Instrução Normativa nº 186, DE 22 de fevereiro de 2023.
Institui a Política de Gestão de Integridade, de Riscos Corporativos e de Continuidade de Negócios da ANAC e o Comitê de Governança, Riscos e Controle. |
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências que lhe foram outorgadas pelos arts. 11, inciso IX, da Lei nº 11.182, de 27 de setembro de 2005, e 24, inciso XII, do Decreto nº 5.731, de 20 de março de 2006, e considerando o que consta do processo nº 00058.061206/2022-64, deliberado e aprovado na 4ª Reunião Administrativa Eletrônica, realizada nos dias 13 a 17 de fevereiro de 2023,
RESOLVE:
Art. 1º Instituir a Política de Gestão de Integridade, de Riscos Corporativos, e de Continuidade de Negócios no âmbito da Agência Nacional de Aviação Civil - ANAC, que compreende:
I - os objetivos, conceitos e princípios a serem observados no âmbito da gestão de integridade, de riscos corporativos e de continuidade de Negócios;
II - as dimensões dos riscos corporativos da ANAC; e
III - a governança do processo de gestão de integridade, de riscos corporativos e de continuidade de negócios da ANAC.
Parágrafo único. A Política de Gestão de Integridade, de Riscos Corporativos e de Continuidade de Negócios da ANAC deverá ser observada por todas as unidades e colaboradores da ANAC.
CAPÍTULO I
DOS OBJETIVOS E CONCEITOS DA GESTÃO DE INTEGRIDADE, DE RISCOS CORPORATIVOS E DE CONTINUIDADE DE NEGÓCIOS
Art. 2º São objetivos da gestão de integridade, riscos corporativos e continuidade de negócios da ANAC:
I - aumentar a probabilidade de consecução dos objetivos institucionais e de cumprimento da missão da ANAC;
II - aprimorar a capacidade de atuação da ANAC sobre o ambiente da aviação civil por ela regulado e fiscalizado, no âmbito de suas competências definidas na forma da lei;
III - assegurar que os processos de tomada de decisão nos níveis hierárquicos sejam suportados por abordagens sistemáticas de identificação e avaliação de riscos;
IV - agregar valor à ANAC e às suas entregas à sociedade por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização;
V - aperfeiçoar a atuação da ANAC com base na identificação de oportunidades e de ameaças relacionadas com os riscos aos objetivos da ANAC;
VI - aperfeiçoar a eficácia, eficiência e o desempenho operacional;
VII - aprimorar o sistema de controle interno;
VIII - melhorar a aprendizagem organizacional;
IX - prevenir perdas e proteger os valores organizacionais;
X - promover uma cultura de integridade no âmbito da ANAC;
XI - prevenir, identificar e corrigir eventos relacionados à ocorrência de fraude, desvios éticos e de conduta e irregularidades e na submissão do interesse público em relação ao privado;
XII - identificar ameaças potenciais e os possíveis impactos nas operações de negócio da ANAC decorrentes de sua materialização;
XIII - desenvolver resiliência organizacional capaz de fornecer resposta tempestiva e eficaz às ameaças, de modo a salvaguardar os interesses das partes envolvidas, bem como a reputação e as atividades institucionais;
XIV - garantir a capacidade da ANAC de continuar a entrega de produtos ou serviços em um nível aceitável durante uma disrupção; e
XV - minimizar os impactos operacionais, legais e regulatórios decorrentes de indisponibilidades dos recursos essenciais ao funcionamento de suas atividades.
Art. 3º Para os fins desta Instrução Normativa, considera-se:
I - apetite ao risco: nível de risco que a ANAC está disposta a aceitar na busca de seus objetivos e para agregar valor aos serviços prestados;
II - continuidade de negócios: capacidade de uma organização manter a entrega de produtos e serviços em um nível aceitável, com capacidade predefinida durante uma disrupção;
III - evento: incidente, ocorrência ou mudança em um conjunto específico de circunstâncias que afete a consecução de um objetivo;
IV - gerenciamento de riscos: processo para identificar, analisar, avaliar, priorizar, tratar e monitorar potenciais eventos ou situações capazes de afetar o alcance aos objetivos da organização;
V - gestor de continuidade: pessoa com a responsabilidade e a autoridade para gerenciar a continuidade dos processos sob sua gestão, conforme metodologia estabelecida pela ANAC;
VI - gestor do risco: pessoa com a responsabilidade e a autoridade para gerenciar o risco, conforme metodologia de gestão de riscos corporativos da ANAC;
VII - impacto: resultado da ocorrência de determinado evento que afete um objetivo organizacional;
VIII - incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;
IX - incidente disruptivo: evento que pode consistir ou poderia levar a uma situação antecipada ou imprevista, que resulta em desvios negativos e não planejados na entrega esperada de produtos e serviços, de acordo com os objetivos da organização;
X - instâncias de integridade: unidades que, no âmbito de suas competências, operacionalizam o Programa de Integridade da ANAC;
XI - integridade pública: alinhamento e adesão a valores, princípios e normas éticas comuns para sustentar e priorizar os interesses públicos sobre os privados no setor público;
XII - nível de risco: magnitude de um risco expressa em termos da combinação dos impactos e de suas probabilidades;
XIII - Plano de Continuidade de Negócio - PCN: informação documentada que orienta uma organização para responder a uma disrupção e recuperar, retomar e restaurar a entrega de produtos e serviços de acordo com os objetivos de continuidade de negócios;
XIV - plano de integridade: documento, aprovado pela Diretoria Colegiada, que organiza as medidas de integridade a serem adotadas por determinado período, devendo ser revisado periodicamente;
XV - probabilidade: chance de acontecer determinado evento que afete um objetivo organizacional;
XVI - processo de Gestão de Continuidade de Negócios - GCN: processo de gerenciamento holístico que identifica ameaças em potencial a uma organização, o impacto que essas ameaças, se realizadas, podem causar nas operações de negócios e fornece uma estrutura para aumentar a resiliência organizacional, com a capacidade de uma resposta eficaz que proteja os interesses das principais partes interessadas, reputação, marca e atividades de criação de valor;
XVII - processo de gestão de integridade: aplicação sistemática de políticas, procedimentos, práticas de gestão e ações direcionadas à prevenção, identificação, monitoramento e correção dos eventos relacionados à ocorrência de corrupção, fraude, desvios éticos e de conduta e irregularidades;
XVIII - processo de gestão de riscos corporativos: aplicação sistemática de políticas, procedimentos, práticas de gestão, metodologias e ações direcionadas ao gerenciamento de riscos, objetivando apoiar a melhoria contínua organizacional;
XIX - programa de integridade: conjunto estruturado de medidas institucionais para prevenção, detecção, punição e remediação de práticas de corrupção e fraude, de irregularidades e de outros desvios éticos e de conduta;
XX - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos organizacionais, sendo medido em termos de impacto e de probabilidade;
XXI - risco à integridade: risco que configure ações ou omissões que possam favorecer ou facilitar a ocorrência de fraudes, atos de corrupção, desvios éticos e de conduta ou irregularidades;
XXII - risco inerente: risco a que os objetivos de uma organização estão expostos sem considerar quaisquer controles e ações gerenciais diversas que possam mitigá-lo;
XXIII - risco residual: risco a que a organização está exposta após a implementação de controles e ações gerenciais diversas para o tratamento do risco;
XXIV - segurança do setor de aviação civil: abrange a segurança operacional (safety) e a segurança contra atos de interferência ilícita (security);
XXV - sistema de controle interno: conjunto de regras, unidades organizacionais, procedimentos, diretrizes, rotinas de sistemas informatizados, métodos, entre outros, estabelecidos com vistas a assegurar que os objetivos organizacionais sejam alcançados, indicando eventuais desvios; e
XXVI - Unidade de Gestão da Integridade - UGI: unidade responsável pela coordenação da estruturação, execução e monitoramento do Plano de Integridade.
CAPÍTULO II
DOS PRINCÍPIOS DA GESTÃO DE INTEGRIDADE, RISCOS CORPORATIVOS E CONTINUIDADE DE NEGÓCIO
Art. 4º A gestão de integridade, de riscos corporativos e de continuidade de negócios da ANAC observará os seguintes princípios:
I - comprometimento da alta administração e envolvimento de todo corpo funcional na manutenção de um adequado ambiente de integridade em todas as unidades organizacionais da ANAC;
II - identificação e tratamento dos riscos organizacionais à integridade e à continuidade de negócios no âmbito das unidades organizacionais da ANAC;
III - implementação gradual e monitoramento permanente dos mecanismos de gestão de riscos, de integridade e de continuidade de negócios;
IV - sensibilização e capacitação contínua de todos os servidores e colaboradores em questões relacionadas aos mecanismos de gestão de riscos organizacionais, de integridade e de continuidade de negócios;
V - existência de uma unidade gestora e de instâncias responsáveis pela implementação do Programa de Integridade e da gestão de riscos organizacionais e de continuidade de negócios;
VI - constituir-se como parte integrante dos processos organizacionais;
VII - fundamentar-se em uma abordagem sistemática, estruturada e oportuna que favoreça sua compreensão e utilização por todos os colaboradores da ANAC;
VIII - subordinar-se ao interesse público;
IX - ser dinâmica e responsiva às mudanças internas ou externas que afetam a capacidade de atuação da ANAC, dentro do escopo de suas competências previstas na forma da lei;
X - estabelecer níveis de exposição a riscos adequados, compatíveis com o apetite ao risco, a estratégia e o ambiente de atuação da ANAC;
XI - estabelecer controle interno de gestão adequado ao nível de risco, observada a relação custo-benefício, e destinado a agregar valor à organização;
XII - utilizar a gestão de riscos para apoio à tomada de decisão, à elaboração e monitoramento da estratégia e à melhoria contínua dos processos organizacionais; e
XIII - alinhar-se ao Plano Estratégico, aos instrumentos normativos, aos projetos e processos da ANAC e às demais diretrizes governamentais.
Art. 5º A estruturação da Política de Gestão de Integridade da ANAC ocorrerá por meio de Plano de Integridade, o qual formalizará e organizará um conjunto estruturado de medidas institucionais destinadas à prevenção, à detecção, à punição e à remediação de fraudes, atos de corrupção, desvios éticos e de conduta ou irregularidades.
Art. 6º A gestão de continuidade de negócio tem como uma de suas etapas o desenvolvimento e implementação de Planos de Continuidade de Negócio - PCN, com base nas estratégias definidas e na análise prévia do contexto organizacional da ANAC.
Art. 7º São componentes estruturais da gestão de riscos da ANAC a política, a metodologia e o processo de gestão de riscos corporativos, o monitoramento, a análise e a melhoria contínua dos componentes estruturais de gestão de riscos.
CAPÍTULO III
DA CLASSIFICAÇÃO DOS RISCOS CORPORATIVOS DA ANAC
Art. 8º Os riscos corporativos da ANAC possuem as seguintes dimensões:
I - riscos organizacionais: riscos que podem afetar os requisitos de eficiência, eficácia, desempenho, salvaguarda de ativos, informação e conformidade dos processos da ANAC;
II - riscos estratégicos: riscos que podem afetar o alcance aos objetivos estratégicos da ANAC, podendo envolver os projetos estratégicos e aspectos dos ambientes interno e externo que impactam sua atuação; e
III - riscos à segurança do setor de aviação civil: riscos inerentes e sistêmicos do setor de aviação civil e da atuação dos entes regulados que afetem a segurança do transporte, sendo tratados e gerenciados no âmbito das competências de supervisão da segurança pela ANAC.
Art. 9º A gestão de riscos à segurança do setor de aviação civil abrange:
I - o gerenciamento de riscos relativos ao desempenho da segurança alcançado pelos entes regulados, visando à identificação dos provedores de serviços da aviação civil e demais entes do setor que representem riscos intoleráveis para o ambiente operacional sob supervisão da ANAC; e
II - o gerenciamento de riscos sistêmicos relativos à segurança do ambiente operacional da aviação civil, visando à identificação de perigos e condições latentes aos diversos segmentos de regulados e ao sistema de aviação civil.
Parágrafo único. A uniformização e a sistematização da metodologia de gestão dos riscos à segurança do setor de aviação civil serão desenvolvidas no âmbito da implementação do Programa de Segurança Operacional Específico da ANAC - PSOE-ANAC e do Programa Nacional de Segurança da Aviação Civil Contra Atos de Interferência Ilícita - PNAVSEC.
Art. 10. A metodologia de gestão dos riscos corporativos estratégicos e organizacionais deverá contemplar o processo de gerenciamento de riscos, os métodos, os artefatos, a definição dos gestores de riscos e de procedimentos, bem como obedecer às seguintes diretrizes:
I - os riscos corporativos organizacionais são relacionados à execução de processos de negócio da ANAC, os quais deverão ser classificados por níveis de criticidade para o alcance dos objetivos da ANAC conforme metodologia definida;
II - para cada risco organizacional identificado será designado um gestor, cujas atribuições estão descritas no art. 14 desta Instrução Normativa;
III - a revisão dos riscos organizacionais deverá ser realizada periodicamente em ciclos, conforme critério de criticidade dos processos a ser estabelecido, devendo a duração do ciclo reduzir à medida que aumenta a criticidade do processo;
IV - os riscos específicos relacionados à integridade serão insumo para a definição de ações de tratamento no âmbito do Programa de Integridade, bem como os relatórios de auditoria e casos anteriores de quebra de integridade levantados pela Corregedoria e Comissão de Ética; e
V - os riscos estratégicos identificados serão associados a um ou mais objetivos estratégicos da ANAC.
Parágrafo único. A implementação da metodologia de gestão de riscos corporativos deverá ocorrer de forma gradual, priorizando inicialmente os processos e projetos mais críticos para a estratégia da ANAC.
CAPÍTULO IV
DA GOVERNANÇA
Art. 11. Fica instituído o Comitê de Governança, Riscos e Controles com as seguintes competências:
I - supervisionar o processo de gestão de riscos corporativos, propondo ajustes na estrutura de gestão de riscos;
II - estabelecer o apetite ao risco da ANAC, bem com os limites de alçada para comunicação e tratamento dos riscos;
III - acompanhar os riscos críticos da ANAC;
IV - validar os riscos estratégicos da ANAC;
V - atuar junto às instâncias competentes pela priorização de meios e recursos em prol do alcance dos objetivos desta Política;
VI - aprovar políticas, diretrizes e metodologias para institucionalização da gestão de riscos corporativos e dos controles internos; e
VII - acompanhar, no que couber, as ações referentes à gestão da continuidade de negócios.
§ 1º Caberá ao Diretor-Presidente coordenar as reuniões do Comitê.
§ 2º O Comitê se reunirá, ordinariamente, em periodicidade semestral.
§ 3º O Comitê poderá reunir-se extraordinariamente quando convocado pelo Diretor-Presidente, se possível com antecedência de 3 (três) dias úteis.
§ 4º O Comitê se reunirá com a presença de, no mínimo, 3 (três) de seus membros.
§ 5º As decisões do Comitê serão tomadas por maioria simples.
§ 6º Caso sejam convocados representantes que estejam lotados fora da sede da ANAC, a participação nas reuniões será, preferencialmente, por videoconferência.
§ 7º É permitida a criação de subcomitês vinculados ao Comitê de Governança, Riscos e Controle.
Art. 12. Compete à Diretoria Colegiada:
I - estabelecer, manter, monitorar e aperfeiçoar os controles internos de gestão, sem prejuízo das responsabilidades dos demais gestores e servidores nos seus respectivos âmbitos e escopos de atuação;
II - exercer o papel de Comitê de Governança, Riscos e Controles; e
III - aprovar o Plano de Integridade da ANAC.
Art. 13. Compete à Superintendência de Planejamento Institucional - SPI:
I - propor a Política de Gestão de Riscos Corporativos, metodologia e demais mecanismos necessários a sua institucionalização no âmbito da ANAC;
II - propor o apetite ao risco da ANAC;
III - coordenar a implementação da Política de Gestão de Riscos Corporativos no âmbito da ANAC;
IV - assegurar apoio metodológico no que tange ao gerenciamento de riscos às partes envolvidas;
V - instituir os meios de consulta e de comunicação com as partes interessadas no processo de gestão de riscos corporativos;
VI - promover a cultura de gestão de riscos no âmbito da ANAC;
VII - monitorar a eficiência, eficácia e efetividade do processo de gestão de riscos corporativos da ANAC;
VIII - implementar a gestão da continuidade de negócios na ANAC, propondo metodologia e demais mecanismos necessários a sua institucionalização no âmbito da ANAC;
IX - atuar como facilitadora no desenvolvimento e implementação dos Planos de Continuidade de Negócios - PCN junto aos gestores de continuidade;
X - coordenar exercícios e testes no âmbito da gestão de continuidade de negócios, quando couber;
XI - apresentar o monitoramento da GCN e propor melhorias, quando couber, junto ao Comitê de Governança Riscos e Controle;
XII - atuar como Unidade de Gestão da Integridade da ANAC; e
XIII - secretariar e apoiar a atuação do Comitê de Governança, Riscos e Controles.
Art. 14. São atribuições dos gestores de riscos:
I - assegurar que o risco seja gerenciado de acordo com o processo de gestão de riscos corporativos da ANAC;
II - monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com processo de gestão de riscos corporativos da ANAC;
III - garantir que as informações adequadas sobre o risco estejam disponíveis a todas as partes interessadas;
IV - definir e implementar o plano de ação destinado ao tratamento de riscos sob sua responsabilidade;
V - monitorar a evolução dos níveis dos riscos e a efetividade da ação de mitigação implementada ou da implementação do plano de ação;
VI - iniciar um novo ciclo de gerenciamento de riscos, conforme definido no processo de gestão de riscos corporativos da ANAC; e
VII - consultar e comunicar às partes interessadas no processo de gestão de riscos corporativos, devendo participar das reuniões do Comitê de Governança, Riscos e Controles sempre que solicitado.
Parágrafo único. Exercerá a função de gestor de risco o titular da unidade organizacional responsável pelo processo ou projeto ao qual o risco estiver associado, sendo permitida a delegação a gerentes.
Art. 15. São atribuições dos gestores de continuidade:
I - implementar a gestão de continuidade de negócios no seu respectivo processo;
II - realizar a análise de impacto nos negócios dos processos organizacionais sob sua responsabilidade;
III - realizar a gestão dos riscos associados à continuidade dos processos organizacionais sob sua responsabilidade;
IV - definir as estratégias de respostas aos riscos abrangidos pela gestão da continuidade de negócios;
V - elaborar o plano de continuidade de negócios dos processos organizacionais sob sua responsabilidade;
VI - executar exercícios e testes, quando couber;
VII - manter a documentação atualizada;
VIII - manter os procedimentos de continuidade de negócios;
IX - assegurar que os planos de ação corretiva sejam implementados em tempo hábil;
X - acompanhar as ações corretivas em tempo hábil; e
XI - manter a equipe informada das mudanças que podem afetar a continuidade de negócios.
Parágrafo único. Exercerá a função de gestor de continuidade o titular da unidade organizacional responsável pelo processo contemplado pela GCN, sendo permitida a delegação a gerentes.
Art. 16. São atribuições da Unidade de Gestão da Integridade:
I - monitorar e propor ações para o aperfeiçoamento do Programa de Integridade;
II - coordenar a disseminação de informações;
III - propor estratégias para a expansão e o fortalecimento do Programa; e
IV - promover outras ações relacionadas à gestão da integridade.
Parágrafo único. Exercerá a função de gestor de integridade o titular da Superintendência de Planejamento Institucional, sendo permitida a delegação a gerentes e gerentes técnicos.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 17. Fica revogada a Instrução Normativa nº 114, de 22 de março de 2017, publicada no Diário Oficial da União de 10 de maio de 2017, Seção 1, páginas 66 e 67.
Art. 18. Esta Instrução Normativa entra em vigor em 3 de abril de 2023.
JULIANO ALCANTARA NOMAN
Diretor-Presidente
_________________________________________________________________________
Publicado em 27 de fevereiro de 2023 no Boletim de Pessoal e Serviço - BPS v.18, nº 9, de 27 de fevereiro a 3 de março de 2023.