Dispõe sobre a institucionalização da Política de Gestão de Integridade, Riscos e Controles Internos no âmbito do Conselho de Arquitetura e Urbanismo do Brasil (CAU/BR) e dá outras providências.
[Clique aqui para baixar em PDF]
[Clique aqui para baixar em DOCX]
[Clique aqui para baixar em ODT]
[Clique aqui para baixar em XML]
[Clique aqui para baixar em XPS]
A Presidente do Conselho de Arquitetura e Urbanismo do Brasil (CAU/BR), no uso das atribuições que lhe conferem o art. 29, inciso III da Lei n° 12.378, de 31 de dezembro de 2010, e o art. 159 do Regimento Interno aprovado pela Deliberação Plenária DPOBR n° 0065-05/2017, de 28 de abril de 2017, e instituído pela Resolução CAU/BR n° 139, de 28 de abril de 2017; e
Considerando a Instrução Normativa Conjunta do Ministério do Planejamento e da Controladoria Geral da União n° 1, de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal;
Considerando o Decreto n° 9.203, de 22 de novembro de 2017, alterado pelo Decreto n° 9.901, de 8 de julho de 2019, que dispõe sobre a política de governança da administração pública federal, autárquica e fundacional, definindo que tais entes deverão instituir comitês internos de governança (art. 15-A), estabelecer sistema de gestão de riscos e controles internos (art. 17) e instituir programa de integridade (art. 19);
Considerando a Portaria n° 1.089, de 25 de abril de 2018, alterada pela Portaria n° 57, de 4 de janeiro de 2019, da Controladoria-Geral da União, que define o Programa de Integridade como um conjunto estruturado de medidas institucionais para prevenção, detecção, punição e remediação de fraudes e atos de corrupção, em apoio à boa governança, e que estabelece orientações para que os órgãos e as entidades da administração pública federal direta, autárquica e fundacional adotem procedimentos para a estruturação, a execução e o monitoramento de seus programas de integridade;
Considerando o Acórdão n° 958/2019 – TCU – Plenário, que determina a entidades da administração pública do Estado de Mato Grosso do Sul, incluído o CAU/MS, a adoção de plano de ação para implementação de programa e plano de integridade em seus âmbitos, acórdão este extensível aos demais conselhos de fiscalização das profissões;
Considerando a Deliberação Plenária DPOBR n° 0096-07/2019, de 21 de novembro de 2019, que aprova a reestruturação organizacional do CAU/BR, e dá outras providências;
Considerando a Deliberação Plenária DPOBR n° 0136-01/2023, de 18 de maio de 2023, que dispõe sobre a organização do Quadro de Pessoal do CAU/BR, cria empregos públicos e dá outras providências, especialmente o item 8, que aprova alterações no Anexo I da Deliberação Plenária DPOBR nº 0096-07/2019, estabelecendo o novo organograma do CAU/BR;
Considerando a Lei nº 13.709, de 14 de agosto de 2018, que trata sobre a Lei Geral de Proteção de Dados (LGPD); inclusive no que tange segurança, sigilo, as boas práticas e governança sobre o tratamento de dados, conforme estabelecido em seus artigos 46, 47, 48, 49 e 50;
Considerando que a Governança se relaciona com processos de comunicação, de análise e avaliação, de liderança, de tomada de decisão e direção, de controle, de monitoramento e prestação de contas;
Considerando que a Governança Pública compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;
Considerando que um dos princípios da boa governança consiste no gerenciamento de riscos e na instituição de mecanismos de controle interno necessários ao monitoramento e à avaliação do sistema, assegurando a eficácia e contribuindo para a melhoria do desempenho organizacional;
Considerando que a gestão de riscos permite tratar com eficiência as incertezas, seja pelo melhor aproveitamento das oportunidades, seja pela redução da probabilidade ou do impacto de eventos negativos, a fim de melhorar a capacidade de gerar valor e fornecer garantia razoável ao cumprimento dos seus objetivos; e
Considerando as recomendações e as melhores práticas internacionais de Gestão de Riscos: COSO – Gerenciamento de Riscos Corporativos – Estrutura Integrada; COSO GRC 2016 – Alinhando Risco com Estratégia e Desempenho; ISO 31000 – Gestão de Riscos – Princípios e Diretrizes; e Orange Book e Risk Management Assessment Framework.
Considerando o resultado do estudo elaborado pelo Grupo de Trabalho instituído pela Portaria Presidencial nº 345, de 23 de março de 2021, para atuar na estruturação implantação das políticas de governança organizacional e de gestão de riscos e controles internos, e de programa de integridade do CAU/BR;
Considerando a Deliberação do Conselho Diretor – CD-CAU/BR nº 07, de 19 de julho de 2023;
RESOLVE:
Art. 1° Instituir a Política de Gestão de Integridade, Riscos e Controles Internos (PGIRC) no âmbito do Conselho de Arquitetura e Urbanismo do Brasil.
DISPOSIÇÕES PRELIMINARES
Art. 2° A Política de Gestão de Integridade, Riscos e Controles Internos da Gestão (PGIRC) tem por finalidade estabelecer os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a gestão de integridade, de riscos e de controles internos aos planos estratégicos, programas, projetos e processos do Conselho de Arquitetura e Urbanismo do Brasil.
Art. 3° A PGIRC e suas eventuais normas complementares, metodologias, manuais e procedimentos aplicam-se a todos os integrantes do Plenário e dos órgãos de apoio ao Plenário; ao Conselho Diretor do CAU/BR e aos órgãos de apoio à Alta Administração; a Secretaria Geral da Mesa (SGM) e os órgãos de apoio à SGM, a Gerência Executiva (GEREX) e os órgãos de apoio à GEREX; às Gerências; aos colaboradores e aos prestadores de serviços diretos e indiretos.
Art. 4° Para os efeitos desta Política, entende-se por:
I – a Primeira Linha de Defesa tem como responsabilidade a gestão (alta e média gestão, e outros tomadores de decisão) como executores do processo de gerenciamento de riscos e dos sistemas de controles internos da organização;
II – a Segunda Linha de Defesa são os órgãos e profissionais de staff que tem como objetivo apoiar a gestão para que cumpram com suas responsabilidades de primeira linha, fornecendo conhecimento e ferramentas adequadas para este processo. Nesta linha se encontram os especialistas em controles internos, gestão de riscos, processos e outros profissionais de apoio;
III – a Terceira Linha de Defesa se resume na atividade de auditoria interna a qual tem como objetivo fornecer asseguração aos órgãos de governança e à alta administração de que os processos de gestão de riscos operam de maneira eficaz e os maiores riscos do negócio são gerenciados adequadamente em todos os níveis da organização;
IV – Apetite a Riscos reveste-se do grau de exposição a Riscos que o CAU/BR está disposto a aceitar para atingir seus objetivos e criar valor para a sociedade e registrados;
V – Conformidade significa agir de acordo com as leis e regulamentos externos e internos, regras, instruções internas, comando ou pedido;
VI – Controles representam as políticas, as normas, os procedimentos, as atividades e os mecanismos desenvolvidos para assegurar que os objetivos institucionais sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos;
VII – Controle Interno é o processo que engloba o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável para que os objetivos organizacionais sejam alcançados;
VIII – Ética confirma o nosso compromisso com as partes interessadas, visto que determina a conduta moral da nossa organização; nos impõe agir direito, proceder bem, sem prejudicar os outros; nos obriga a não fazer nada que não possa ser assumido em público; favorece a boa e sincera relação entre a nossa organização e todas suas partes interessadas; estabelece o modo participativo, compartilhado, de modo que um problema em qualquer ponto da organização seja responsabilidade de todos e de cada um;
IX – Evento representa uma ou mais ocorrências ou incidências provenientes do ambiente interno ou externo, ou mudança em um conjunto específico de circunstâncias, podendo, inclusive, consistir em alguma coisa não acontecer;
X – Gestão de Riscos refere-se às atividades realizadas com a finalidade de identificar, classificar, formalizar, monitorar e/ou administrar os Riscos identificados. A Gestão de Riscos deve estar alinhada aos objetivos, estratégias e ações do CAU/BR;
XI – Gestor de Riscos é a pessoa, papel ou estrutura organizacional com autoridade e responsabilidade para gerenciar um risco;
XII – Gestor de Processos corresponde a todo e qualquer responsável pela execução de um determinado processo de trabalho, inclusive sobre a gestão de riscos;
XIII – Governança Pública reflete o conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;
XIV – Integridade assegura a nossa credibilidade, que é o pilar que nos torna confiáveis aos olhos de todos; que nos permite fazer o que falamos; que nos obriga a manter as nossas promessas; que significa conseguir dizer “não”; e nos permite apenas aquelas transações e negociações que estão em conformidade com os nossos valores;
XV – Matriz de Risco é a ferramenta em que são registrados os riscos identificados, a avaliação de seus impactos e a probabilidade de ocorrência para os processos, etapas, atividades e objetivos institucionais;
XVI – Modelo das Três Linhas de Defesa representa o conjunto de diretrizes que visa esclarecer e organizar as responsabilidades e papéis dos profissionais da organização no gerenciamento de riscos e controles internos;
XVII – Oportunidade é a possibilidade de que um evento afete, positivamente, o alcance de objetivos;
XVIII – Perfil de Risco é a descrição do conjunto de riscos definido pelo CAU/BR;
XIX – Resposta ao Risco é a decisão que será tomada após a identificação do Risco inerente ou avaliação do ambiente de controle dos Riscos residuais, com objetivo de promover discussões que assegurem a eficiência do ambiente de Controles internos do CAU/BR;
XX – Risco é a ameaça de eventos ou ações que possam impactar o atingimento dos objetivos do CAU/BR. É inerente a qualquer atividade e pode afetar os ativos, resultados, imagem ou continuidade das atividades;
XXI – Risco Bruto é o risco a que uma organização está exposta sem considerar quaisquer medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
XXII – Risco Residual é o risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento do risco;
XXIII – Plano de Ação é a definição das ações corretivas para reduzir a exposição aos Riscos residuais, a partir da identificação das deficiências ao longo do ciclo de avaliação do ambiente de controle/Riscos;
XXIV – Plano de Gestão de Risco é o esquema que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para a gestão de risco;
XXV – Política de Gestão de Riscos é a declaração das intenções e diretrizes gerais do CAU/BR relacionadas à gestão de riscos;
XXVI – Transparência possibilita a confiança mútua, que representa o envolvimento de todas as partes, por meio de informações; faz com que as nossas ações sejam compreensíveis; sustenta um comportamento voltado para o cumprimento de metas em toda a organização; cria confiança e corresponsabilidade; e promove a participação de todos na organização que estão preparados para assumir responsabilidades;
XXVII – Tratamento do Risco é qualquer ação adotada para lidar com risco, podendo consistir
em:
a) aceitar o risco por uma escolha consciente;
b) transferir ou compartilhar o risco a outra parte;
c) evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; ou
d) mitigar ou reduzir o risco, diminuindo sua probabilidade de ocorrência ou minimizando suas consequências.
DOS PRINCÍPIOS E OBJETIVOS
Art. 5° As atividades de gestão de integridade, de riscos e controles internos de gestão, bem como seus instrumentos resultantes, devem guiar-se pelos seguintes princípios:
I – aderência à integridade e aos valores éticos;
II – definição à alta administração do compromisso de atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos institucionais;
III – definição dos objetivos estratégicos que possibilitam a eficaz gestão de integridade, riscos e controles da gestão;
IV – adequado suporte de tecnologia da informação para apoiar os processos de integridade, riscos e a implementação dos controles internos da gestão;
V – utilização de informações relevantes e de qualidade para apoiar o funcionamento dos processos de integridade, riscos e dos controles internos da gestão;
VI – disseminação de informações necessárias ao fortalecimento da cultura e da valorização da gestão de integridade, riscos e dos controles internos da gestão;
VII – realização de avaliações periódicas para verificar a eficácia da gestão de integridade, riscos e dos controles internos da gestão, comunicando o resultado aos responsáveis pela adoção de ações corretivas, inclusive à Alta Administração;
VIII – gestão de integridade, riscos e controles internos da gestão de forma sistemática, estruturada, oportuna e subordinada ao interesse público;
IX – estruturação do conhecimento e das atividades em metodologias, normas, manuais e procedimentos;
X – gestão de integridade, riscos e controles internos da gestão suportada por níveis adequados de exposição a riscos;
XI – integração e utilização das informações e resultados gerados pela gestão de integridade, riscos e controles internos da gestão na elaboração do planejamento estratégico, na tomada de decisões e na melhoria contínua dos processos organizacionais; e
XII – aderência dos métodos e modelos de gerenciamento de riscos às exigências regulatórias.
Art. 6° A PGIRC tem por objetivos:
I – suportar a missão, a continuidade e a sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos;
II – proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica dos processos de trabalho;
III – produzir informações íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;
IV – assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e as normas internas do Conselho;
V – salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida;
VI – possibilitar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais o Conselho está exposto, inclusive para determinar questões relativas à delegação, se for o caso;
VII – aumentar a probabilidade de alcance dos objetivos institucionais, reduzindo os riscos a níveis aceitáveis; e
VIII – agregar valor por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
DAS DIRETRIZES
Da Gestão da Integridade
Art. 7° São diretrizes para a gestão de integridade:
I – a gestão da integridade deve promover a cultura ética e a integridade institucional focada nos valores e no respeito às leis e princípios da Administração Pública;
II – o fortalecimento da integridade institucional do Conselho deve ser promovida por decisões baseadas no autoconhecimento e diagnose de vulnerabilidades;
III – os cargos de comando do Conselho devem ser ocupados a partir da identificação de perfis e capacitação adequada;
IV – a orientação de padrões de comportamento esperados dos agentes públicos no relacionamento com cidadãos, setor privado e grupos de interesses deve ser definida em políticas específicas;
V – a disponibilidade de informações à sociedade deve primar pela atuação transparente, conforme legislação vigente;
VI – o fortalecimento dos mecanismos de comunicação com o público externo deve estimular o recebimento de insumos sobre a implementação de melhorias e a obtenção de informações sobre desvios de conduta a serem apurados; e
VII – os mecanismos de preservação da integridade pública do Conselho devem ser dotados de critérios de identificação e punição dos responsáveis por possíveis desvios de conduta.
DA GESTÃO DE RISCOS
Art. 8° São diretrizes para a gestão de riscos:
I – gestão de riscos deve ser sistematizada e suportada pelas premissas da metodologia do Committee of Sponsoring Organizations of the Treadway Commission – COSO e de boas práticas;
II – a atuação da gestão de riscos deve ser dinâmica e formalizada por meio de metodologias, normas, manuais e procedimentos;
III – as metodologias e ferramentas implementadas devem possibilitar a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro de padrões definidos pelas instâncias supervisoras;
IV – a medição do desempenho da gestão de riscos deve ser realizada mediante atividades contínuas ou de avaliações independentes ou a combinação de ambas;
V – a capacitação dos agentes públicos que exercem cargo, função ou emprego no Conselho, em gestão de riscos, deve ser desenvolvida de forma continuada, por meio de soluções educacionais, em todos os níveis;
VI – o desenvolvimento e implementação de atividades de controle da gestão considera a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades que impactam os objetivos institucionais; e
VII – a utilização de procedimentos de controles internos da gestão proporcionais aos riscos e baseada na relação custo-benefício e na agregação de valor ao Conselho.
DOS CONTROLES INTERNOS DA GESTÃO
Art. 9° São diretrizes para os controles internos da gestão:
I – a implementação dos controles internos da gestão deve ser integrada às atividades, planos, ações, politicas, sistemas, recursos e em sinergia com os agentes públicos que exercem cargo, função ou emprego no Conselho, projetados para fornecer segurança razoável para a consecução dos objetivos institucionais;
II – a definição e operacionalização dos controles internos da gestão devem considerar os riscos internos e externos que se pretende gerenciar, tendo em vista a mitigação da ocorrência de riscos ou impactos sobre os objetivos institucionais do Conselho;
III – a implementação dos controles internos da gestão deve ser efetiva e compatível com a natureza, complexidade, grau de importância e riscos dos processos de trabalhos;
IV – os controles internos da gestão devem ser baseados no modelo de gerenciamento de riscos; e
V – a Alta Administração deve criar condições para que a implementação de procedimentos efetivos de controles internos integrem as práticas de gestão de riscos.
DA IMPLEMENTAÇÃO
Art. 10. Para fins de implementação da PGIRC, em especial a Gestão de Riscos, devem ser observados os seguintes requisitos:
I – a gestão de riscos corporativos deve ser incorporada gradualmente aos processos e às estratégias da organização, de forma pertinente, eficaz e eficiente;
II – a implementação da gestão de riscos institucionais deve tratar prioritariamente os processos e decisões de maior criticidade e relevância estratégica;
III – a gestão de riscos institucionais deve ser estruturada, com suporte metodológico baseado nas melhores práticas de mercado e em conformidade com os requisitos legais e regulamentares vigentes;
IV – a gestão de riscos institucionais deve ser fortalecida com a integração de todas as instâncias envolvidas;
V – os papéis e responsabilidades para a gestão de riscos corporativos devem ser claramente definidos e documentados, em seus diversos níveis, observando, em especial, o princípio da segregação de funções;
VI – a Alta Administração do CAU/BR e a Gerência Executiva devem assegurar que as instâncias à gestão de riscos institucionais tenham atuação técnica independente;
VII – o processo de gestão de riscos institucionais deve ser gerido de forma sistêmica, objetivando o estabelecimento de um ambiente de controle e gestão de riscos que propicie uma visão potencial dos impactos inter-relacionados e, também, respostas integradas aos diversos riscos mapeados pela organização;
VIII – as atividades da gestão de riscos devem ser rastreáveis, e seus registros devem subsidiar a responsabilização, a prestação de contas e a melhoria contínua dos processos;
IX – a gestão de riscos corporativos deve promover a uniformidade de conceitos e a integração de metodologias utilizadas na identificação, na análise, na avaliação e no tratamento dos riscos como forma de melhorar a confiabilidade das informações e a transparência de todo processo de gerenciamento, salvo os casos de sigilo estabelecidos legalmente;
X – esta Política e o suporte metodológico para o gerenciamento de riscos devem ser disseminados a todas as instâncias de gestão de riscos nos diversos níveis organizacionais, para criar e manter a cultura institucional em gestão de riscos, como parte integrante de um programa de educação continuada; e
XI – a maturidade do processo de gestão de riscos institucionais deve ser mensurada periodicamente para avaliação da capacidade do CAU/BR em relação às melhores práticas e o aprimoramento contínuo do processo, pessoas e competências.
DOS INSTRUMENTOS
Art. 11. São instrumentos da Política de Gestão de Integridade, Riscos e Controles Internos do CAU/BR:
I – as Instâncias de Supervisão: o modelo de gestão de integridade, riscos e controles internos da gestão deve ser definido pelo Comitê de Governança, Integridade, Riscos e Controles Internos do CAU/BR;
II – a metodologia: o modelo de gestão de riscos do CAU/BR deve ser estruturado com base Committee of Sponsoring Organizations of the Treadway Commission – COSO, com os seguintes componentes: ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos, resposta a riscos, atividades de controles internos, informação e comunicação e monitoramento e de boas práticas;
III – a capacitação continuada: a Política de Capacitação do CAU/BR deve contemplar no eixo temático de Governança Pública, competências relacionadas à capacitação sobre temas afetos à gestão de integridade, riscos e controles internos da gestão;
IV – as normas, manuais e procedimentos: as normas, manuais e procedimentos formalmente definidos pelas Instâncias de Supervisão devem ser consideradas como instrumentos que suportam a gestão de integridade, riscos e controles internos da gestão; e
V – a solução tecnológica: o processo de gestão de integridade, riscos e controles internos da gestão deve ser apoiado por adequado suporte de tecnologia da informação.
DAS RESPONSABILIDADES
Das 3 Linhas de Defesa
Art. 12. A finalidade das Linhas de Defesa na Gestão de Riscos e Controles Internos é esclarecer papéis e responsabilidades relacionados à atividade de gerenciamento de riscos e controles, contribuindo para a melhoria da comunicação nesta área. Além disso, o modelo apresenta uma nova perspectiva sobre as operações da organização, de modo a aumentar o sucesso de iniciativas relacionadas ao gerenciamento de riscos.
Art. 13. O Modelo das 3 Linhas de Defesa tem por objetivo:
I – melhorar a compreensão, funcionamento, coordenação e interações nos processos de gestão de riscos e controles;
II – definir com clareza as responsabilidades e atribuições;
III – determinar funções e atividades específicas e complementares;
IV – estabelecer limites de responsabilidades e ações;
V – evitar a duplicação de esforços e atividades; e
VI – evitar o surgimento e a existência de lacunas nos controles.
Art. 14. O modelo das Três Linhas de Defesa do CAU/BR busca otimizar as decisões de resposta a risco, reduzir surpresas e prejuízos operacionais e fornecer respostas integradas aos diversos riscos.
§ 1º A abordagem das Três Linhas de Defesa representa uma forma simples e eficaz para melhorar a comunicação e a conscientização sobre os papéis e as responsabilidades essenciais de gestão de riscos.
§ 2º O modelo das Três Linhas de Defesa é composto por três grupos (ou linhas) envolvidos no gerenciamento eficaz de riscos:
a) 1ª linha de defesa: funções que gerenciam e têm propriedade de riscos;
b) 2ª linha de defesa: funções que supervisionam riscos; e
c) 3ª linha de defesa: funções que fornecem avaliações independentes.
Art. 15. As Três Linhas de Defesa do CAU/BR estão estruturadas de acordo com o diagrama de que trata o Anexo 1.
Art. 16. As Linhas de Defesa do CAU/BR, sempre que necessário, poderão e deverão ser aperfeiçoadas, em função do processo de melhoria contínua dos processos que tenham reflexo na arquitetura organizacional, no quadro de alçadas e na gestão operacional da entidade.
DA PRIMEIRA LINHA DE DEFESA
Art. 17. A Primeira Linha de Defesa compreende o negócio e os responsáveis por processos cujas atividades criam e/ou gerenciam os riscos que podem facilitar ou impedir que os objetivos de uma organização sejam cumpridos. Isso inclui assumir os riscos certos.
Art. 18. A Primeira Linha de Defesa é responsável pelos riscos e pela elaboração e execução dos controles da organização para responder a esses riscos.
Parágrafo único. Os gestores de riscos são responsáveis, primordialmente, pelas seguintes atividades:
I – manter controles internos eficazes;
II – conduzir procedimentos de riscos e controle diário;
III – identificar, avaliar, controlar e mitigar riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos, além de garantir que as atividades estejam de acordo com as metas e objetivos;
IV – implementar as ações corretivas para resolver deficiências em processos e controles.
Art. 19. A Primeira Linha de Defesa do CAU/BR, tendo como referência as boas práticas do Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO) e do “The Institute of Internal Auditors”, está diretamente relacionada à avaliação dos riscos; às atividades de controle; às questões de informação e comunicação; e às atividades de monitoramento.
Art. 20. A avaliação dos riscos pressupõe a execução das seguintes atividades:
I – especificar objetivos adequados;
II – identificar e analisar os riscos;
III – avaliar os riscos de fraude; e
IV – identificar e analisar mudanças significativas.
Art. 21. As atividades de controle requerem a execução das seguintes ações:
I – selecionar e desenvolver atividades de controle;
II – identificar e empreender controles gerais; e
III – desenvolver e implementar políticas, normas e procedimentos relativos às atividades às quais tem responsabilidade direta.
Art. 22. As questões relacionadas à informação e comunicação devem:
I – utilizar informações relevantes;
II – instituir canais de comunicação interna; e
III – estabelecer, sempre que requerido e necessário, de acordo com os Marcos Legais aplicáveis, canais de comunicação externa adequados à transparência e a prestação de contas.
Art. 23. As atividades de monitoramento devem ser conduzidas com vistas a:
I – avaliar continuamente os mecanismos de gestão de riscos e de controle interno concernentes às atividades as quais esteja responsável diretamente; e
II – comunicar sistematicamente as possíveis deficiências apuradas durante às avaliações, sempre acompanhas de oportunidades de melhorias.
DA SEGUNDA LINHA DE DEFESA
Art. 24. A Segunda Linha de Defesa é composta por funções de gestão de risco e de conformidade.
Art. 25. A Segunda Linha de Defesa realiza o monitoramento da primeira linha através da avaliação da eficácia das práticas de gestão de riscos que estão sendo adotadas.
Art. 26. A Segunda Linha de Defesa, antes de tudo, tem às seguintes responsabilidades:
I – prestar auxílio à gestão na concepção e desenvolvimento de processos e controles para gerir adequadamente os riscos;
II – definir atividades para monitorar e medir o sucesso em comparação com as expectativas estabelecidas;
III – acompanhar a eficácia das atividades de controle interno, escalonando questões críticas, riscos emergentes e outros;
IV – encaminhar às instâncias de Governança e Gestão os problemas críticos, os riscos emergentes e exceções;
V – fornecer uma estrutura para gestão de risco;
VI – identificar e monitorar questões conhecidas e emergentes que afetam os riscos e controles da organização;
VII – identificar mudanças no apetite de risco implícito da organização e tolerância ao risco;
VIII – fornecer orientações e formação adequadas relacionadas aos processos de gestão e controle de riscos.
Art. 27. A Segunda Linha de Defesa, do CAU/BR, tendo como referência as boas práticas do Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO) e do “The Institute of Internal Auditors”, está diretamente relacionada às atividades de monitoramento.
Art. 28. As atividades de monitoramento, no âmbito da Segunda Linha de Defesa devem ser conduzidas com vistas a:
I – avaliar continuamente os mecanismos de gestão de riscos e de controle interno concernentes às atividades as quais esteja responsável diretamente;
II – comunicar sistematicamente as possíveis deficiências apuradas durante às avaliações, sempre acompanhas de oportunidades de melhorias;
III – auxiliar na construção de controles internos tais como procedimentos e documentos em conjunto com as áreas pertencentes a primeira linha de defesa.
DA TERCEIRA LINHA DE DEFESA
Art. 29 A Auditoria é a função que compõe a Terceira Linha de Defesa do CAU/BR.
Art. 30. A Auditoria Interna, com independência, é responsável por fornecer à Governança e à Gestão avaliações objetivas e abrangentes.
§ 1º A Auditoria Interna tem o papel fundamental de fornecer asseguração aos órgãos de Governança e Gestão de que os processos de gestão de riscos operam de maneira eficaz e os maiores riscos do negócio são gerenciados adequadamente em todos os níveis da organização.
§ 2° A Auditoria Interna deve desenvolver compreensão clara da estratégia da organização e de como ela é executada, quais os riscos associados e como esses riscos são gerenciados.
§ 3° A estratégia da organização deve fomentar o desenvolvimento dos Planos Anuais de Auditoria Interna (PAINT), baseado em risco, de modo a alinhar as atividades da Auditoria Interna com as prioridades da organização.
§ 4° A Auditoria Interna deve auxiliar a identificar riscos mais significativos para o alcance dos objetivos da organização.
§ 5° Os trabalhos da Auditoria Interna devem utilizar a abordagem de auditoria baseada em risco, permitindo que Planos de Ação para o tratamento dos riscos identificados sejam efetivamente formulados e monitorados pela Auditoria Interna.
Art. 31. A Auditoria Interna deverá prover avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a Primeira e a Segunda Linhas de Defesa alcançam os objetivos em relação ao gerenciamento de riscos e controles.
Art. 32. A Terceira Linha de Defesa, do CAU/BR, tendo como referência as boas práticas do Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO) e do “The Institute of Internal Auditors”, está diretamente relacionada à avaliação do ambiente de controle; à avaliação dos riscos; às atividades de controle; às questões de informação e comunicação; e às atividades de monitoramento.
Art. 33. A verificação do ambiente de controle interno requer a realização das seguintes atividades:
I – avaliar a efetividade do compromisso com a integridade e valores éticos;
II – averiguar o exercício efetivo da responsabilidade de supervisão;
III – verificar a eficácia da estrutura, da autoridade e da responsabilidade frente às atividades operacionais; e
IV – identificar o efetivo compromisso dos colaboradores e gestores com a Missão, Visão e Valores institucionais.
Art. 34. A avaliação dos riscos pressupõe a execução das seguintes atividades:
I – especificar objetivos adequados;
II – identificar e analisar os riscos;
III – avaliar os riscos de fraude; e
IV – identificar e analisar mudanças significativas.
Art. 35. As atividades de controle requerem a execução das seguintes ações:
I – selecionar e desenvolver atividades de controle;
II – identificar e empreender controles gerais; e
III – avaliar a aplicação de políticas, normas e procedimentos relativos às atividades desenvolvidas.
Art. 36. As questões relacionadas à informação e comunicação devem:
I – utilizar informações relevantes;
II – instituir canais de comunicação interna; e
III – estabelecer, sempre que requerido e necessário, de acordo com os Marcos Legais aplicáveis, canais de comunicação externa adequados à transparência e a prestação de contas.
Art. 37. As atividades de monitoramento devem ser conduzidas com vistas a:
I – avaliar continuamente os mecanismos de gestão de riscos e de controle interno concernentes às atividades as quais esteja responsável diretamente; e
II – comunicar sistematicamente as possíveis deficiências apuradas durante às avaliações, sempre acompanhas de oportunidades de melhorias.
COMPETÊNCIAS E ATRIBUIÇÕES
Art. 38. Compete ao Comitê de Governança Organizacional, como Instância de Supervisão:
I – propor e promover a adoção de práticas e princípios de conduta e padrões de comportamento no âmbito de sua atuação;
II – estimular a inovação e a adoção de boas práticas de gestão de integridade, riscos e controles internos de gestão;
III – avaliar e orientar sobre as regulamentações, leis e códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;
IV – propor, à Alta Administração, objetivo estratégico que norteie as boas práticas de governança, gestão de integridade, riscos e controles internos da gestão;
V – estimular a adoção de práticas institucionais de responsabilização dos agentes públicos na prestação de contas, transparência e efetividade das informações;
VI – incentivar a integração dos agentes responsáveis pela gestão de integridade, riscos e controles internos da gestão;
VII – auxiliar no funcionamento das estruturas da gestão de integridade, riscos e controles internos da gestão nos processos de trabalho, observadas as estratégias aprovadas pela Alta Administração;
VIII – propor, à Alta Administração, políticas, diretrizes, metodologias e mecanismos de comunicação e monitoramento para a gestão de integridade, riscos e controles internos da gestão;
IX – proporcionar condições à capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão de integridade, riscos e controles internos da gestão;
X – promover a disseminação da cultura de gestão de integridade, riscos e controles internos da gestão;
XI – orientar e emitir recomendações sobre a gestão de integridade, riscos e controles internos da gestão;
XII – propor, à Alta Administração, políticas, diretrizes, metodologias e mecanismos de implementação, comunicação e monitoramento de ações que garantam a privacidade e a proteção de dados pessoais dos profissionais e das pessoas jurídicas registrados nos Conselhos de Arquitetura e Urbanismo, bem como dos conselheiros, empregados, estagiários, prestadores de serviço e demais pessoas que venham a ter relação com esses Conselhos;
XIII – propor, à Alta Administração, a aplicação sistemática de políticas de gerenciamento, procedimentos e práticas que garantam a preservação da confidencialidade, integridade, autenticidade e disponibilidade das informações mantidas e utilizadas no âmbito do CAU/BR;
XIV – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 39. Compete a Presidência do CAU/BR:
I – aprovar e promover a adoção de práticas e princípios de conduta e padrões de comportamento;
II – apoiar a inovação e a adoção de boas práticas de governança, gestão de integridade, riscos e controles internos da gestão;
III – promover a aderência às regulamentações, leis, códigos, normas e padrões na condução das políticas e na prestação de serviços de interesse público;
IV – promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, transparência e efetividade das informações;
V – promover a integração e o desenvolvimento contínuo dos agentes responsáveis pela governança, gestão da integridade, riscos e controles internos da gestão;
VI – homologar a Política de Gestão de Integridade, Riscos e Controles Internos e suas futuras revisões;
VII – homologar os Planos de Gestão de Integridade, Riscos e Controles Internos da 2ª e da 3ª linhas de defesa e suas alterações;
VIII – homologar o Relatório Anual de Gestão de Integridade, Riscos e Controles Internos da 2ª e da 3ª linhas de defesa, após análise e apreciação da Gerência Executiva; e
IX – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 40. Compete ao Conselho Diretor do CAU/BR:
I – definir o objetivo estratégico que norteia as boas práticas de governança, gestão de integridade, riscos e controles internos da gestão;
II – institucionalizar estruturas adequadas de governança, gestão de integridade, riscos e controle internos da gestão;
III – aprovar políticas, diretrizes, metodologias e mecanismos de monitoramento e comunicação para a gestão de integridade, riscos e controles internos da gestão;
IV – deliberar sobre as questões estratégicas concernentes ao processo de Gestão de Riscos, tais como o grau de apetite a riscos do CAU/BR, o papel das instâncias de Gestão no gerenciamento dos riscos e a priorização dos riscos;
V – estabelecer limites de exposição a riscos e níveis de conformidade;
VI – aprovar as diretrizes de capacitação dos agentes públicos no exercício do cargo, função e emprego em gestão de integridade, riscos e controles internos da gestão;
VII – definir ações para disseminação da cultura de gestão de integridade, riscos e controles internos da gestão;
VIII – aprovar a Política de Gestão de Integridade, Riscos e Controles Internos e os Planos de Gestão de Integridade, Riscos e Controles Internos, e avaliar propostas de mudanças;
IX – provar o Relatório de Consolidação de Riscos; e
X – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 41. Compete à Gerência Executiva e à Secretaria Geral da Mesa:
I – colaborar na disseminação da Política de Gestão de Integridade, Riscos e Controles Internos no CAU/BR;
II – estimular a adoção da cultura de gestão de riscos em todo o CAU/BR;
III – auxiliar no processo de gestão de riscos no nível estratégico;
IV – participar da elaboração do relatório de análise crítica e o mapa de riscos no nível estratégico;
V – supervisionar a Gestão de Riscos (tático e operacional), inclusive os riscos relacionados à integridade das informações contábeis e financeiras e os relacionados à ocorrência de não conformidade ao Código de Ética, Conduta e Integridade do CAU/BR;
VI – dirimir dúvidas quanto à identificação do gestor de determinado risco no âmbito interno das unidades organizacionais;
VII – aprovar os Planos Anuais de Gestão de Integridade, Riscos e Controles Internos, e os Relatórios Anuais de Gestão de Integridade, Riscos e Controles Internos ambos da 1ª linha de defesa; e
VIII – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 42. Compete aos Gestores de Riscos: Gabinete da Presidência, Gerência do CSC, Gerência de Orçamento e Finanças, Gerência Administrativa, Gerência de Planejamento e Gestão Estratégica, Coordenadoria Técnico-Normativa, Coordenadoria Técnico-Executiva e Supervisão Técnica:
I – atuar como Primeira Linha de Defesa do CAU/BR, gerenciando os riscos inerentes às suas atividades, identificando-os, avaliando-os e tratando-os por meio do desenvolvimento e da implementação de políticas e procedimentos internos que possam oferecer garantia razoável de que as atividades estejam de acordo com as metas e objetivos, de modo a otimizar suas decisões, com o intuito de manter e obter vantagens competitivas e garantir a geração de valor para o CAU/BR e demais partes interessadas;
II – assegurar a implementação dos planos de ação definidos para tratamento dos riscos inerentes;
III – comunicar a Controladoria sobre novos riscos inerentes aos seus processos e que não fazem parte da relação de riscos de negócio do CAU/BR tendo auxílio dessa área na construção de controles internos tais como procedimentos e documentos; e
IV – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 43. Compete aos Gestores de Processos:
I – executar as atividades do processo de gestão de riscos sob sua responsabilidade;
II – monitorar os riscos sob sua responsabilidade, e apoiar os gestores de processo na definição dos planos de ação necessários para tratamento dos riscos;
III – implementar os planos de ação definidos para tratamento dos riscos sob sua responsabilidade; e
IV – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 44. Compete à Assessoria Jurídica:
I – atuar como Segunda Linha de Defesa do CAU/BR, de forma preventiva e consultiva, na análise da conformidade de contratos e demais atos de gestão, quando requeridos, com vistas ao cumprimento das leis e dos normativos institucionais;
II – emitir pareceres, exposições de motivos, despachos e informações de caráter jurídico nos assuntos que são submetidos ao seu exame;
III – administrar o contencioso do CAU/BR, em todas as instâncias, acompanhando os processos administrativos e judiciais, preparando recursos, impetrando mandados de segurança ou tomando as providências necessárias para garantir os direitos e interesses do Conselho;
IV – alertar os Gestores de Riscos para questões emergentes e para as mudanças no cenário regulatório e de riscos; e
V – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 45. Compete à Controladoria:
I – atuar como Segunda Linha de Defesa do CAU/BR, auxiliando na implantação do processo de Gestão de Riscos, na sua integração com os ciclos de planejamento do CAU/BR;
II – propor programa de capacitação e aperfeiçoamento voltado para a Gestão de Riscos no âmbito do CAU/BR, bem como apoiar e orientar os gestores no estabelecimento de processos de Gestão de Riscos que sejam eficazes em suas áreas de responsabilidade.
III – estabelecer uma linguagem comum de gestão de riscos, que inclua medidas comuns de probabilidade, impacto e categoria de riscos;
IV – coordenar as atividades de gestão de riscos, orientar e monitorar a implantação das práticas de gestão de riscos pelos Gestores de Riscos, apoiar a definição de metas de exposição a risco, monitorar riscos específicos de Compliance, e os que eventualmente sejam demandados pela Governança e Gerência Executiva do CAU/BR;
V – auxiliar os Gestores de Riscos a desenvolver processos e a definir controles para gerenciar riscos;
VI – monitorar riscos e controles da primeira linha de defesa;
VII – monitorar, periodicamente, a adequação da estrutura operacional de gerenciamento de riscos na verificação de sua efetividade, e recomendar à Gerência Executiva sugestões de aprimoramento, caso entenda necessário;
VIII – monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte, a conformidade com leis e regulamentos e a resolução oportuna de deficiências; e
IX – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 46. Compete à Ouvidoria Geral:
I – atuar como Segunda Linha de Defesa do CAU/BR, no que tange a identificação, após análise de reclamações e/ou denúncias, das possíveis fragilidades operacionais;
II – realizar o monitoramento do nível de transparência do CAU/BR, com ênfase na disponibilidade, prontidão e atualidade das informações;
III – acompanhar a prestação de serviços públicos, com o objetivo de garantir sua efetividade; e
IV – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
Art. 47. Compete à Auditoria:
I – atuar como Terceira Linha de Defesa do CAU/BR, promovendo a avaliação sistemática da Governança, da Gestão de Riscos e dos Controles Internos;
II – realizar auditorias internas baseadas em riscos, focando na estrutura e no processo de gestão de riscos, em todos os níveis relevantes das atividades organizacionais, ou seja, procurando testar os aspectos sistêmicos da gestão de riscos em vez de situações específicas;
III – realizar auditoria de avaliação de controles internos visando aferir a adequação dos controles, como um todo, no enfrentamento de riscos;
IV – fornecer avaliações (assegurações) independentes e objetivas sobre os processos de gestão de riscos, controles internos e governança à Alta Administração do CAU/BR;
V – as avaliações devem revestir-se dos seguintes objetivos:
a) eficiência e eficácia das operações;
b) salvaguarda de ativos;
c) confiabilidade e integridade dos processos de reporte; e
d) conformidade com leis, regulamentos, políticas, procedimentos e contratos.
VI – na realização das avaliações dos elementos da estrutura de gestão de riscos e controle interno devem ser observadom os seguintes elementos:
a) o ambiente de controle interno, todos os elementos da estrutura de gerenciamento de riscos da organização (identificação de riscos, avaliação de riscos e resposta); e
b) informação, comunicação e monitoramento em todos os níveis da estrutura organizacional da entidade, como divisões, unidades de operação e funções, incluindo os processos do CAU/BR voltados para as partes interessadas e operações, assim como funções de suporte como a contabilidade de receita e despesas, recursos humanos, compras, folha de pagamento, orçamentos, gestão de infraestrutura e ativos, inventário e tecnologia da informação.
VII – praticar outros atos de natureza técnica e administrativa necessários ao exercício de suas responsabilidades.
DO PLANEJAMENTO E DA PRESTAÇÃO DE CONTAS
Art. 48. A Gerência Administrativa, a Controladoria, a Ouvidoria Geral e a Auditoria deverão apresentar à Presidência, ao Conselho Diretor e à Gerência Executiva do CAU/BR, até 31 de outubro de cada ano em relação ao ano subsequente, o planejamento de suas atividades por meio dos seguintes documentos:
I – Plano Anual de Integridade, Gestão de Riscos e de Controle Interno (PAGIRC);
II – Plano Gestão Anual da Ouvidoria (PGAO);
III – Plano Anual de Auditoria Interna (PAINT); e
IV – Plano Anual de Contratações (PAC).
Art. 49. A Gerência Administrativa, a Controladoria, a Ouvidoria Geral e a Auditoria deverão apresentar à Presidência, ao Conselho Diretor e à Gerência Executiva do CAU/BR, até 15 de março de cada ano, a prestação de contas da execução dos planos anuais, descritos no artigo anterior, por meio dos seguintes documentos:
I – Relatório Anual de Integridade, Gestão de Riscos e de Controle Interno (RAGIRC);
II – Relatório Gestão Anual da Ouvidoria (RGAO);
III – Relatório Anual de Auditoria Interna (RAINT); e
IV – Relatório Anual de Contratações (RAC).
Art. 50. A Controladoria, sob a supervisão da Gerência Executiva, a Ouvidoria Geral e a Auditoria, ao final de cada semestre, deverão apresentar à Presidência e ao Conselho Diretor do CAU/BR, Relatório Circunstanciado das atividades de Gestão de Riscos e Controle Interno desenvolvidas, conforme calendário abaixo:
I – 1º semestre: até o dia 31 de agosto de cada ano; e
II – 2º semestre: até o dia 31 de março do ano subsequente.
DA ATUALIZAÇÃO
Art. 51. A Política de Gestão de Integridade, Riscos e Controles Internos deve ser atualizada ou ratificada em intervalos não superiores a 2 (dois) anos ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
DAS DISPOSIÇÕES GERAIS
Art. 52. Devido à abrangência e à complexidade do tema, a Política de Gestão de Integridade, Riscos e Controles Internos do CAU/BR será implantada de forma gradual e continuada, em até 24 (vinte e quatro) meses, a contar da data de publicação desta política.
Art. 53. Esta política deve ser monitorada por todas as instâncias nos diversos níveis organizacionais do CAU/BR, no que tange à aplicação dos procedimentos de acompanhamento e ao controle de suas diretrizes e do processo de gestão de riscos.
Art. 54. O conteúdo desta Portaria Normativa deve ser lido e considerado em conjunto com outros padrões, normas e procedimentos aplicáveis e relevantes, adotados pelo CAU/BR, em particular aqueles relacionados a fraudes, corrupção e conduta antiética. Além disso, considerando as especificidades de cada órgão de Governança e de Gestão, esta Política deve ser desdobrada em outros documentos normativos específicos, sempre alinhados às diretrizes e princípios aqui estabelecidos.
Art. 55. Se houver dúvida sobre o conteúdo da Política sobre Gestão de Riscos do CAU/BR, o gestor, colaborador ou prestador de serviço não poderá se omitir e deverá procurar esclarecimento por intermédio de seu líder direto ou, se necessário, por intermédio dos responsáveis pelos processos de gestão de integridade, riscos e controles internos do CAU/BR.
Art. 56. Os casos omissos ou excepcionalidades serão resolvidos pela Alta Administração do Conselho de Arquitetura e Urbanismo do Brasil.
Art. 57. Esta Portaria Normativa entra em vigor na data da sua publicação no sítio eletrônico do CAU/BR na Rede Mundial de Computadores (Internet), no endereço www.caubr.gov.br.
Brasília, 1° de setembro de 2023.
NADIA SOMEKH
Presidente do CAU/BR
PORTARIA NORMATIVA N° 123, DE 1° DE SETREMBRO DE 2023
ANEXO 1
[Este documento foi originalmente publicado às 12h48 de 04 de setembro de 2023]