RESOLUÇÃO Nº 579, DE 23 DE MAIO DE 2022.

O TRIBUNAL REGIONAL ELEITORAL DO ESTADO DE SÃO PAULO, no uso de suas atribuições regimentais, e

CONSIDERANDO as orientações do Tribunal de Contas da União (TCU), constantes nas decisões normativas que regulamentam a elaboração anual dos relatórios de gestão das unidades jurisdicionadas, no que se refere ao aprimoramento das estruturas de governança e de autocontrole da gestão;

CONSIDERANDO que a Gestão de Riscos possibilita à organização aumentar a probabilidade de atingir os seus objetivos; encorajar uma gestão proativa; estar atenta para a necessidade de identificar e tratar os riscos através de toda a organização; melhorar a identificação de oportunidades e ameaças; melhorar a governança; estabelecer uma base confiável para a tomada de decisão e para o planejamento;

CONSIDERANDO o constante no Referencial Básico de Governança do TCU, aplicável aos órgãos e entidades da Administração Pública, especificamente no que tange à Gestão de Riscos como componente dos mecanismos de governança para o alcance dos objetivos organizacionais;

CONSIDERANDO que o Decreto nº 9.203/2017 prevê a integridade como princípio e mecanismo para o exercício da Governança Pública, por meio de programa estruturado nos eixos do comprometimento e apoio da Alta Administração, da designação de unidades responsáveis, da análise, da avaliação e da gestão dos riscos associados ao tema e do monitoramento contínuo dos seus atributos;

CONSIDERANDO o disposto nas Resoluções 308 e 309 do Conselho Nacional de Justiça que organizam as diretrizes e atividades de auditoria interna do Poder Judiciário;

CONSIDERANDO que a Declaração de Posicionamento do IIA (The Institute o/Internal Auditors) considera três linhas de defesa no gerenciamento eficaz de riscos e controles, endossada pelo Instituto de Auditores Internos do Brasil — IIA Brasil;

CONSIDERANDO os objetivos estratégicos para fortalecer os processos de governança institucional e do processo eleitoral, estabelecidos na Resolução TRE-SP nº 546/2021, que dispõe sobre o Plano Estratégico do Tribunal Regional Eleitoral do Estado de São Paulo - ciclo 2016 - 2021;

CONSIDERANDO o disposto na Resolução TRE-SP nº 551/2021 que dispõe sobre a política de integridade e compliance deste Tribunal;

CONSIDERANDO o disposto na Resolução TRE-SP nº 421/2017 que dispõe o sistema de governança corporativa e gestão deste Tribunal;

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º  A Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo TRE-SP, nos termos desta Resolução, compreende:

I - os objetivos;

II - os princípios;

III - as diretrizes;

IV - as responsabilidades; e

V - o processo de gestão de riscos.

Art. 2º  Para fins do disposto nesta Resolução, define-se a Gestão de Riscos como processo corporativo contínuo e interativo, que visa dirigir e controlar eventos que possam afetar o cumprimento dos objetivos organizacionais.

Art. 3º  Para fins desta Resolução considera-se:

I - governança: combinação de processos e estruturas implantadas pela alta administração do TRE para informar, dirigir, administrar e monitorar suas atividades, com o intuito de alcançar os seus objetivos;

II - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, sendo medido em termos de impacto e de probabilidade;

III - apetite a risco: nível de risco que o TRE está disposto a aceitar;

IV - avaliação de risco: processo de identificação e análise dos riscos relevantes para o alcance dos objetivos do TRE e a determinação de resposta apropriada;

V - identificação de riscos: processo de busca, reconhecimento e descrição de riscos que compreende a identificação de suas fontes, causas e consequências potenciais, podendo envolver dados históricos, análises teóricas, opiniões de pessoas informadas e de especialistas e as necessidades das partes interessadas;

VI - nível de risco: magnitude de um risco, expressa em termos da combinação de suas consequências e probabilidades de ocorrência;

VII - procedimentos de controle interno: procedimentos que o TRE executa para o tratamento do risco, projetados para lidar com o nível de incerteza previamente identificado;

VIII - Processo de Gestão de Riscos (PGRiscos): aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de identificação, avaliação, tratamento e monitoramento de riscos, bem como de comunicação com partes interessadas em assuntos relacionados a risco;

IX - resposta a risco: qualquer ação adotada para lidar com o risco, podendo consistir em:

a) aceitar o risco por uma escolha consciente;

b) transferir ou compartilhar o risco;

c) evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco; ou

d) mitigar ou reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências.

X - tratamento de risco: processo de estipular uma resposta ao risco;

XI - processo de avaliação de riscos: processo global de identificação de riscos, análise de riscos e avaliação de riscos;

XII - processos de trabalho: no contexto do processo de gestão de risco, são projetos e ações relacionadas às competências e atribuições das unidades do Tribunal;

XIII - riscos residuais: risco remanescente após o tratamento do risco;

XIV - vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado.

XV - linhas de defesa: modelo de gerenciamento de riscos, que consiste na atuação coordenada de três camadas do TRE, com as seguintes responsabilidades e funções:

a) 1^a Linha de Defesa: contempla os controles primários, que devem ser instituídos e mantidos pelos gestores e pelas gestoras de riscos durante a execução de atividades e tarefas, no âmbito de seus macroprocessos finalísticos e de apoio;

b) 2^a Linha de Defesa: contempla os controles situados ao nível da gestão e objetivam assegurar que as atividades realizadas pela 1ª linha de defesa sejam desenvolvidas e executadas de forma apropriada;

c) 3^a Linha de Defesa: representada pela unidade de auditoria interna, responsável por avaliar as atividades da 1ª e 2ª linhas de defesa no que tange à eficácia da governança, do gerenciamento de riscos e dos controles internos, mediante a prestação de serviços de avaliação e de consultoria com base nos pressupostos de autonomia técnica e de objetividade.

CAPÍTULO II

DOS PRINCÍPIOS DA GESTÃO DE RISCOS

Art. 4º  A Gestão de Riscos adotada pelo Tribunal Regional Eleitoral do Estado de São Paulo deve observar os seguintes princípios:

I - criar e proteger os valores organizacionais: o risco não deve ser gerenciado isoladamente. A Gestão de Riscos deve estar alinhada à gestão organizacional, de maneira a alcançar seus objetivos e aprimorar o seu desempenho;

II - integrar os processos organizacionais: a Gestão de Riscos é parte das responsabilidades de todos os gestores e gestoras e deverá integrar todos os processos de trabalho, projetos e planos de ação;

III - fazer parte da tomada de decisões: para a tomada de decisão, os gestores e as gestoras, com o apoio das unidades técnicas, deverão avaliar consistentemente os riscos que podem impedir ou oportunizar o alcance dos objetivos pretendidos pela Administração, o impacto de cada um deles no negócio e priorizar as ações com base no plano de resposta ao risco;

IV - abordar explicitamente a incerteza: abordar especificamente o efeito da incerteza nos objetivos estabelecidos pela Administração. O risco só poderá ser avaliado ou tratado com sucesso, se a natureza e a fonte da incerteza forem devidamente compreendidas;

V - ser sistemática, estruturada e oportuna: fazer parte da gestão organizacional, no sentido de contribuir para a eficiência dos processos de trabalho, dos projetos, dos planos de ações e para o alcance de resultados consistentes, confiáveis e comparáveis;

VI - basear-se nas melhores informações disponíveis: para que a tomada de decisão seja baseada em riscos, o processo de gestão de riscos deverá considerar fontes de informações tempestivas e confiáveis, observando dados históricos, experiências, retorno das partes interessadas, observações, previsões, pareceres de especialistas;

VII - atender às necessidades organizacionais: a Gestão de Riscos deverá alinhar-se ao ambiente interno, externo e à organização estendida;

VIII - considerar a importância dos fatores humanos e culturais: o processo de gestão de riscos deverá reconhecer as capacidades, percepções e intenções de pessoas externas e internas que podem facilitar o atingimento dos objetivos desta Justiça Especializada;

IX - ser transparente e inclusiva: o processo de gestão de riscos deverá envolver, de maneira apropriada e oportuna, as partes interessadas e, em particular, os tomadores e as tomadoras de decisões em todos os níveis da organização, a fim de assegurar que a Gestão de Riscos permaneça relevante, atualizada e disponível aos interessados e às interessadas;

X - ser dinâmica, iterativa e capaz de reagir a mudanças: o processo de gestão de riscos deverá ser capaz de perceber continuamente as mudanças internas e externas e respondê-las tempestivamente; e

XI - facilitar a melhoria contínua: desenvolver e implementar estratégias para que a organização permaneça alerta a novas oportunidades de melhoria.

CAPÍTULO III

DOS OBJETIVOS DA POLÍTICA DE GESTÃO DE RISCOS

Art. 5º  A Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo tem como objetivo geral estabelecer conceitos, diretrizes, atribuições e responsabilidades do processo da gestão de riscos, bem como orientar a identificação, a avaliação, o tratamento, o monitoramento e a comunicação dos riscos organizacionais, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público, bem como ampliar a possibilidade do alcance dos objetivos organizacionais.

Art. 6º  A Política de Gestão de Riscos tem por objetivos específicos promover:

I – a identificação de eventos em potencial que afetem a consecução dos objetivos organizacionais;

II - o fortalecimento das decisões em resposta aos riscos, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público;

III - o aprimoramento dos controles internos administrativos;

IV - o alinhamento do apetite ao risco e da estrutura de controles internos às estratégias adotadas;

V - a disseminação da cultura sobre a importância da Gestão de Riscos e dos controles internos.

CAPÍTULO IV

DAS DIRETRIZES DA GESTÃO DE RISCOS

Art. 7º  A Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo deve utilizar as melhores informações disponíveis e a linguagem comum, bem como, definir as responsabilidades e a adoção de boas práticas de governança.

§ 1º  As informações relacionadas à implantação e desenvolvimento do processo de gestão de riscos devem ser registradas e catalogadas de modo sistemático.

§ 2º  A adoção de boas práticas de governança deve considerar o contexto interno e externo e o perfil de risco da organização, a fim de atingir e manter a qualidade de suas informações.

Art. 8º  A Gestão de Riscos deste Tribunal realizar-se-á com base nas diretrizes e procedimentos estabelecidos nesta Política e nos documentos dela derivados, em especial a metodologia e o manual de gestão de riscos os quais se aplicam a todas as unidades do Tribunal Regional Eleitoral do Estado de São Paulo.

Parágrafo único.  O gerenciamento de riscos de contratações, de tecnologia da informação e comunicação e os relacionados a pessoas deve ser realizado em harmonia com a presente Política de Gestão de Riscos, assegurando o alinhamento ao planejamento estratégico institucional, às leis orçamentárias e à promoção da eficiência, efetividade e eficácia.

Art. 9º  A Política de Gestão de Riscos abrange principalmente os seguintes tipos de risco, que podem classificar eventos que afetem as atividades do TRE-SP em uma ou mais categorias de impacto:

I - riscos estratégicos: eventos que podem afetar negativamente o alcance dos objetivos consignados no Plano Estratégico Institucional (PEI);

II - riscos à imagem: circunstâncias que podem levar ao comprometimento da reputação da organização, inclusive aquelas que impeçam a devida transparência, prestação de contas à sociedade e aos órgãos de controle;

III - riscos operacionais/logísticos: eventos que podem resultar na ocorrência de perdas (produtividade, ativos e orçamentos) decorrentes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, tecnologia ou de eventos externos (catástrofes naturais, greves, fraudes);

IV - riscos ambientais: eventos que podem ocasionar consequências negativas no meio-ambiente, à proteção da saúde, à segurança e à biodiversidade;

V - riscos sociais/humanos: eventos que podem ocasionar efeitos negativos à proteção da saúde ou à integridade humana, social e cultural;

VI - riscos de tecnologia da informação e comunicação (TIC): situações em que os recursos tecnológicos empregados nos diversos processos (equipamentos, sistemas e telecomunicações) impactem negativamente na eficiência, eficácia, segurança ou produtividade da tarefa analisada, ou, ainda, a perda de oportunidades de se empregarem tais tecnologias para o cumprimento de metas elou aperfeiçoamento dos serviços prestados pela organização;

VII - riscos à conformidade: eventos que prejudicam a observância de todo o elenco normativo da Administração Pública relacionado à atividade analisada — desde os princípios constitucionais, legislações específicas ou regulamentações externas aplicáveis à organização, até normas internas;

VIII - riscos orçamentários: eventos que podem comprometer a execução orçamentária ou, no sentido inverso, que gerem limitações de recursos orçamentários necessários à realização de atividades;

IX - riscos à segurança da informação e proteção de dados: inerentes a vulnerabilidades na aplicação de recursos humanos, logísticos e tecnológicos de segurança no acesso, operação e preservação de bases de dados, bem como aqueles que interfiram no tratamento de toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação; modificação, comunicação, transferência, difusão ou extração dados pessoais, assim como as diretrizes preconizadas em toda a legislação correlata à manutenção da privacidade;

X - riscos à integridade: situações que contrariam a política de integridade da organização, inclusive quanto à necessidade de se manterem os prestadores de serviço informados acerca das normas e diretrizes que visam coibir, dentre outras práticas, nepotismo, conflito de interesses, recebimento de vantagem indevida.

XI - riscos de contratações: situações que podem comprometer as contratações públicas em todas as suas fases, compreendendo planejamento, seleção do fornecedor e gestão do contrato, a fim de garantir o atendimento das necessidades da Administração.

CAPÍTULO V

DA ESTRUTURA DE GOVERNANÇA E RESPONSABILIDADES

Art. 10.  A Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo é de responsabilidade da organização e parte integrante de todos os processos organizacionais, sendo exercida de forma compartilhada por magistrados, magistradas, servidores, servidoras, unidades, comitês setoriais e comissões.

Art. 11.  A governança de Gestão de Riscos organiza-se consoante o modelo de três linhas de defesa no controle, supervisão de conformidade e avaliação de riscos, compreendendo as seguintes responsabilidades:

I - Pleno do Tribunal;

II - Presidência do Tribunal;

III - Primeira Linha de Defesa: composta pelos gestores e pelas gestoras de riscos;

IV - Segunda Linha de Defesa: composta pelos órgãos de governança, a exemplo do Comitê Gestor da Estratégia (CoGEst), do Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC), do Comitê Gestor de Segurança da Informação - CGSI e do Comitê Gestor Local de Gestão de Pessoas, bem como a Unidade de Planejamento Estratégico e de Eleições;

V - Terceira Linha de Defesa: composta pela unidade de Auditoria Interna.

Art. 12.  Compete ao Pleno do Tribunal aprovar eventuais revisões da Política de Gestão de Riscos do Tribunal Regional Eleitoral do Estado de São Paulo.

Art. 13.  Compete à Presidência do Tribunal, como órgão máximo de governança da gestão de riscos, submeter ao Pleno eventuais revisões da Política de Gestão de Riscos, além de aprovar por ato próprio, o grau de tolerância consignado nos Planos de Gestão de Riscos das secretarias, assessorias e coordenadorias do Tribunal.

Art. 14.  Compete ao gestor ou gestora de riscos como primeira linha de defesa:

I - gerir os riscos sob sua responsabilidade relativos a ações, processos, projetos e iniciativas, de acordo com o contexto organizacional da Gestão de Riscos;

II - instituir, implementar e manter controles internos adequados e eficientes no gerenciamento de riscos;

III - reportar à instância superior os riscos que eventualmente extrapolarem sua competência e capacidade para gerenciamento, em especial, os relacionados à estratégia do Tribunal;

IV - estruturar e monitorar o Plano de Gestão de Riscos sob sua responsabilidade;

V - garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização;

VI - prover o suporte ao Comitê Gestor da Estratégia (CoGEst) e aos Gestores e Gestoras das unidades administrativas nas etapas de avaliação dos Planos de Gestão de Riscos.

VII - fomentar a disseminação das diretrizes desta Resolução.

Parágrafo único.  Considera-se gestor ou gestora de riscos, em seus respectivos âmbitos e escopos de atuação:

I - o Presidente ou a Presidente;

II - o Corregedor ou Corregedora;

III - os Juízes Eleitorais e as Juízas Eleitorais;

IV - o Diretor-Geral ou Diretora-Geral;

V - os Assessores-chefes e as Assessoras-Chefes;

VI - os Secretários e as Secretárias;

VII - os Coordenadores e as Coordenadoras;

VIII - os Chefes de Seção e as Chefes de Seção;

IX - os Chefes de Cartório e as Chefes de Cartório.

Art. 15.  Competirá ao Comitê Gestor da Estratégia (CoGEst) atuando como comitê gestor de riscos, na segunda linha de defesa:

I - Monitorar e intervir, quando necessário, na primeira linha de defesa para modificação dos controles internos estabelecidos no gerenciamento de riscos;

II - Estabelecer temas organizacionais com o intuito de promover a aplicação da Gestão de Riscos nas estratégias, projetos, serviços, decisões, operações, processos e ativos;

III - Deliberar sobre o apetite e a tolerância aos riscos organizacionais com a finalidade de promover o alinhamento da Gestão de Riscos ao planejamento estratégico da organização, submetendo-o ao Presidente para deliberação;

IV - Revisar a política de gestão de riscos e aprovar o processo de gestão de riscos;

V - Assegurar a alocação dos recursos necessários à Gestão de Riscos;

VI - Avaliar a adequação, suficiência e eficácia da estrutura e processo de gestão de riscos.

VII - Reunir-se trimestralmente para avaliar a adequação, suficiência e eficácia da estrutura e processo de gestão de riscos;

VIII - Definir os processos estratégicos que serão monitorados.

Art. 16.  Compete ao Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC) como segunda linha de defesa, além das atribuições previstas em norma específica, aprovar e revisar periodicamente o Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação.

Art. 17.  Compete ao Comitê Gestor Local de Gestão de Pessoas, como segunda linha de defesa, além das atribuições previstas em norma específica, aprovar e revisar periodicamente o Plano de Gestão de Riscos na Gestão de Pessoas, sugerindo alterações para o alcance dos objetivos definidos no plano estratégico de pessoas.

Art. 18.  Compete à Unidade de Planejamento Estratégico e de Eleições, como segunda linha de defesa:

I - coordenar a elaboração e a revisão da Metodologia de Gestão de Riscos a ser aplicada no âmbito da Justiça Eleitoral de São Paulo, dando suporte metodológico à implementação do processo de gerenciamento de riscos;

II - monitorar os riscos que impactam no alcance dos objetivos estratégicos;

III - propor ao Comitê Gestor da Estratégia (CoGEst) limites de exposição a riscos estratégicos;

Art. 19.  Compete à unidade de Auditoria Interna, como terceira linha de defesa:

I - Avaliar as atividades da primeira e segunda linhas de defesa no que tange à eficácia do gerenciamento de riscos e dos controles internos;

II - Recomendar a adequação e suficiência dos mecanismos de Gestão de Riscos estabelecidos de forma a garantir sua eficácia;

III - Verificar a conformidade das atividades executadas à Política de Gestão de Riscos;

IV - Assessorar e aconselhar a primeira e segunda linhas de defesa quanto às melhores práticas no estabelecimento de controles internos no gerenciamento de riscos, em atendimento às solicitações específicas das unidades;

V - Auditar, inspecionar, fiscalizar e avaliar a gestão de riscos corporativa de forma a agregar valor, melhorar as operações e auxiliar a organização a alcançar seus objetivos estratégicos.

VI - Alertar, se consultada ou em sede de auditoria conduzida no âmbito de suas atribuições, sobre questões emergentes e mudanças no cenário regulatório e de riscos.

CAPÍTULO VI

DO PROCESSO DE GESTÃO DE RISCOS

Art. 20.  O processo de gestão de riscos do Tribunal Regional Eleitoral do Estado de São Paulo compreende as seguintes fases:

I - estabelecimento do contexto: diz respeito à definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco;

II - identificação dos riscos: consiste na busca, reconhecimento e descrição de riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;

III - análise dos riscos: refere-se à compreensão da natureza do risco e à determinação do nível de risco mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;

IV - avaliação dos riscos: trata-se da comparação dos resultados da análise de riscos com os critérios de risco para determinar se o risco é aceitável ou tolerável, auxiliando na decisão sobre o tratamento de riscos;

V - tratamento dos riscos: consiste na seleção e implementação de uma ou mais ações de tratamento para modificar os riscos;

VI - monitoramento e análise crítica: diz respeito à verificação, supervisão, observação crítica ou identificação da situação de risco, realizadas de forma contínua, a fim de determinar a adequação, suficiência e eficácia dos controles internos para atingir os objetivos estabelecidos;

VII - comunicação e consulta: consiste na manutenção de fluxo regular e constante de informações com as partes interessadas, durante todas as fases do processo de gestão de riscos.

Art. 21.  Em até 90 dias a contar da publicação desta Resolução, a Metodologia de Gestão de Riscos (MGR) deverá ser revisada e readequada de acordo com as novas disposições, por grupo de trabalho designado pela Presidência do Tribunal.

CAPÍTULO VII

DAS DISPOSIÇÕES GERAIS

Art. 22.  A partir de do ano de 2023, a Política de Gestão de Riscos será revisada a cada dois anos, ou sempre que necessário, considerando os eventuais apontamentos realizados pela unidade de auditoria.

Art. 23.  Compete ao Presidente ou à Presidente do Tribunal expedir os atos necessários à regulamentação desta Resolução e dirimir os casos omissos.

Art. 24.  O gerenciamento de riscos deverá ser implementado de forma gradual em todas as áreas do TRE, sendo priorizados os processos organizacionais que impactam diretamente na Estratégia.

Art. 25.  Ficam revogadas as Resoluções TRE-SP 388/2016 e 514/2020.

Art. 26.  Esta Resolução entra em vigor na data de sua publicação.

São Paulo, aos 23 dias do mês de maio de 2022.

DESEMBARGADOR PAULO SÉRGIO BRANT DE CARVALHO GALIZIA

PRESIDENTE

DESEMBARGADOR SILMAR FERNANDES

VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL

DESEMBARGADOR FEDERAL LUÍS PAULO COTRIM GUIMARÃES

JUIZ MAURICIO FIORITO

JUIZ AFONSO CELSO DA SILVA

JUIZ MARCELO VIEIRA DE CAMPOS

JUIZ MARCIO KAYATT