Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 10/11/2020 - Diário Oficial do Estado do Ceará

                            da organização, a partir de uma matriz pré-definida; e
XIII – apetite a risco: nível de risco que uma organização está disposta 
a aceitar.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 4º A Política de Gestão de Riscos do Poder Executivo Estadual 
observará princípios que orientam sobre suas características, comunicam o 
seu valor e explicitam seus propósitos, conforme seguem:
I – agregar e proteger valor;
II – apoiada e gerenciada pela alta gestão e por todos da organização;
III – ser parte integrante dos processos organizacionais; 
IV – subsidiar a tomada de decisões;
V – considerar ameaças e oportunidades;
VI – ser estruturada e processada de forma personalizada e 
proporcional aos contextos interno e externo da organização;
VII – ser baseada nas informações disponíveis, oportunas e claras 
para as partes interessadas;
VIII – considerar fatores humanos e culturais;
IX – sistemática, estruturada, abrangente e oportuna;
X – transparente e inclusiva;
XI – dinâmica, iterativa e capaz de reagir a mudanças; e 
XII – fomentar a melhoria contínua da organização. 
CAPÍTULO III
DOS OBJETIVOS
Art. 5º A Política de Gestão de Riscos do Poder Executivo Estadual 
tem como objetivos:
I – aumentar a probabilidade de atingimento dos objetivos 
organizacionais;
II – fomentar uma gestão proativa;
III – atentar para a necessidade de se identificar e tratar riscos dos 
processos críticos em toda a organização;
IV – facilitar a identificação de oportunidades e ameaças;
V – prezar pelas conformidades legal e normativa dos processos 
organizacionais;
VI – melhorar a prestação de contas à sociedade;
VII – melhorar a governança;
VIII – estabelecer uma base confiável de informações para a tomada 
de decisão;
IX – melhorar o ambiente de controle interno;
X – alocar e utilizar eficazmente os recursos para o tratamento de 
riscos;
XI – melhorar a eficácia e a eficiência operacional;
XII – melhorar a prevenção de perdas e a gestão de incidentes;
XIII – minimizar perdas;
XIV – melhorar a aprendizagem organizacional; e
XV – aumentar a capacidade de adaptação a mudanças.
CAPÍTULO IV
DAS DIRETRIZES PARA O GERENCIAMENTO DE RISCOS
Art. 6º O gerenciamento de riscos deverá contemplar, no mínimo, 
as seguintes etapas:
I – comunicação e consulta: realização de atividades a fim de 
assegurar que os responsáveis pela implementação do processo de gestão de 
riscos e as partes interessadas compreendam os fundamentos sobre os quais as 
decisões são tomadas e as razões pelas quais ações específicas são requeridas; 
II – entendimento do contexto: identificação dos objetivos da 
organização e compreensão dos contextos externo e interno a serem 
considerados no gerenciamento de riscos;
III – identificação de riscos: elaboração de lista abrangente de riscos 
com base nos eventos que possam evitar, atrasar, prejudicar ou impedir a 
realização dos objetivos associados aos processos organizacionais;
IV – análise de riscos: identificação das possíveis causas, 
consequências e os controles existentes para prevenir a ocorrência de riscos 
e diminuir o impacto de suas consequências;
V – avaliação de riscos: identificação de quais riscos necessitam de 
tratamento e qual a prioridade para a implementação do tratamento;
VI – tratamento de riscos: definição das opções de respostas aos 
riscos, de forma a adequar seus níveis ao apetite estabelecido para os processos 
organizacionais, além da escolha das medidas de controle associadas a essas 
respostas;
VII – monitoramento e análise crítica: verificação e supervisão crítica 
contínua, visando identificar mudanças no desempenho requerido ou esperado 
para determinar a adequação, suficiência e eficácia da gestão de riscos; e
VIII – registro e relato: atividades referentes ao registro documental 
e relato das atividades por meio de mecanismos apropriados para fornecer 
informações para tomada de decisão.
§1º Os órgãos e entidades do Poder Executivo Estadual deverão 
implementar, manter, monitorar e revisar processo de gerenciamento de 
riscos, integrado a sua missão, planejamento estratégico, tático e operacional 
e cultura organizacional, observado o disposto neste decreto.
§2º O gerenciamento de riscos deverá ser implementado de forma 
gradual, preferencialmente nos processos organizacionais mais críticos que 
impactam diretamente no atingimento dos objetivos estratégicos.
CAPÍTULO V
DAS COMPETÊNCIAS
Art. 7º Compete à Controladoria e Ouvidoria Geral do Estado – 
CGE, como órgão central do sistema de controle interno do Poder Executivo 
Estadual:
I – orientar e assessorar os órgãos e entidades do Poder Executivo 
Estadual na implementação da gestão de riscos;
II – avaliar a implementação da gestão de riscos nos órgãos e 
entidades;
III – analisar propostas de mudança na Política de Gestão de Riscos 
e proceder às alterações; 
IV – definir, regulamentar e avaliar a metodologia de gerenciamento 
de riscos e proceder às alterações, quando necessário; e 
V – avaliar a eficácia dos controles internos implementados pelos 
órgãos e entidades para mitigar os riscos, bem como outras respostas aos 
riscos identificados.
Art. 8º Compete ao dirigente máximo do órgão ou entidade:
I – garantir o apoio institucional para promover a gestão de riscos, em 
especial, os recursos necessários, o relacionamento entre as partes interessadas 
e o desenvolvimento contínuo das pessoas e dos processos;
II – garantir o alinhamento da gestão de riscos ao Programa de 
Integridade do órgão ou entidade.
Art. 9º O gerenciamento de riscos nos órgãos e entidades do Poder 
Executivo Estadual deverá contemplar as seguintes áreas de atuação:
I – estratégica;
II – tática; e
III – operacional.
§1º. Os órgãos e entidades definirão, por meio de portaria, as áreas 
de atuação responsáveis pelo gerenciamento de riscos, constituindo-se 
preferencialmente da seguinte forma:
I – área de atuação estratégica: comitê executivo ou de integridade 
ou outra instância de decisão colegiada;
II – área de atuação tática: assessoria de controle interno e ouvidoria 
ou, caso não exista, outra área responsável pela implementação, monitoramento 
e avaliação dos controles internos do órgão e entidade;
III – área de atuação operacional: responsáveis pelos processos 
organizacionais e seus colaboradores.
§ 2º As áreas de atuação responsáveis pelo gerenciamento de riscos 
deverão manter fluxo regular e constante de comunicação
Art. 10. Compete à área de atuação estratégica de gestão de riscos:
I – aprovar os processos organizacionais selecionados para o 
gerenciamento de riscos, conforme o disposto no §2º do art. 6º deste Decreto.
II – definir as estratégias de implementação do gerenciamento de 
riscos, considerando os contextos externo e interno;
III – avaliar a eficácia dos controles internos existentes em relação aos 
objetivos dos processos organizacionais selecionados para o gerenciamento 
de riscos;
IV – aprovar os níveis de apetite a riscos dos processos organizacionais 
selecionados, caso sejam diferentes dos propostos na Metodologia de 
Gerenciamento de Riscos do Poder Executivo Estadual;
V – aprovar a periodicidade máxima do ciclo do processo de 
gerenciamento de riscos para cada um dos processos organizacionais;
VI – aprovar os indicadores de desempenho para a gestão de riscos 
do órgão ou entidade, alinhados com os indicadores de desempenho do órgão 
ou entidade;
VII – aprovar as respostas aos riscos e as medidas de tratamento e 
controle a serem implementadas nos processos organizacionais selecionados 
(Plano de Tratamento);
VIII – avaliar e validar o resultado do processo de gerenciamento 
de riscos de cada processo organizacional selecionado;
IX – avaliar a efetividade das medidas de tratamento e controle 
implementadas nos processos organizacionais;
X – avaliar o desempenho do processo de gerenciamento de riscos 
e fortalecer a aderência dos processos organizacionais à conformidade 
normativa;
XI – aprovar o plano de comunicação e consulta de gerenciamento 
de riscos; e
XII – supervisionar a atuação das áreas quanto à gestão de riscos.
Art. 11. Compete à área de atuação tática de gestão de riscos: 
I – auxiliar na identificação dos objetivos da organização e na 
compreensão dos contextos externo e interno a serem considerados no 
gerenciamento de riscos;
II – auxiliar na identificação, análise e avaliação dos riscos 
dos processos organizacionais selecionados para a implementação do 
gerenciamento de riscos;
III – auxiliar na definição das respostas aos riscos e das medidas de 
tratamento e controle a serem implementadas nos processos organizacionais 
(Plano de Tratamento);
IV – auxiliar na definição dos indicadores de desempenho para a 
gestão de riscos, alinhados com os indicadores de desempenho do órgão 
ou entidade;
V – propor o plano de comunicação e consulta de gerenciamento 
de riscos;
VI – propor a atualização das estratégias de gerenciamento de riscos, 
considerando os contextos externo e interno;
VII – propor a periodicidade máxima do ciclo do processo de 
gerenciamento de riscos para cada um dos processos organizacionais;
VIII – realizar o monitoramento e a análise crítica dos níveis de 
riscos e da efetividade das medidas de tratamento e controle implementadas 
nos processos organizacionais;
IX – auxiliar na definição dos níveis de apetite a riscos dos processos 
organizacionais, caso sejam diferentes dos propostos na Metodologia de 
Gerenciamento de Riscos do Poder Executivo Estadual;
X – auxiliar na identificação dos responsáveis pelo gerenciamento 
4
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XII Nº249  | FORTALEZA, 10 DE NOVEMBRO DE 2020

Fechar