risco e controles internos). Compete às auditorias internasoferecer avaliações e assessoramento às organizações públicas, destinadasao aprimoramento dos controles internos, de forma que controlesmais eficientes e eficazes mitiguem os principais riscos de queos órgãos e entidades não alcancem seus objetivos;

IV - componentes dos controles internos da gestão: são oambiente de controle interno da entidade, a avaliação de risco, asatividades de controles internos, a informação e comunicação e omonitoramento;

V - controles internos da gestão: conjunto de regras, procedimentos,diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmitesde documentos e informações, entre outros, operacionalizados de formaintegrada pela direção e pelo corpo de servidores das organizações, destinadosa enfrentar os riscos e fornecer segurança razoável de que, na consecução damissão da entidade, os seguintes objetivos gerais serão alcançados:

a - execução ordenada, ética, econômica, eficiente e eficazdas operações;

b - cumprimento das obrigações de accountability;

c - cumprimento das leis e regulamentos aplicáveis; e

d - salvaguarda dos recursos para evitar perdas, mau uso edanos. O estabelecimento de controles internos no âmbito da gestãopública visa essencialmente aumentar a probabilidade de que os objetivose metas estabelecidos sejam alcançados, de forma eficaz, eficiente,efetiva e econômica;

VI - fraude: quaisquer atos ilegais caracterizados por desonestidade,dissimulação ou quebra de confiança. Estes atos nãoimplicam o uso de ameaça de violência ou de força física;

VII - gerenciamento de riscos: processo para identificar, avaliar,administrar e controlar potenciais eventos ou situações, para fornecerrazoável certeza quanto ao alcance dos objetivos da organização;

VIII - governança: combinação de processos e estruturasimplantadas pela alta administração, para informar, dirigir, administrare monitorar as atividades da organização, com o intuito de alcançaros seus objetivos;

IX - governança no setor público: compreende essencialmenteos mecanismos de liderança, estratégia e controle postos emprática para avaliar, direcionar e monitorar a atuação da gestão, comvistas à condução de políticas públicas e à prestação de serviços deinteresse da sociedade;

X - incerteza: incapacidade de saber com antecedência a realprobabilidade ou impacto de eventos futuros;

XI - mensuração de risco: significa estimar a importância deum risco e calcular a probabilidade e o impacto de sua ocorrência;

XII - Política de gestão de riscos: declaração das intenções ediretrizes gerais de uma organização relacionadas à gestão de riscos;

XIII - risco: possibilidade de ocorrência de um evento quevenha a ter impacto no cumprimento dos objetivos. O risco é medidoem termos de impacto e de probabilidade;

XIV - risco inerente: risco a que uma organização está expostasem considerar quaisquer ações gerenciais que possam reduzir aprobabilidade de sua ocorrência ou seu impacto;

XV - risco residual: risco a que uma organização está expostaapós a implementação de ações gerenciais para o tratamento dorisco; e

XVI - Sistema de Controle Interno do Poder Executivo federal:compreende as atividades de avaliação do cumprimento dasmetas previstas no plano plurianual, da execução dos programas degoverno e dos orçamentos da União e de avaliação da gestão dosadministradores públicos federais, utilizando como instrumentos aauditoria e a fiscalização, e tendo como órgão central a Controladoria-Geralda União. Não se confunde com os controles internosda gestão, de responsabilidade de cada órgão e entidade do PoderExecutivo federal.

Capítulo IIDOS CONTROLES INTERNOS DA GESTÃO

Art. 3o Os órgãos e entidades do Poder Executivo federaldeverão implementar, manter, monitorar e revisar os controles internosda gestão, tendo por base a identificação, a avaliação e ogerenciamento de riscos que possam impactar a consecução dos objetivosestabelecidos pelo Poder Público. Os controles internos dagestão se constituem na primeira linha (ou camada) de defesa dasorganizações públicas para propiciar o alcance de seus objetivos.Esses controles são operados por todos os agentes públicos responsáveispela condução de atividades e tarefas, no âmbito dos macroprocessosfinalísticos e de apoio dos órgãos e entidades do PoderExecutivo federal. A definição e a operacionalização dos controlesinternos devem levar em conta os riscos que se pretende mitigar,tendo em vista os objetivos das organizações públicas. Assim, tendoem vista os objetivos estabelecidos pelos órgãos e entidades da administraçãopública, e os riscos decorrentes de eventos internos ouexternos que possam obstaculizar o alcance desses objetivos, devemser posicionados os controles internos mais adequados para mitigar aprobabilidade de ocorrência dos riscos, ou o seu impacto sobre osobjetivos organizacionais.

§ 1o Os controles internos da gestão, independentemente doporte da organização, devem ser efetivos e consistentes com a natureza,complexidade e risco das operações realizadas.

§ 2o Os controles internos da gestão baseiam-se no gerenciamentode riscos e integram o processo de gestão.

§ 3o Os componentes dos controles internos da gestão e dogerenciamento de riscos aplicam-se a todos os níveis, unidades edependências do órgão ou da entidade pública.

§ 4o Os dirigentes máximos dos órgãos e entidades devem assegurarque procedimentos efetivos de implementação de controles internosda gestão façam parte de suas práticas de gerenciamento de riscos.

§ 5o Controles internos da gestão adequados devem considerartodos os componentes definidos na Seção III e devem serintegrados ao processo de gestão, dimensionados e desenvolvidos naproporção requerida pelos riscos, de acordo com a natureza, complexidade,estrutura e missão do órgão ou da entidade pública.

Art. 4o Os controles internos da gestão devem integrar as atividades,planos, ações, políticas, sistemas, recursos e esforços de todosque trabalhem na organização, sendo projetados para fornecer segurançarazoável de que a organização atingirá seus objetivos e missão.

Art. 5o Os controles internos da gestão não devem ser implementadosde forma circunstancial, mas como uma série de açõesque permeiam as atividades da organização. Essas ações se dão emtodas as operações da organização de modo contínuo, inerentes àmaneira pela qual o gestor administra a organização.

Art. 6o Além dos controles internos da gestão, os órgãos eentidades do Poder Executivo federal podem estabelecer instâncias desegunda linha (ou camada) de defesa, para supervisão e monitoramentodesses controles internos. Assim, comitês, diretorias ou assessoriasespecíficas para tratar de riscos, controles internos, integridadee compliance, por exemplo, podem se constituir em instânciasde supervisão de controles internos.

Art. 7o Os controles internos da gestão tratados neste capítulonão devem ser confundidos com as atividades do Sistema de ControleInterno relacionadas no artigo 74 da Constituição federal de 1988,nem com as atribuições da auditoria interna, cuja finalidade específicaé a medição e avaliação da eficácia e eficiência dos controles internosda gestão da organização.

Seção IDos Princípios

Art. 8o Os controles internos da gestão do órgão ou entidadedevem ser desenhados e implementados em consonância com osseguintes princípios:

I - aderência à integridade e a valores éticos;

II - competência da alta administração em exercer a supervisãodo desenvolvimento e do desempenho dos controles internosda gestão;

III - coerência e harmonização da estrutura de competências ereponsabilidades dos diversos níveis de gestão do órgão ou entidade;

IV - compromisso da alta administração em atrair, desenvolvere reter pessoas com competências técnicas, em alinhamentocom os objetivos da organização;

V - clara definição dos responsáveis pelos diversos controlesinternos da gestão no âmbito da organização;

VI - clara definição de objetivos que possibilitem o eficazgerenciamento de riscos;

VII - mapeamento das vulnerabilidades que impactam osobjetivos, de forma que sejam adequadamente identificados os riscosa serem geridos;

VIII - identificação e avaliação das mudanças internas eexternas ao órgão ou entidade que possam afetar significativamenteos controles internos da gestão;

IX - desenvolvimento e implementação de atividades de controleque contribuam para a obtenção de níveis aceitáveis de riscos;

X - adequado suporte de tecnologia da informação paraapoiar a implementação dos controles internos da gestão;

XI - definição de políticas e normas que suportem as atividadesde controles internos da gestão;

XII - utilização de informações relevantes e de qualidadepara apoiar o funcionamento dos controles internos da gestão;

XIII - disseminação de informações necessárias ao fortalecimentoda cultura e da valorização dos controles internos da gestão;

XIV- realização de avaliações periódicas para verificar aeficácia do funcionamento dos controles internos da gestão; e

XV - comunicação do resultado da avaliação dos controlesinternos da gestão aos responsáveis pela adoção de ações corretivas,incluindo a alta administração.

Seção IIDos Objetivos dos Controles Internos da Gestão

Art. 9o Os controles internos da gestão devem ser estruturadospara oferecer segurança razoável de que os objetivos da organizaçãoserão alcançados. A existência de objetivos claros é pré-requisito paraa eficácia do funcionamento dos controles internos da gestão.

Art. 10. Os objetivos dos controles internos da gestão são:

I - dar suporte à missão, à continuidade e à sustentabilidadeinstitucional, pela garantia razoável de atingimento dos objetivos estratégicosdo órgão ou entidade;

II - proporcionar a eficiência, a eficácia e a efetividade operacional,mediante execução ordenada, ética e econômica das operações;

III - assegurar que as informações produzidas sejam íntegrase confiáveis à tomada de decisões, ao cumprimento de obrigações detransparência e à prestação de contas;

IV - assegurar a conformidade com as leis e regulamentosaplicáveis, incluindo normas, políticas, programas, planos e procedimentosde governo e da própria organização; e

V - salvaguardar e proteger bens, ativos e recursos públicoscontra desperdício, perda, mau uso, dano, utilização não autorizada ouapropriação indevida.

§ 1o Ética se refere aos princípios morais, sendo pré-requisitoe suporte para a confiança pública.

§ 2o As operações de um órgão ou entidade serão econômicasquando a aquisição dos insumos necessários se der na quantidadee qualidade adequadas, forem entregues no lugar certo e nomomento preciso, ao custo mais baixo.

§ 3o As operações de um órgão ou entidade serão eficientesquando consumirem o mínimo de recursos para alcançar uma dadaquantidade e qualidade de resultados, ou alcançarem o máximo deresultado com uma dada qualidade e quantidade de recursos empregados.

§ 4o As operações de um órgão ou entidade serão eficazesquando cumprirem objetivos imediatos, traduzidos em metas de produçãoou de atendimento, de acordo com o estabelecido no planejamentodas ações.

§ 5o As operações de um órgão ou entidade serão efetivasquando alcançarem os resultados pretendidos a médio e longo prazo,produzindo impacto positivo e resultando no cumprimento dos objetivosdas organizações.

Seção IIIDa Estrutura dos Controles Internos da Gestão

Art. 11. Na implementação dos controles internos da gestão, a altaadministração, bem como os servidores da organização, deverá observar oscomponentes da estrutura de controles internos, a seguir descritos:

I - ambiente de controle: é a base de todos os controlesinternos da gestão, sendo formado pelo conjunto de regras e estruturaque determinam a qualidade dos controles internos da gestão. Oambiente de controle deve influenciar a forma pela qual se estabelecemas estratégias e os objetivos e na maneira como os procedimentosde controle interno são estruturados. Alguns dos elementosdo ambiente de controle são:

a) integridade pessoal e profissional e valores éticos assumidospela direção e pelo quadro de servidores, incluindo inequívocaatitude de apoio à manutenção de adequados controles internos dagestão, durante todo o tempo e por toda a organização;

b) comprometimento para reunir, desenvolver e manter colaboradorescompetentes;

c) filosofia da direção e estilo gerencial, com clara assunçãoda responsabilidade de supervisionar os controles internos da gestão;

d) estrutura organizacional na qual estejam claramente atribuídasresponsabilidades e delegação de autoridade, para que sejamalcançados os objetivos da organização ou das políticas públicas; e

e) políticas e práticas de recursos humanos, especialmente aavaliação do desempenho e prestação de contas dos colaboradorespelas suas responsabilidades pelos controles internos da gestão daorganização ou política pública;

II - avaliação de risco: é o processo permanente de identificaçãoe análise dos riscos relevantes que impactam o alcance dosobjetivos da organização e determina a resposta apropriada ao risco.Envolve identificação, avaliação e resposta aos riscos, devendo serum processo permanente;

III - atividades de controles internos: são atividades materiaise formais, como políticas, procedimentos, técnicas e ferramentas, implementadaspela gestão para diminuir os riscos e assegurar o alcancede objetivos organizacionais e de políticas públicas. Essas atividadespodem ser preventivas (reduzem a ocorrência de eventos de risco) oudetectivas (possibilitam a identificação da ocorrência dos eventos derisco), implementadas de forma manual ou automatizada. As atividadesde controles internos devem ser apropriadas, funcionar consistentementede acordo com um plano de longo prazo, ter custo adequado,ser abrangentes, razoáveis e diretamente relacionadas aos objetivosde controle. São exemplos de atividades de controles internos:

a) procedimentos de autorização e aprovação;

b) segregação de funções (autorização, execução, registro, controle);

c) controles de acesso a recursos e registros;

d) verificações;

e) conciliações;

f) avaliação de desempenho operacional;

g) avaliação das operações, dos processos e das atividades; e

h) supervisão;

IV - informação e comunicação: as informações produzidaspelo órgão ou entidade devem ser apropriadas, tempestivas, atuais, precisase acessíveis, devendo ser identificadas, armazenadas e comunicadasde forma que, em determinado prazo, permitam que os funcionáriose servidores cumpram suas responsabilidades, inclusive a deexecução dos procedimentos de controle interno. A comunicação eficazdeve fluir para baixo, para cima e através da organização, por todosseus componentes e pela estrutura inteira. Todos os servidores/funcionáriosdevem receber mensagem clara da alta administração sobreas responsabilidades de cada agente no que concerne aos controlesinternos da gestão. A organização deve comunicar as informações necessáriasao alcance dos seus objetivos para todas as partes interessadas,independentemente no nível hierárquico em que se encontram;

V - monitoramento: é obtido por meio de revisões específicasou monitoramento contínuo, independente ou não, realizados sobretodos os demais componentes de controles internos, com o fim deaferir sua eficácia, eficiência, efetividade, economicidade, excelênciaou execução na implementação dos seus componentes e corrigir tempestivamenteas deficiências dos controles internos:

a) monitoramento contínuo: é realizado nas operações normaise de natureza contínua da organização. Inclui a administração eas atividades de supervisão e outras ações que os servidores executamao cumprir suas responsabilidades. Abrange cada um dos componentesda estrutura do controle interno, fortalecendo os controlesinternos da gestão contra ações irregulares, antiéticas, antieconômicas,ineficientes e ineficazes. Pode ser realizado pela própria Administraçãopor intermédio de instâncias de conformidade, como comitêsespecíficos, que atuam como segunda linha (ou camada) dedefesa da organização; e

b) avaliações específicas: são realizadas com base em métodose procedimentos predefinidos, cuja abrangência e frequênciadependerão da avaliação de risco e da eficácia dos procedimentos demonitoramento contínuo. Abrangem, também, a avaliação realizadapelas unidades de auditoria interna dos órgãos e entidades e pelosórgãos do Sistema de Controle Interno (SCI) do Poder Executivofederal para aferição da eficácia dos controles internos da gestãoquanto ao alcance dos resultados desejados.

Parágrafo único. Os componentes de controles internos dagestão definem o enfoque recomendável para a estrutura de controlesinternos nos órgãos e entidades do setor público e fornecem basespara sua avaliação. Esses componentes se aplicam a todos os aspectosoperacionais de cada organização.

Seção IVDas Responsabilidades

Art. 12. A responsabilidade por estabelecer, manter, monitorare aperfeiçoar os controles internos da gestão é da alta administraçãoda organização, sem prejuízo das responsabilidades dosgestores dos processos organizacionais e de programas de governosnos seus respectivos âmbitos de atuação.

Parágrafo único. Cabe aos demais funcionários e servidores aresponsabilidade pela operacionalização dos controles internos dagestão e pela identificação e comunicação de deficiências às instânciassuperiores.

Capítulo IIIDA GESTÃO DE RISCOS

Art. 13. Os órgãos e entidades do Poder Executivo federaldeverão implementar, manter, monitorar e revisar o processo de gestãode riscos, compatível com sua missão e seus objetivos estratégicos,observadas as diretrizes estabelecidas nesta Instrução Normativa.

Seção IDos Princípios da Gestão de Riscos

Art. 14. A gestão de riscos do órgão ou entidade observará osseguintes princípios:

I - gestão de riscos de forma sistemática, estruturada e oportuna,subordinada ao interesse público;

II - estabelecimento de níveis de exposição a riscos adequados;

III - estabelecimento de procedimentos de controle internoproporcionais ao risco, observada a relação custo-benefício, e destinadosa agregar valor à organização;

IV - utilização do mapeamento de riscos para apoio à tomadade decisão e à elaboração do planejamento estratégico; e

V - utilização da gestão de riscos para apoio à melhoriacontínua dos processos organizacionais.

Seção IIDos Objetivos da Gestão de Riscos

Art. 15. São objetivos da gestão de riscos:

I - assegurar que os responsáveis pela tomada de decisão, emtodos os níveis do órgão ou entidade, tenham acesso tempestivo ainformações suficientes quanto aos riscos aos quais está exposta aorganização, inclusive para determinar questões relativas à delegação,se for o caso;

II - aumentar a probabilidade de alcance dos objetivos daorganização, reduzindo os riscos a níveis aceitáveis; e

III - agregar valor à organização por meio da melhoria dosprocessos de tomada de decisão e do tratamento adequado dos riscose dos impactos negativos decorrentes de sua materialização.

Seção IIIDa Estrutura do Modelo de Gestão de Riscos

Art. 16. Na implementação e atualização do modelo de gestãode riscos, a alta administração, bem como seus servidores oufuncionários, deverá observar os seguintes componentes da estruturade gestão de riscos:

I - ambiente interno: inclui, entre outros elementos, integridade,valores éticos e competência das pessoas, maneira pela quala gestão delega autoridade e responsabilidades, estrutura de governançaorganizacional e políticas e práticas de recursos humanos. Oambiente interno é a base para todos os outros componentes daestrutura de gestão de riscos, provendo disciplina e prontidão para agestão de riscos;

II- fixação de objetivos: todos os níveis da organização (departamentos,divisões, processos e atividades) devem ter objetivosfixados e comunicados. A explicitação de objetivos, alinhados à missãoe à visão da organização, é necessária para permitir a identificaçãode eventos que potencialmente impeçam sua consecução;

III - identificação de eventos: devem ser identificados e relacionadosos riscos inerentes à própria atividade da organização, emseus diversos níveis;

IV - avaliação de riscos: os eventos devem ser avaliados soba perspectiva de probabilidade e impacto de sua ocorrência. A avaliaçãode riscos deve ser feita por meio de análises qualitativas,quantitativas ou da combinação de ambas. Os riscos devem ser avaliadosquando à sua condição de inerentes e residuais;

V - resposta a riscos: o órgão/entidade deve identificar qualestratégia seguir (evitar, transferir, aceitar ou tratar) em relação aosriscos mapeados e avaliados. A escolha da estratégia dependerá donível de exposição a riscos previamente estabelecido pela organizaçãoem confronto com a avaliação que se fez do risco;

VI - atividades de controles internos: são as políticas e osprocedimentos estabelecidos e executados para mitigar os riscos quea organização tenha optado por tratar. Também denominadas de procedimentosde controle, devem estar distribuídas por toda a organização,em todos os níveis e em todas as funções. Incluem umagama de controles internos da gestão preventivos e detectivos, bemcomo a preparação prévia de planos de contingência e resposta àmaterialização dos riscos;

VII - informação e comunicação: informações relevantes devemser identificadas, coletadas e comunicadas, a tempo de permitirque as pessoas cumpram suas responsabilidades, não apenas comdados produzidos internamente, mas, também, com informações sobreeventos, atividades e condições externas, que possibilitem o gerenciamentode riscos e a tomada de decisão. A comunicação das informaçõesproduzidas deve atingir todos os níveis, por meio de canaisclaros e abertos que permitam que a informação flua em todos ossentidos; e

VIII - monitoramento: tem como objetivo avaliar a qualidadeda gestão de riscos e dos controles internos da gestão, por meio deatividades gerenciais contínuas e/ou avaliações independentes, buscandoassegurar que estes funcionem como previsto e que sejammodificados apropriadamente, de acordo com mudanças nas condiçõesque alterem o nível de exposição a riscos.

Parágrafo Único. Os gestores são os responsáveis pela avaliaçãodos riscos no âmbito das unidades, processos e atividades que lhessão afetos. A alta administração deve avaliar os riscos no âmbito daorganização, desenvolvendo uma visão de riscos de forma consolidada.

Seção IVDa Política de Gestão de Riscos

Art. 17. A política de gestão de riscos, a ser instituída pelosórgãos e entidades do Poder Executivo federal em até doze meses a contarda publicação desta Instrução Normativa, deve especificar ao menos:

I - princípios e objetivos organizacionais;

II - diretrizes sobre:

a) como a gestão de riscos será integrada ao planejamentoestratégico, aos processos e às políticas da organização;

b) como e com qual periodicidade serão identificados, avaliados,tratados e monitorados os riscos;

c) como será medido o desempenho da gestão de riscos;

d) como serão integradas as instâncias do órgão ou entidaderesponsáveis pela gestão de riscos;

e) a utilização de metodologia e ferramentas para o apoio àgestão de riscos; e

f) o desenvolvimento contínuo dos agentes públicos em gestãode riscos; e

III - competências e responsabilidades para a efetivação dagestão de riscos no âmbito do órgão ou entidade.

Art. 18. Os órgãos e entidades, ao efetuarem o mapeamentoe avaliação dos riscos, deverão considerar, entre outras possíveis, asseguintes tipologias de riscos:

a) riscos operacionais: eventos que podem comprometer asatividades do órgão ou entidade, normalmente associados a falhas,deficiência ou inadequação de processos internos, pessoas, infraestruturae sistemas;

b) riscos de imagem/reputação do órgão: eventos que podemcomprometer a confiança da sociedade (ou de parceiros, de clientesou de fornecedores) em relação à capacidade do órgão ou da entidadeem cumprir sua missão institucional;

c) riscos legais: eventos derivados de alterações legislativasou normativas que podem comprometer as atividades do órgão ouentidade; e

d) riscos financeiros/orçamentários: eventos que podem comprometera capacidade do órgão ou entidade de contar com os recursosorçamentários e financeiros necessários à realização de suasatividades, ou eventos que possam comprometer a própria execuçãoorçamentária, como atrasos no cronograma de licitações.

Seção VDas Responsabilidades

Art. 19. O dirigente máximo da organização é o principalresponsável pelo estabelecimento da estratégia da organização e daestrutura de gerenciamento de riscos, incluindo o estabelecimento, amanutenção, o monitoramento e o aperfeiçoamento dos controles internosda gestão.

Art. 20. Cada risco mapeado e avaliado deve estar associadoa um agente responsável formalmente identificado.

§ 1o O agente responsável pelo gerenciamento de determinadorisco deve ser o gestor com alçada suficiente para orientar e acompanharas ações de mapeamento, avaliação e mitigação do risco.

§ 2o São responsabilidades do gestor de risco:

I - assegurar que o risco seja gerenciado de acordo com apolítica de gestão de riscos da organização;

II - monitorar o risco ao longo do tempo, de modo a garantirque as respostas adotadas resultem na manutenção do risco em níveisadequados, de acordo com a política de gestão de riscos; e

III - garantir que as informações adequadas sobre o riscoestejam disponíveis em todos os níveis da organização.

Capítulo IVDA GOVERNANÇA

Seção IDos Princípios

Art. 21. São princípios da boa governança, devendo ser seguidospelos órgãos e entidades do Poder Executivo federal:

I - liderança: deve ser desenvolvida em todos os níveis daadministração. As competências e responsabilidades devem estaridentificadas para todos os que gerem recursos públicos, de forma ase obter resultados adequados;

II - integridade: tem como base a honestidade e objetividade,elevando os padrões de decência e probidade na gestão dos recursospúblicos e das atividades da organização, com reflexo tanto nos processosde tomada de decisão, quanto na qualidade de seus relatóriosfinanceiros e de desempenho;

III - responsabilidade: diz respeito ao zelo que se espera dosagentes de governança na definição de estratégias e na execução deações para a aplicação de recursos públicos, com vistas ao melhoratendimento dos interesses da sociedade;

IV - compromisso: dever de todo o agente público de sevincular, assumir, agir ou decidir pautado em valores éticos quenorteiam a relação com os envolvidos na prestação de serviços àsociedade, prática indispensável à implementação da governança;

V - transparência: caracterizada pela possibilidade de acessoa todas as informações relativas à organização pública, sendo um dosrequisitos de controle do Estado pela sociedade civil. As informaçõesdevem ser completas, precisas e claras para a adequada tomada dedecisão das partes interessas na gestão das atividades; e

VI - Accountability: obrigação dos agentes ou organizaçõesque gerenciam recursos públicos de assumir responsabilidades porsuas decisões e pela prestação de contas de sua atuação de formavoluntária, assumindo integralmente a consequência de seus atos eomissões.

§ 1o Para uma efetiva governança, os princípios devem seraplicados de forma integrada, como um processo, e não apenas individualmente,sendo compreendidos por todos na organização.

§ 2o Os agentes da governança institucional de órgãos eentidades, por subsunção a tais princípios, devem contribuir paraaumentar a confiança na forma como são geridos os recursos colocadosà sua disposição, reduzindo a incerteza dos membros dasociedade sobre a forma como são geridos os recursos e as organizaçõespúblicas.

Capítulo VDO COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES

Art. 22. Riscos e controles internos devem ser geridos deforma integrada, objetivando o estabelecimento de um ambiente decontrole e gestão de riscos que respeite os valores, interesses e expectativasda organização e dos agentes que a compõem e, também, ode todas as partes interessadas, tendo o cidadão e a sociedade comoprincipais vetores.

Art. 23. Os órgãos e entidades do Poder Executivo federaldeverão instituir, pelos seus dirigentes máximos, Comitê de Governança,Riscos e Controles.

§ 1o No âmbito de cada órgão ou entidade, o Comitê deveráser composto pelo dirigente máximo e pelos dirigentes das unidadesa ele diretamente subordinadas e será apoiado pelo respectivo AssessorEspecial de Controle Interno.

§ 2o São competências do Comitê de Governança, Riscos e Controles:

I - promover práticas e princípios de conduta e padrões decomportamentos;

II - institucionalizar estruturas adequadas de governança,gestão de riscos e controles internos;

III - promover o desenvolvimento contínuo dos agentes públicose incentivar a adoção de boas práticas de governança, de gestãode riscos e de controles internos;

IV - garantir a aderência às regulamentações, leis, códigos,normas e padrões, com vistas à condução das políticas e à prestaçãode serviços de interesse público;

V - promover a integração dos agentes responsáveis pelagovernança, pela gestão de riscos e pelos controles internos;

VI - promover a adoção de práticas que institucionalizem aresponsabilidade dos agentes públicos na prestação de contas, natransparência e na efetividade das informações;

VII - aprovar política, diretrizes, metodologias e mecanismospara comunicação e institucionalização da gestão de riscos e doscontroles internos;

VIII - supervisionar o mapeamento e avaliação dos riscos-chaveque podem comprometer a prestação de serviços de interesse público;

IX - liderar e supervisionar a institucionalização da gestão deriscos e dos controles internos, oferecendo suporte necessário parasua efetiva implementação no órgão ou entidade;

X - estabelecer limites de exposição a riscos globais doórgão, bem com os limites de alçada ao nível de unidade, políticapública, ou atividade;

XI - aprovar e supervisionar método de priorização de temase macroprocessos para gerenciamento de riscos e implementação doscontroles internos da gestão;

XII - emitir recomendação para o aprimoramento da governança,da gestão de riscos e dos controles internos; e

XIII - monitorar as recomendações e orientações deliberadaspelo Comitê.

Capítulo VIDAS DISPOSIÇÕES FINAIS

Art. 24. A Controladoria-Geral da União, no cumprimento desuas atribuições institucionais, poderá:

I - avaliar a política de gestão de riscos dos órgãos e entidadesdo Poder Executivo federal;

II - avaliar se os procedimentos de gestão de riscos estão deacordo com a política de gestão de riscos; e

III - avaliar a eficácia dos controles internos da gestão implementadospelos órgãos e entidades para mitigar os riscos, bemcomo outras respostas aos riscos avaliados.

Art. 25. Esta Instrução Normativa Conjunta entra em vigorna data de sua publicação.

VALDIR MOYSÉS SIMÃO
Ministro do Planejamento, Orçamento e Gestão

LUIZ AUGUSTO FRAGA NAVARRO
DE BRITTO FILHO

Ministro Chefe da Controladoria-Geral da União