MINISTÉRIO DA DEFESA

COMANDO DA AERONÁUTICA

COMANDO DE OPERAÇÕES AEROESPACIAIS

PORTARIA COMAE Nº 321/CPOGI, DE 1º OUTUBRO DE 2024 Protocolo COMAER nº 67201.007653/2024-18

Aprova a reedição do PCA 16-23, que trata da Aplicação da Gestão de Riscos nos Projetos e Atividades

conduzidos no âmbito do Comando de Operações Aeroespaciais.

O COMANDANTE DE OPERAÇÕES AEROESPACIAIS, no uso da atribuição que lhe confere o Art. 8º do Regulamento do Comando de Operações Aeroespaciais,

aprovado pela Portaria nº 1.238/GC3, de 12 de novembro de 2020, tendo em vista o disposto no Art. 22 da NSCA 5-2 “Norma de Sistema que dispõe sobre

Norma de Sistema para Atos Normativos no âmbito do Comando da Aeronáutica”, aprovada pela Portaria GABAER/GC3 nº 661, de 21 de dezembro de 2023,

resolve:

Art. 1º Aprovar a reedição do PCA 16-23, na forma do anexo I, para a Aplicação da Gestão de Riscos nos Projetos e Atividades conduzidos no âmbito do

Comando de Operações Aeroespaciais (COMAE).

Art. 2º Revoga-se a Portaria COMAE nº 193/CPOGI, de 1º de dezembro de 2023, publicada no Boletim do Comando da Aeronáutica nº 223, de 7 de dezembro de

2023.

Art. 3º Esta Portaria entra em vigor na data de sua publicação.

Ten Brig Ar RAIMUNDO NOGUEIRA LOPES NETO

Comandante do COMAE

DISPOSIÇÕES PRELIMINARES

Seção I

Finalidade

Art. 1º O presente plano tem por finalidade orientar os diversos setores sobre a aplicação da Gestão de Riscos em Projetos e Atividades conduzidos no âmbito

do COMAE.

Parágrafo único. Os conceitos, fundamentos e a metodologia que conduzem à análise e Gestão de Riscos serão apresentados com vistas à divulgação do

Relatório do Plano de Gestão de Riscos do COMAE, de modo a atender ao previsto na DCA 16-2/2022.

MINISTÉRIO DA DEFESA

COMANDO DA AERONÁUTICA

ESTADO-MAIOR DA AERONÁUTICA

Seção II

Responsabilidade

Art. 2º A Divisão de Gestão Institucional (DIVGI) do Centro de Planejamento, Orçamento e Gestão Institucionais (CPOGI) é a responsável pela atualização e

divulgação deste plano.

Seção III

Conceituações

Art. 3º As conceituações dos vocábulos e expressões empregadas neste plano, cujo entendimento seja necessário ao documento, constam no MD35-G-01

(Glossário das Forças Armadas), MD33-M-02 (Manual de Abreviaturas, Siglas, Símbolos e Convenções Cartográficas das Forças Armadas) e no MCA 10-4

(Glossário da Aeronáutica), com acréscimo dos itens listados nos parágrafos abaixo.

§ 1º Os conceitos afetos à Gestão de Riscos são utilizados no Decreto nº 9.203, de 22 de novembro de 2017, na NBR ISO 31000 “Gestão de Riscos – Diretrizes”

(ABNT, 2018), na NBR ISO 31010 “Gestão de Riscos – Técnicas para o Processo de Avaliação de Riscos” (ABNT, 2012), no documento “Enterprise Risk

Management – Integrating with Strategy and Performance” (COSO, 2017) e no Modelo das Três Linhas (IIA, 2020).

§ 2º Dos conceitos usados nas publicações citadas, destacam-se os seguintes:

I - Aceitação do Risco – decisão de conviver com as consequências, caso um cenário de risco se materialize;

II - Análise dos Riscos – processo de compreensão da natureza do risco e determinação do nível de risco. Inclui a apreciação das causas e das fontes de risco,

suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer;

III - Apetite ao Risco – os tipos e quantidades de risco, em nível amplo, que uma organização está disposta a aceitar em busca de valor;

IV - Assessoria de Governança – são órgãos consultivos que têm por finalidade assessorar os ODSA relativamente às questões atinentes à Governança, Gestão de

Riscos e Integridade;

V - Atividade – ação, procedimento, processo, ou conjunto destes elementos, de caráter técnico, operacional ou administrativo, e natureza contínua ou

periódica, realizados para a consecução de um objetivo, missão, atribuição, competência ou atendimento de demanda específica;

VI - Ativos de Processos Organizacionais – ativos relacionados aos processos do COMAE que contribuem para o sucesso do Projeto ou da Atividade, tais como:

recursos financeiros, planos formais ou não, políticas, diretrizes e procedimentos; normas padrão de ação, procedimentos de qualidade, auditorias, listas de

verificação, instruções de trabalho, regras gerais em diversas áreas; requisitos de comunicação, gerenciamento de questões e defeitos, controles financeiros e

tratamento de riscos; processos administrativos de gestão; informações e conhecimentos obtidos dos diversos Projetos, lições aprendidas, informações

históricas, ou qualquer informação documentada que possa ajudar no sucesso dos novos Projetos;

VII - Avaliação dos Riscos – processo de comparar os resultados da Análise dos Riscos com os Critérios de Riscos para determinar se o risco é aceitável ou

inaceitável;

VIII - Critérios de Aceitabilidade de Riscos – critérios para a Aceitação do Risco. Podem variar conforme a Organização, o Projeto ou a Atividade, mas

condicionam-se aos Critérios de Riscos da Organização;

IX - Critérios de Riscos – termos de referência contra os quais a significância de um risco é avaliada. São baseados nos objetivos organizacionais e nos contextos

interno e externo. Podem ser derivados de normas, leis, políticas e outros requisitos;

X - Estratégia de Tratamento – linha de ação a ser adotada para o tratamento do risco, tais como: aceitar, compartilhar ou transferir, reduzir e evitar;

XI - Gerenciamento de Riscos – aplicação sistemática da arquitetura da gestão de riscos (estrutura, princípios e processos) para identificar, avaliar, administrar e

controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da Organização;

XII - Gestão de Riscos – diz respeito à arquitetura utilizada para gerenciar os riscos. Compreende os princípios, a estrutura e os processos utilizados para o

gerenciamento eficaz dos riscos;

XIII - Identificação dos Riscos – processo de busca, reconhecimento e descrição de riscos. Constitui uma listagem abrangente de eventos que possam afetar a

realização dos objetivos da Organização, do Projeto ou da Atividade, incluindo suas causas e consequências, reações em cadeia provocadas por consequências

específicas e efeitos cumulativos e em cascata;

XIV - Impacto do Risco – reflete a severidade dos efeitos da ocorrência do risco nos objetivos da Organização, do Projeto ou da Atividade;

XV - Nível de Risco – magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências (severidade) e de suas

probabilidades. Exemplo: se as probabilidades dos riscos tiverem cinco níveis e a severidade quatro níveis, a combinação resulta em 20 níveis de risco possíveis.

Por conveniência, os níveis podem ser organizados ou agrupados em faixas para melhor avaliar a estratégia de tratamento;

XVI - Planilha Documentadora – planilha eletrônica elaborada pelo Ministério do Planejamento, Orçamento e Gestão (MPOG) e disponibilizada como parte

integrante do material didático do Curso de Gestão de Riscos no Setor Público, ministrado, na modalidade a distância, pela Escola Nacional de Administração

Pública. Essa planilha possui recursos, tais como fórmulas e automatizações, que auxiliam a execução do processo da gestão de riscos na organização. Uma vez

devidamente preenchida, pode documentar a gestão de riscos na instituição;

XVII - Plano de Contingência – documento que descreve as ações a serem executadas caso o evento do risco se materialize;

XVIII - Plano de Ação ou de Enfrentamento – documento que descreve as ações de contenção de efeitos potenciais ou de tratamento das causas dos riscos

identificados, constando: identificação do risco, causas que podem levar à ocorrência do risco, consequências da ocorrência do risco, estratégia de tratamento,

ações para contenção do risco, acompanhamento das ações de contenção do risco e seus efeitos, objetivos da organização, do Projeto ou da Atividade afetados,

entre outros;

XIX - Probabilidade de Ocorrência do Risco – chance de o risco ocorrer, podendo ser definida, medida ou determinada objetiva ou subjetivamente, qualitativa ou

quantitativamente;

XX - Projeto – empreendimento único, com início e fim determinados, que utiliza recursos e é conduzido por um responsável, visando a atingir objetivo

predefinido, caracterizando-se por limitação no tempo, unicidade e progressividade;

XXI - Proprietário do Risco – pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;

XXII - Risco – efeito da incerteza na concretização dos objetivos da Organização, do Projeto ou da Atividade, podendo ser negativo ou positivo;

XXIII - Tipologia de Riscos – classificação dos riscos identificados quanto a sua natureza, causas e efeitos. Neste PCA serão considerados, dentre outras, as

seguintes categorias: estratégico, operacional, orçamentário, reputação, integridade, fiscal e conformidade; e

XXIV - Vulnerabilidade – refere-se à suscetibilidade da organização em relação a um risco e está relacionada com o nível de preparação da Organização, sua

agilidade de atuação de sua capacidade de adaptação. Também tem relação com os controles internos pré-existentes capazes de afetar a probabilidade de

ocorrência ou os impactos do risco.

§ 3º Destacam-se, também, as seguintes Siglas e Acrônimos:

1ª Bda AAAe Primeira Brigada de Artilharia Antiaérea.

AJUR Assessoria Jurídica e de Investigação e Justiça.

ArcGIS Aeronautical Reconnaissance Coverage Geographic Information System.

ARP Aeronave Remotamente Pilotada.

AsGov Assessorias de Governança.

ASV Assessoria de Segurança de Voo.

C2 Comando e Controle.

CECOMSAER Centro de Comunicação Social da Aeronáutica.

CCOA Centro Conjunto de Operações Aeroespaciais.

CCOI Centro Conjunto Operacional de Inteligência.

CHEMC Chefe do Estado-Maior Conjunto.

CMDO Comando.

CMTAER Comandante da Aeronáutica.

COMAE Comando de Operações Aeroespaciais.

COMAER Comando da Aeronáutica.

COMGER Comitê Diretivo de Gestão de Riscos.

COPE Centro de Operações Espaciais.

COPE-S Centro de Operações Espaciais Secundário.

CPOGI Centro de Planejamento, Orçamento e Gestão Institucionais.

DCA Diretriz do Comando da Aeronáutica.

DECEA Departamento de Controle do Espaço Aéreo.

DIVCSI Divisão de Comunicação e Sistemas de Informações.

DIVCTR Divisão de Controle de Satélite.

DIVGI Divisão de Gestão Institucional.

DIVOC Divisão de Operações Correntes.

DIVPLAN Divisão de Planos e Diretrizes.

DIVRH Divisão de Recursos Humanos.

DIVSOP Divisão de Suporte Operacional.

EAD Ensino a Distância.

EMC Estado-Maior Conjunto.

FAB Força Aérea Brasileira.

GABAE Gabinete do Comando de Operações Aeroespaciais.

GPAER Sistema de Gestão Estratégica e de Portfólio de Projetos da Aeronáutica.

IVR Inteligência, Vigilância e Reconhecimento.

LGDP Lei Geral de Proteção de Dados Pessoais.

MD Ministério da Defesa.

NPA Norma Padrão de Ação.

NOP Necessidade Operacional

NOREMP Norma de Emprego.

NOSDA Norma Operacional do Sistema de Defesa Aérea

ODG Órgão de Direção Geral.

ODS Órgão de Direção Setorial.

ODGSA Órgão de Direção Geral, Setorial e de Assistência Direta e Imediata.

OM Organização Militar.

PBC Planejamento Baseado em Capacidades.

PCA Plano do Comando da Aeronáutica.

PDTIC Plano Diretor de Tecnologia da Informação e Comunicações.

PESE Programa Estratégico de Sistemas Espaciais.

PFV Programa de Fortalecimento de Valores.

PLANSET Plano Setorial.

PTA Plano de Trabalho Anual.

RECOA Reunião de Coordenação de Operações Aeroespaciais

RH Recursos Humanos.

SADM Seção Administrativa.

SAR Busca e Salvamento.

SCCI Seção de Cerimonial e Comunicação Institucional.

SCCOA Secretaria do Centro Conjunto de Operações Aeroespaciais.

SCCOI Secretaria do Centro Conjunto Operacional de Inteligência.

SCOPE Secretaria do Centro de Operações Espaciais.

SCPOGI Secretaria do Centro de Planejamento, Orçamento e Gestão Institucionais.

SEMC Secretaria do Estado-Maior Conjunto.

SICOFAA Sistema de Cooperação entre as Forças Aéreas Americanas SIE (Seção de Infraestrutura).

SIGPES Sistema de Informações Gerenciais de Pessoal.

SILOMS Sistema Integrado de Logística de Material e Serviços.

SINTEL Seção de Inteligência.

SISDABRA Sistema de Defesa Aeroespacial Brasileiro.

SPA-C2 Sistema de Planejamento e Análise de Comando e Controle.

SPA-GE Sistema de Programação e Análise em Guerra.Eletrônica.

SPDA Seção de Protocolo, Documentação e Arquivo.

SPGIA Sistemática de Planejamento e Gestão Institucional da Aeronáutica.

SREG Seção de Registro Patrimonial.

SSP Seção de Suporte de Pessoal.

TI Tecnologia da Informação.

Seção III

Âmbito

Art. 4º Esta publicação, de observância obrigatória, aplica-se a todos os setores do Comando de Operações Aeroespaciais que tenham responsabilidade na

condução de Projetos e Atividades listados no PLANSET/PTA deste ODS.

CAPÍTULO II

DISPOSIÇÕES GERAIS

Seção I

Gestão de Riscos do COMAER

Art. 5º A sistemática de Gestão de Riscos do COMAER é representada pictoricamente pela figura a seguir, sendo referenciada por cada um dos itens e apêndices

da DCA 16-2/2022.

Figura 1 – Sistemática de Gestão de Riscos do COMAER

Fonte: DCA 16-2/2022

Art. 6º A base do triângulo representa as normas e os princípios que fundamentam a Estrutura de Governança e a metodologia de Gestão de Riscos do

COMAER, conforme descrito nos itens 3 (Pressupostos Normativos), 4 (Princípios da Gestão de Riscos) e 5 (Modelo das Três Linhas de Defesa), da DCA 16-

2/2022.

Art. 7º O nível acima da base representa a Estrutura de Governança da Gestão de Riscos no COMAER (item 9 da DCA 16-2/2022), tendo obviamente como

alicerce as normas e os princípios estabelecidos.

Art. 8º Na sequência crescente da representação, observa-se a metodologia, que compreende o Processo de Gestão de Riscos, a Planilha de Auxílio e o Registro

dos resultados da Gestão de Riscos no GPAer (itens 6; 7 e Apêndice B; e 8 e Apêndice C, respectivamente da DCA 16-2/2022).

Art. 9º É importante que os fundamentos do Processo de Gestão de Riscos mencionados no artigo anterior sejam aplicados por todos os gerentes de Projetos e

Atividades conduzidos pelas OM, utilizando como apoio a Planilha de Auxílio, ou Planilha Documentadora.

Art. 10. Os resultados não sigilosos do processo de Gestão de Riscos devem ser inseridos no módulo de Gestão de Riscos do GPAer. Caso seja sigiloso, somente

deve ser inserida no GPAer a informação de que há uma análise de riscos arquivada no setor.

Art. 11. Ressalta-se a obrigatoriedade da análise, avaliação e gestão dos riscos, que são identificados e associados pelos gestores ao programa de integridade da

FAB, descrito pela DCA 16-3 “Plano de Integridade da FAB”.

Seção II

Princípios e Diretrizes Gerais

Art. 12. Ao analisar o Art. 17 do Decreto 9.203, de 22/11/2017, verifica-se que, ao iniciar o processo da Gestão de Riscos, os gestores devem considerar a

importância dos princípios e diretrizes gerais que conduzam a aplicação da metodologia sobre Projetos e Atividades da instituição.

Art. 13. A norma NBR ISO 31000 (ABNT, 2018) lista princípios e diretrizes gerais, que servem de orientação aos gestores para aplicação eficiente e eficaz do

processo da Gestão de Riscos. Esses princípios e diretrizes devem fundamentar a estrutura e os processos de Gestão de Riscos das Organizações da FAB,

conforme estabelece a DCA 16-2/2022. Tais princípios são descritos a seguir:

I - Integrada – a Gestão de Riscos é parte integrante de todos os processos organizacionais;

II - Estruturada e Abrangente – uma abordagem estruturada e abrangente para a Gestão de Riscos contribui para resultados consistentes e comparáveis;

III - Personalizada – a estrutura e o processo de Gestão de Riscos devem ser personalizados e proporcionais aos contextos externo e interno da organização

relacionados aos seus objetivos;

IV - Inclusiva – o envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista e percepções sejam

considerados, resultando em melhor conscientização e Gestão de Riscos fundamentada;

V - Dinâmica – riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno de uma organização mudem. A Gestão de Riscos

antecipa, detecta, reconhece e responde a estas mudanças e eventos de uma maneira apropriada e oportuna;

VI - Melhor Informação Possível – as entradas para a Gestão de Riscos devem ser baseadas em informações históricas e atuais, bem como em expectativas

futuras. A Gestão de Riscos, explicitamente, leva em consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que

a informação seja oportuna, clara e disponível para as partes interessadas pertinentes;

VII - Fatores Humanos e Culturais – o comportamento humano e a cultura influenciam significativamente todos os aspectos da Gestão de Riscos em cada nível e

estágio; e

VIII - Melhoria Contínua – as Organizações Militares devem desenvolver e melhorar a Gestão de Riscos de forma contínua.

Seção III

Modelo das Três Linhas de Defesa

Art. 14. O modelo das Três linhas de Defesa estabelece que as ações executadas pelos gestores representam a primeira linha de defesa no gerenciamento dos

riscos. Já as diversas funções de controle de riscos e supervisão de conformidade executadas pela AsGov constituem a segunda linha de defesa. A terceira é

caracterizada pela avaliação independente da auditoria interna do CENCIAR. Observa-se que cada uma dessas três linhas exerce um papel distinto dentro da

estrutura mais ampla de governança do COMAER.

Art. 15. A 1ª Linha de Defesa deve desempenhar as seguintes atribuições:

I - liderar e dirigir ações (incluindo gerenciamento de riscos) e aplicação de recursos para atingir os objetivos definidos no Plano Setorial do ODS;

II - manter um diálogo contínuo com a AsGov, reportando resultados planejados, reais e esperados, vinculados aos objetivos do ODS, e dos riscos;

III - estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno); e

IV - garantir a conformidade com as expectativas legais, regulatórias e éticas.

Art. 16. Em conjunto com a primeira, a 2ª Linha de Defesa deve desempenhar as seguintes atribuições:

I - fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de riscos, incluindo:

a) o desenvolvimento, a implantação e a melhoria contínua das práticas de gerenciamento de riscos nos níveis de processo, sistemas e instituição;

b) o atingimento dos objetivos de gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; segurança da

informação e tecnologia; sustentabilidade; e avaliação da qualidade; e

II - fornecer análise e reportar sobre a adequação e a eficácia do gerenciamento de riscos.

Art. 17. Já a 3ª Linha de Defesa, que é o órgão de auditoria interna (CENCIAR, no caso do COMAER), deve fornecer Integridade as Unidades de Gestão. Também

deve produzir para a alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da instituição.

CAPÍTULO II

DISPOSIÇÕES ESPECÍFICAS

Seção I

Estrutura da Gestão de Riscos no COMAE

Art. 18. Para que a Gestão de Riscos alcance os seus objetivos, é de fundamental importância a sua adequada estruturação no âmbito do COMAE. Essa estrutura

compreende os fundamentos, os princípios e os processos utilizados para o gerenciamento eficaz dos riscos. Compreende, ainda, o conjunto de práticas,

sistemas, recursos (humanos e materiais) e cultura que, atuando no sistema de gestão deste comando, em todos os níveis, possibilitam que os riscos sejam

administrados.

Art. 19. Não se pretende tornar rígido o processo de Gestão de Riscos com a citada estruturação, porém esta auxilia a sua integração à gestão existente. Deste

modo, alguns fatores poderão ser facilitadores nesse processo de estruturação:

I - comprometimento forte e sustentado por parte da chefia e de todos os demais níveis;

II - construção e fortalecimento de uma cultura de Gestão de Riscos alinhada e integrada às respectivas culturas organizacionais;

III - aprimoramento da política de Gestão de Riscos, por meio da melhoria contínua deste plano;

IV - alinhamento dos objetivos da Gestão de Riscos às diretrizes do Comandante do COMAE;

V - conformidade legal e regulatória; e

VI - definição de requisitos, indicadores e recursos necessários para a Gestão de Riscos.

Art. 20. A compreensão do contexto na qual a instituição está inserida é fundamental para se iniciar o processo de implementação da estrutura da Gestão de

Riscos. Para a avaliação desse contexto poderão ser considerados, entre outros fatores:

I - ambiente cultural, legal, regulatório, financeiro, tecnológico e econômico, quer sejam internacional, nacional, regional ou local;

II - fatores críticos e tendências que tenham impacto sobre os objetivos estabelecidos para os Projetos e Atividades do COMAE;

III - relacionamento institucional, com partes interessadas;

IV - estrutura organizacional e regimento interno; e

V - estratégias (planejamentos) para o cumprimento da missão.

Art. 21. A Gestão de Riscos deverá ser considerada em todos os Projetos e Atividades dos processos deste ODS, conforme previsto no Art. 9º deste plano.

Art. 22. Dever-se-á considerar o investimento na Gestão de Riscos sob a forma de treinamento, capacitação e gestão do conhecimento.

Art. 23. Para uma maior efetividade do processo de Gestão de Riscos dever-se-ão manter os mecanismos efetivos de comunicação e reporte do sistema GPAer,

cumprindo o disposto nos Art. 10, 11 e 15 deste plano.

Art. 24. É indispensável que sejam definidas pela autoridade competente a responsabilização e a propriedade dos riscos. Esta informação deve ser enviada, por

meio de ofício do SIGADAER, à DIVGI/CPOGI. Tal ação visa a garantir que o processo seja implementado e mantido adequadamente.

Seção II

Implementação da Gestão de Riscos no COMAE

Art. 25. Cada setor da estrutura do COMAE deverá formalizar, conforme o previsto nos Art. 63 e 64, a sua documentação que aborda o processo da Gestão de

Riscos. Além disso, para que o referido processo alcance os resultados almejados, é necessário que se mantenha o seu monitoramento e análise crítica

periodicamente. Para tanto, as ações de mitigação ou redução dos riscos devem constar como tarefas no PLANSET/PTA do ano A+1.

Art. 26. Ficará a cargo de cada Supervisor e Coordenador de Projeto e/ou Atividade a responsabilidade de verificar o andamento do estabelecimento da Gestão

de Riscos nos seus respectivos setores. Uma vez implementada, dever-se-á constatar, periodicamente, a evolução do referido processo, o seu monitoramento e

melhoria contínua.

Art. 27. A responsabilidade pela coordenação e execução da Gestão de Riscos, de acordo com cada nível, é definida como segue:

I - Nível do Comando – Chefe do Estado-Maior Conjunto do COMAE, com AsGov exercida pela DIVGI/CPOGI (2ª Linha de Defesa);

II - Nível dos Centros ou Assessorias – Supervisores/Coordenadores dos Projetos e/ou Atividades (integrante na 1ª Linha de Defesa); e

III - Nível Projeto e Atividade – Gerente do Projeto e/ou Atividade responsável pela análise de riscos (1ª Linha de Defesa).

Art. 28. O escopo mínimo para a Gestão de Riscos, nos níveis definidos previamente, é explicitado a seguir:

I - Nível do Comando - Missão do COMAE e os objetivos setoriais lançados no PLANSET/PTA;

II - Nível dos Centros ou Assessorias - As iniciativas desdobradas dos objetivos setoriais do COMAE, bem como os Projetos e/ou Atividades que estejam sob

responsabilidade dos respectivos Centros ou Assessorias; e

III - Nível Projeto ou Atividade - Para os Projetos deverão ser considerados aqueles em andamento ou em vias de entrar em execução até o ano A+1. Para as

Atividades, deverão ser consideradas como referência as competências do setor definidas no Regimento Interno e nas NPA, bem como os seus processos

internos, podendo ser acrescidos outros aspectos considerados relevantes pela respectiva chefia.

Art. 29. Em cada nível, o setor designado para a coordenação da Gestão de Riscos deverá ser responsável pelo relacionamento dos riscos considerados

inaceitáveis (item II, do Art. 50), bem como pelo assessoramento da autoridade responsável para a tomada de decisão de solicitar um posicionamento do nível

imediatamente superior.

Art. 30. A instância superior do Nível ODS é o EMAER, por meio do Escritório de Gestão Institucional (EGI), conforme definido pela DCA 16-2/2022.

CAPÍTULO III

PROCESSO DE GESTÃO DE RISCOS NO COMAE

Seção I

Aspectos Gerais

Art. 31. O processo de Gestão de Riscos é parte integrante da gestão, devendo ser incorporado à cultura e às práticas e adaptado aos processos do COMAE.

Art. 32. Para os riscos organizacionais (aqueles ligados à missão e objetivos da Organização), o processo de planejamento do gerenciamento deverá ser

executado no início da elaboração do PLANSET/PTA do ano A+1.

Art. 33. Para os riscos de Projetos e Atividades, o processo de Planejamento do Gerenciamento deverá ser executado no final ou durante a elaboração do

PLANSET/PTA do ano A+1.

Art. 34. O processo de Gestão de Riscos deverá ser cíclico, interativo e abranger toda a vida do Projeto ou Atividade.

Seção II

Atividades do Processo

Art. 35. Para o planejamento do processo, é imprescindível a compreensão do contexto institucional onde a Gestão de Risco será implementada, conforme

apresentado no Art. 20 deste plano. Além disso, importante ressaltar a necessidade do monitoramento e análise crítica permeando todas as atividades,

buscando-se a melhoria contínua de todo o processo, conforme já mencionado nos Art. 25 e 26 deste plano.

Seção III

Metodologia Aplicada no Processo

Art. 36. A metodologia aplicada no COMAE aborda princípios específicos, objetivos e requisitos mínimos de gerenciamento, divididos em 5 etapas. Na etapa de

avaliação, são definidas a Probabilidade de Ocorrência e de Impacto dos Riscos, além de considerações quanto à Matriz de Gravidade do Risco. Uma síntese

destes conceitos são pontuados nos artigos seguintes, com o propósito de orientar e facilitar a compreensão do processo de Gestão de Riscos conduzido no

COMAE.

Art. 37. Princípios da Gestão de Riscos no COMAE – Os princípios a seguir são definidos pelo COMAE como balizadores do processo de Gestãos de Riscos

aplicados ao seu portifólio de Projetos e Atividades:

I - a utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico;

II - a utilização da Gestão de Riscos para apoio à melhoria contínua dos processos organizacionais;

III - a Gestão de Riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

IV - o estabelecimento de níveis de exposição a riscos adequados; e

V - o estabelecimento de procedimentos da Gestão do Controle Interno proporcional ao risco, observando a relação custo-benefício, a fim de agregar valor à

organização.

Art. 38. Objetivos da Gestão de Riscos – Após a definição dos princípios, os objetivos da Gestão de Riscos, alinhados à missão e à visão da organização, são

deduzidos e estabelecidos para este ODS, conforme especificado abaixo:

I - assegurar que os responsáveis pela tomada de decisão tenham acesso tempestivo às informações dos riscos aos quais o COMAE está exposto, inclusive para

determinar questões relativas à delegação, se for o caso;

II - aumentar a probabilidade de alcance dos objetivos dos Projetos e Atividades do COMAE, reduzindo os riscos a níveis aceitáveis, sobre os Ativos de Processos

Organizacionais; e

III - agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos, minimizando os impactos

negativos decorrentes de sua materialização.

Art. 39. Etapas do Gerenciamento de Riscos – As etapas do gerenciamento de risco são apresentadas no gráfico a seguir, com intuito de abordar os requisitos

mínimos necessários à Gestão dos Riscos no âmbito dos Projetos e Atividades do COMAE e assegurar que o registro obrigatório seja feito pelos Gerentes,

Coordenadores e Supervisores na Planilha Documentadora (ou de Auxílio) e no GPAer.

Figura 2: Etapas do Gerenciamento de Riscos

(Fonte: DCA 16-2)

Parágrafo único. A conclusão destas 5 etapas garante uma razoável chance de o COMAE alcancar os seus objetivos, pois tal ação contribui para assegurar a

comunicação eficaz da instituição, cumprimento de Leis e regulamentos, evitar danos à reputação e reduzir possíveis riscos e desvios éticos.

Seção IV

Estabelecimento de Contexto

Art. 40. A 1ª fase do processo (definida no item 6.1 da DCA 16-2) é caracterizada pelo estabelecimento do contexto que envolve o entendimento da

organização, dos objetivos e do ambiente, inclusive do controle interno, no qual os objetivos são buscados.

Art. 41. Um dos primeiros passos para o estabelecimento do contexto é identificar os fatores do ambiente, interno e externo, no qual são alcançados os

objetivos dos Projetos e Atividades do COMAE. Não menos importante é a identificação das partes interessadas sobre os Projetos e Atividades, bem como a

identificação e a apreciação das suas necessidades, expectativas e preocupações.

Art. 42. Ao preencher a Planilha Documentadora, os Gerentes, Coordenadores e Supervisores utilizam como ferramenta de análise a matriz SWOT que, em

relação ao ambiente interno, vai verificar quais são as forças e fraquezas (pontos fortes e pontos fracos) e, em referência ao ambiente externo, vai examinar

quais são as ameaças e oportunidades.

§ 1º Em relação à fixação de objetivos, todos os níveis deste ODS têm seus objetivos fixados e comunicados, por meio de códigos dos Projetos e Atividades

definidos no PLANSET/PTA do COMAE. Esses códigos são vinculados à Cadeia de Valor e ao Mapa Estratégico da força.

§ 2º Ao preencher na Planilha Documentadora no campo dos macroprocessos ou processos, deve-se registrar o objetivo geral desses processos, as leis e

regulamentos e os sistemas utilizados na sua execução. A obtenção dessas informações tem a finalidade de apoiar o levantamento das vulnerabilidades dos

Projetos ou Atividades e, consequentemente, de identificar os eventos que potencialmente impeçam a consecução dos objetivos, além de escolher as ações

para atingi-los.

§ 3º Além da análise SWOT, outras ferramentas e técnicas de identificação dos riscos também podem ser usadas, como o envolvimento de pessoas com o

conhecimento e experiência adequados, assim como técnicas de brainstorming, opiniões de especialistas, entrevistas estruturadas, e outras.

Seção V

Identificação de Eventos de Riscos

Art. 43. A 2ª etapa é definida pela Identificação de Eventos de Riscos em si, juntamente com suas causas e consequências, as quais eventualmente implicam

reações em cadeia que podem afetar outros processos não inicialmente relacionados com o Evento de Risco.

§ 1º Este processo deve ser sistemático e repetitivo, de acordo com a dinâmica do Projeto ou da Atividade e seu contexto. Deve envolver múltiplos

participantes, normalmente a equipe de execução, clientes, gestores e as partes interessadas.

§ 2º Ao descrever o Evento de Risco, deve-se ter em conta que o principal propósito é identificar a possibilidade do surgimento de acontecimentos ou situações

que, eventualmente, poderiam interferir ou obstar, de alguma maneira, o alcance dos objetivos organizacionais.

§ 3º Em consonância a isso, as causas do Evento de Risco são as condições, que podem ser oriundas do ambiente externo ou interno, as quais dão origem à

possibilidade da ocorrência do Evento de Risco, sendo também denominadas de fatores de riscos.

§ 4º Outrossim, as consequências são os resultados prejudiciais que o Evento de Risco provoca nos Objetivos dos Projetos e Atividades que se estão a analisar.

Seção VI

Avaliação de Riscos e Controles

Art. 44. Na fase de avaliação, buscar-se-á desenvolver a compreensão dos riscos envolvidos, de modo a facilitar a tomada de decisão em relação aos mesmos.

Envolve a apreciação das causas, das consequências negativas ou não, e uma análise sob o aspecto de probabilidade e do impacto no caso da ocorrência do

evento. Deverá ser realizada por meio de análises qualitativas, quantitativas ou pela combinação de ambas.

Art. 45. A Planilha Documentadora contempla tabelas para que seja feita a análise de probabilidade e a análise de impacto, além de clarificar a metodologia para

atribuição dos valores. No que se refere à avaliação de cada evento, deverão ser apresentados na Planilha: a Tipologia do Risco, a Probabilidade de Ocorrência

do Risco, o Impacto do Risco e o Nível de Risco.

Art. 46. Para a Tipologia do Risco, ou categoria, deverão ser considerados, entre outros, os seguintes tipos:

I - estratégico – eventos que possam impactar na missão, nas metas ou nos objetivos estratégicos do COMAE;

II - operacional – eventos que podem comprometer as atividades do COMAE, normalmente associados a falhas, deficiência ou inadequação de processos

internos, pessoas, infraestrutura e sistemas, afetando o esforço da gestão quanto à eficácia e a eficiência dos processos organizacionais. No caso de Projetos,

este tipo de risco geralmente está associado às próprias áreas de conhecimento do gerenciamento de Projetos: um cronograma malfeito; um orçamento com

valor base muito aquém do esperado ou um escopo sem foco definido;

III - orçamentário – eventos que podem comprometer a capacidade do COMAE de contar com os recursos orçamentários necessários à realização de seus

Projetos e suas Atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações;

IV - reputação – eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão

ou da entidade em cumprir sua missão institucional, por interferência direta na imagem do órgão;

V - integridade – eventos que podem afetar a probidade da gestão dos recursos públicos e das atividades do COMAE, causados pela falta de honestidade e

desvios éticos;

VI - fiscal – eventos que podem afetar negativamente o equilíbrio das contas públicas; e

VII - conformidade – eventos que podem afetar o cumprimento de leis e regulamentos aplicáveis.

Art. 47. Também na Planilha Documentadora deve-se efetuar a mensuração do risco inerente, a avaliação dos controles existentes e a análise do risco residual.

§ 1º Inicialmente, não se deve considerar os controles já existentes na análise do risco inerente, pois este é mensurado na sua dimensão original ou bruta, sem

nenhum tipo de mitigação por qualquer tipo de controle.

§ 2º Em todas as análises dos riscos, os critérios das tabelas abaixo são utilizados para a classificação, atribuição de valor e definição do grau de probabilidade e

de impacto.

Tabela 1: Critérios de classificação da probabilidade de ocorrência

(Fonte: DCA 16-2)

Tabela 2: Critérios para a análise do impacto dos riscos atribuidos

(Fonte: Adaptação da DCA 16-2)

§ 3º Em seguida, a Matriz de Gravidade do Risco é utilizada para realizar a avaliação e a classificação do risco, com base na sua Probabilidade de ocorrência e no

seu Impacto sobre o Projeto ou Atividade considerado, levantando o índice (número resultante da multiplicação da Probabilidade e do Impacto) e nível de risco

(palavra que define sua classificação).

Tabela 3: Matriz de Gravidade de Riscos = Probabilidade x Impacto

(Fonte: DCA 16-2)

Tabela 4: Escala de Nível de Risco

(Fonte: DCA 16-2)

§ 4º Na planilha documentadora, após a mesuração da probabilidade e do impacto do risco inerente, passa-se a identificar os controles atuais que respondem

ao evento de risco selecionado, a fim de avaliá-los quanto ao desenho e à efetividade de sua operação. A avaliação do desenho do controle deve verificar se há

um controle previsto, se este é adequado e se está formalizado. Já a avaliação da efetividade da operação do controle deve verificar se os controles previstos e

formalizados estão sendo executados e há evidências de sua realização.

Tabela 5: Níveis de Desenho e Efetividade do Controle

(Fonte: DCA 16-2)

§ 5º Finalmente, após a avaliação dos controles existentes, procede-se à inferência da gravidade do risco resultante ou residual, também por meio da Matriz de

Gravidade do Risco (Tabela 3).

§ 6º No que se refere à priorização dos riscos, no GPAer, após a definição da gravidade do risco, parte-se para análise de sua Urgência e Tendência, porquanto

esses aspectos reunidos formarão, ao final, a matriz de priorização GUT (Gravidade x Urgência x Tendência), a qual é uma ferramenta que pode indicar em qual

risco se deve focar os esforços de mitigação em primeiro lugar.

Tabela 6: Exemplo de priorização valendo-se da matriz de GUT

(Fonte: DCA 16-2)

Seção VII

Resposta a Riscos

Art. 48. Essa fase visa a identificar a linha de ação a ser seguida (aceitar, reduzir, compartilhar/transferir ou evitar) no que se refere aos riscos identificados e

avaliados de modo a reposicioná-los, no Diagrama de Risco, em uma posição mais vantajosa para a organização, para o Projeto ou para a Atividade. A escolha da

estratégia vai depender do apetite ao risco, considerando, ainda, o equilíbrio do custo-benefício.

Art. 49. A resposta ao risco consiste em desenvolver as opções e ações para realçar as oportunidades e reduzir as ameaças (remoção da fonte do risco, alteração

da probabilidade de ocorrência, alteração do impacto das consequências, entre outras).

Art. 50. No que se refere ao nível do risco, a seguinte classificação deverá ser aplicada:

I - riscos aceitáveis – categoria de riscos cujo nível foi considerado passível de ser objeto das estratégias de tratamento de aceitação, redução ou transferência; e

II - riscos inaceitáveis – categoria de riscos cujo nível não encontra tratamento compatível com o nível de decisão atual, devendo ser levado à consideração do

Comandante do COMAE, via cadeia hierárquica, para decisão de encaminhar ou não para a instância superior.

Art. 51. Na maioria das vezes, se o controle estabelecido for PREVENTIVO, ele reduzirá a probabilidade do risco. Porém, se o controle for CORRETIVO, ele

reduzirá o IMPACTO do risco.

Art. 52. O Gerente deve identificar qual estratégia seguir (evitar/prevenir, transferir/compartilhar/submeter a nível superior, aceitar ou reduzir/mitigar) em

relação aos riscos mapeados e avaliados. A escolha da estratégia/tática dependerá do nível de exposição a riscos, previamente estabelecido pelo COMAE, em

confronto com a avaliação que se fez do risco.

Parágrafo único. Como critérios de Aceitabilidade e Propostas de Ação, considera-se a classificação de Nível de Risco Residual Pequeno a tolerância ao risco

aceitável no âmbito do COMAE, após a aplicação das ações e medidas para reduzir a Probabilidade, o Impacto ou ambos os parâmetros dos riscos levantados.

Tem-se que a aplicação das medidas deve ser realizada após a classificação do Risco Inerente e, na sequência, com a aplicação das ações para reduzir o risco,

uma nova classificação constituirá o Risco Residual. Consta na tabela a seguir, sugestões de tipos de respostas e ações de controle, segundo a classificação do

Nível de Risco.

Tabela 7: Sugestões de Tipos de Respostas e Ações de Controle

Nível de Risco

Descrição do Nível de

Risco

Parâmetro de Análise para

Adoção de Resposta

Tipo de

Resposta

Ação de Controle

Pequeno

Indica que o risco

inerente já está dentro

da tolerância a risco

Verificar a possibilidade de

retirar controles

considerados

desnecessários

Aceitar

Conviver com o evento de risco,

mantendo práticas e procedimentos

existentes. Monitorar e controlar.

Moderado

Indica que o risco

residual será reduzido

a um nível compatível

com a tolerância a

riscos

Reduzir a probabilidade ou

o impacto, ou ambos

ou Transferir

Reduzir a probabilidade ou impacto

pela transferência ou

compartilhamento de uma parte do

risco (seguro, transações de hedge

ou terceirização da atividade).

Considerar alternativas. Elaborar

medidas de contenção.

Submeter ao nível superior.

Alto

Indica que o risco

residual será reduzido

a um nível compatível

com a tolerância a

riscos

Nem todos os riscos podem

ser transferidos

Exemplo: Risco de Imagem,

Risco de Reputação

Reduzir

Adotar medidas para reduzir a

probabilidade ou impacto dos riscos,

ou ambos. Considerar o projeto ou

atividade. Exigir medidas de

contenção.

Submeter ao nível superior.

Crítico

Indica que nenhuma

opção de resposta foi

identificada para

reduzir a

probabilidade e o

impacto a nível

aceitável

Custo desproporcional,

capacidade limitada diante

do risco identificado

Evitar

Promover ações que

evitem/eliminem as causas e/ou

efeitos. Exigir medidas de contenção.

Submeter ao nível superior.

Alterar o Projeto ou Atividade.

(Fonte: DCA 16-2)

Art. 53. Definida a estratégia de enfrentamento, deve-se estabelecer na Planilha Documentadora o Plano de Ação, contendo os seguintes tópicos:

I - a descrição da ação;

II - o tipo da ação (preventiva, corretiva ou compensatória);

III - o objetivo da ação (melhorar o controle existente ou adotar controle novo);

IV - a área responsável pela implementação da ação;

V - o proprietário do risco ou responsável pela implementação;

VI - como será implementada a ação;

VII - os intervenientes (militares que autorizam o plano da ação);

VIII - o prazo de início e final para execução da ação;

IX - a estimativa de custos, se houver; e

X - o gatilho, que corresponde às condições que, quando configuradas, disparam alertas de concretização do risco.

Art. 54. Os riscos, cujas estimativas de custos de tratamento ultrapassarem os limites de atuação da equipe de gerenciamento de riscos, deverão compor a lista

de riscos inaceitáveis e deverão ser levados à consideração da instância superior hierarquicamente.

Art. 55. Também deverá ser realizada a avaliação dos riscos residuais (aqueles que permanecem após a execução das ações de tratamento) e dos riscos

secundários ou derivados (aqueles que são originados das ações de tratamento). Convém que seja mantida e registrada a ligação entre os riscos secundários e os

seus originadores.

Art. 56. Durante a análise das opções de tratamento dos riscos, convém que sejam consideradas as partes interessadas no evento e que estas participem das

decisões resultantes dessa fase, conforme previsto no item IV do Art. 13 deste plano.

Art. 57. As ações a serem executadas, caso o evento do risco se materialize, também, deverão estar formalizadas no GPAer, sob o título de Plano de

Contingência.

Parágrafo único. O Plano de Contingência deverá conter ao menos:

I - o setor responsável pelas ações do Plano de Contingência;

II - os setores ou seções envolvidas nas ações do Plano de Contingência;

III - o responsável pela execução das ações do Plano de Contingência;

IV - os intervenientes (militares que autorizam as ações do Plano de Contingência);

V - a descrição da ação de Contingência;

VII - o prazo de início e final para a execução da ação de Contingência e a descrição sumária dos motivos para a realização da ação; e

VIII - a estimativa de custos.

Seção VIII

Informação, Comunicação e Monitoramento do Risco

Art. 58. Este processo tem por objetivo avaliar a qualidade da gestão de riscos de forma contínua, buscando garantir o seu funcionamento e a sua atualização,

conforme alterações nas condições que reflitam em variação no nível de exposição a riscos. Para tanto, deve-se realizar o acompanhamento do contexto

institucional de modo a se detectar essas alterações e, quando necessário, realizar as revisões necessárias nas respectivas respostas e/ou nas suas prioridades.

As alterações deverão constar na reedição da Planilha Documentadora do Projeto ou da Atividade. Esta planilha deve ser encaminhada à DIVGI/CPOGI, por meio

de ofício do SIGADAER.

Art. 59. O proprietário ou responsável pela identificação do risco é o respon-sável por motivar e informar a necessidade de revisão de que trata o artigo

anterior.

Art. 60. No quadro a seguir, são apresentados exemplos de situações que motivam a revisão dos dados lançados na Planilha Documentadora dos Riscos e,

consequentemente, no Relatório do Plano de Gestão de Riscos.

Tabela 8: Exemplos de situações para a revisão da Planilha Documentadora

SITUAÇÃO

AÇÃO REQUERIDA

Contexto alterado de forma tal que

possa influenciar na avaliação do risco

Solicitação de uma nova avaliação de

riscos devido a mudanças no contexto

Risco não apresenta comportamento

esperado para sua tipologia

Solicitação de uma nova avaliação de

riscos, devido a inconsistências na

avaliação inicial

Ações de tratamento não estão

surtindo o efeito desejado

Solicitação de um novo tratamento,

devido à ineficácia do tratamento

planejado originalmente

(Fonte: ICA 80-13/2018)

Art. 61. É conveniente que todas as informações coletadas nas etapas de reavaliação que forem julgadas relevantes componham uma lista de lições aprendidas

com o objetivo da melhoria contínua do processo.

Art. 62. A fase de Documentação envolve a consolidação de toda a análise anteriormente descrita em um “Relatório do Plano de Gestão de Riscos”, que deve

ser revisado anualmente pela DIVGI/CPOGI. A divulgação do referido relatório deverá ser feita até final do mês de maio, para que possibilite o monitoramento

mensal das ações do Plano de Ação ou de Contingência pela DIVGI, por meio do GPAer.

Parágrafo único. É importante destacar que os resultados do processo de análise de riscos são registrados no GPAer e os riscos e os controles são regularmente

monitorados e analisados criticamente para verificar que:

I - as premissas sobre os riscos permanecem válidas;

II - as premissas nas quais o processo de avaliação de riscos é baseado, incuindo o contexto externo e interno, permanecem válidas;

III - os resultados esperados estão sendo alcançados;

IV - os resultados do processo de avaliação de riscos estão alinhados com a experiência corrente;

V - as técnicas do processo de avaliação de riscos estão sendo aplicadas de maneira apropriada; e

VI - as medidas de tratamento de riscos continuam eficazes.

CAPÍTULO IV

DISPOSIÇÕES TRANSITÓRIAS

Art. 63. Os setores do COMAE deverão efetivar a formalização documental (Planilha Documentadora) do assunto de que trata esta publicação, remetendo à

DIVGI/CPOGI, para que as informações sejam avaliadas e consolidadas no Relatório do Plano de Gestão de Riscos do COMAE, conforme instruções e calendário

divulgados pela DIVGI.

Art. 64. No Relatório do Plano de Gestão de Riscos, deverão ser definidos, dentre outros: a Estrutura Organizacional e de Governança do COMAE, os Processos

avaliados, Período de avaliação, Riscos identificados, Avaliação dos controles, Ações de controle propostas, a conclusão, com um parecer final sobre os riscos e

controles identificados, e outras considerações e orientações julgadas relevantes para a condução do processo de Gestão de Riscos.

Art. 65. Caso necessário, deverá ser elaborado um Plano de Contingência, que será inserido no GPAer, obedecendo a formalística estabelecida pelo sistema.

Este abordará o planejamento e as ações a serem implementadas como resposta à materialização dos riscos identificados.

Art. 66. Este Plano deverá ser revisado, sempre quando houver alterações na metodologia empregada pela DCA 16-2 e sempre que houver necessidade de

atualização, observando o Art. 69.

Art. 67. As estratégias e métodos para gerenciar os riscos identificados, guias e modelos a serem seguidos, em cada passo do processo, e a correspondente

documentação deverão ser definidos e propostos pela DIVGI/CPOGI, em reuniões com os gestores dos Projetos e Atividades, obedecendo as orientações desta

publicação.

Art. 68. A seleção de Projetos e Atividades contempladas no escopo da Gestão de Riscos será revisada, anualmente, quando for atualizado o PLANSET/PTA do

COMAE.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 69. O contexto geral considerado na formalização da Gestão de Riscos deverá ser revisado, pelo menos, a cada quatro anos.

Art. 70. Os casos não previstos neste Plano deverão ser submetidos à apreciação do Comandante do COMAE, por intermédio do Chefe do CPOGI.