MINISTÉRIO DA DEFESA

COMANDO DA AERONÁUTICA

DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA AEROESPACIAL

PORTARIA DCTA Nº 356/SCGI DE 23 DE JANEIRO DE 2025

Aprova a Instrução que trata da Gestão de

Riscos no DCTA.

DIRETOR-GERAL DO DEPARTAMENTO DE CIÊNCIA E TECNOLOGIA AEROESPACIAL

, no uso das

atribuições previstas no inciso IV do art. 11 do Regulamento do Departamento de Ciência e Tecnologia

Aeroespacial, aprovado pela Portaria GABAER/GC3 nº 1.490, de 15 de agosto de 2024; e considerando o

que consta do Processo n° 67700.032305/2024-40, resolve:

Art. 1° Aprovar a ICA 80-13 "Gestão de Riscos no DCTA", na forma do anexo I.

Art. 2° Revoga-se a Portaria DCTA nº 32/SCPL, de 23 de janeiro de 2018, publicada no BCA nº 20, de 5 de

fevereiro de 2018.

Art. 3° Esta Portaria entra em vigor na data de sua publicação.

Ten Brig Ar MAURÍCIO AUGUSTO SILVEIRA DE MEDEIROS

Diretor-Geral do DCTA

ANEXO I

GESTÃO DE RISCOS NO DCTA (ICA 80-13)

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Seção I

Finalidade

A presente Instrução tem por finalidade estabelecer a metodologia a ser empregada na Gestão de Riscos

no DCTA, em alinhamento com a DCA 16-4 “Acompanhamento Institucional do Comando da

Aeronáutica”, com a DCA 16-2 “Gestão de Riscos no Comando da Aeronáutica” e com o MCA 16-4

“Manual de Gestão e Governança do DCTA”.

Seção II

Competência

Art. 1º

Compete ao DCTA avaliar, direcionar e monitorar as atividades relacionadas à Gestão de Riscos,

com vistas ao cumprimento de sua própria Missão e da Missão de suas OM Subordinadas com eficiência,

alcançando resultados eficazes, efetivos e com economicidade.

Parágrafo único. A reedição desta ICA objetiva o aperfeiçoamento dos procedimentos já implementados e

o alinhamento com a DCA 16-2 GESTÃO DE RISCOS NO COMANDO DA AERONÁUTICA.

Seção III

Conceituações

Art. 2º

Para efeito desta Instrução, os termos e expressões são os constantes do MD35-G-1 “Glossário

das Forças Armadas” (2016) e do MCA 10-4 “Glossário da Aeronáutica” (2001).

Art. 3º

Os conceitos afetos à Gestão de Riscos são os utilizados na NBR ISO 31000 Gestão de Riscos –

Diretrizes (ABNTN, 2018); na NBR ISO 31010 Gestão de Riscos – Técnicas para o Processo de Avaliação de

Riscos (ABNT, 2012); e na NBR ISO Guia 73 Gestão de Riscos – Vocabulário (ABNT, 2009).

Seção IV

Âmbito

Art. 4º

A presente Instrução aplica-se ao QGDCTA e suas OM Subordinadas.

CAPÍTULO II

PRINCÍPIOS DA GESTÃO DE RISCOS

Art. 5º

O propósito da Gestão de Riscos é a criação e a proteção de valor. Ela melhora o desempenho,

encoraja a inovação e apoia o alcance de objetivos, calçados na Missão e nos Processos Finalísticos.

Art. 6º

Para que a Gestão de Riscos seja eficaz e eficiente, é importante observar princípios e diretrizes

gerais que norteiem a elaboração e a aplicação da execução para os Riscos na Organização.

Parágrafo único. Convém que estes princípios possibilitem que a Organização possa gerenciar os efeitos

das incertezas nos seus objetivos.

Art. 7º

No âmbito do DCTA a Gestão de Riscos deve ser:

I -

INTEGRADA: a Gestão de Riscos é parte integrante de todas as atividades organizacionais;

II -

ABRANGENTE: uma abordagem estruturada e abrangente para a Gestão de Riscos contribui para

resultados consistentes e comparáveis;

III -

PERSONALIZADA: a estrutura e o processo de Gestão de Riscos são personalizados e proporcionais aos

contextos externo e interno da Organização relacionados aos seus objetivos;

IV -

INCLUSIVA: o envolvimento apropriado e oportuno das partes interessadas possibilita que seus

conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em melhor conscientização

e Gestão de Riscos fundamentada;

V -

DINÂMICA: riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno

de uma Organização mudem. A Gestão de Riscos antecipa, detecta, reconhece e responde a estas

mudanças e eventos de uma maneira apropriada e oportuna;

VI -

MELHOR INFORMAÇÃO POSSÍVEL: as entradas para a Gestão de Riscos são baseadas em informações

históricas e atuais, bem como em expectativas futuras. A Gestão de Riscos explicitamente leva em

consideração quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém

que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes;

VII -

FATORES HUMANOS E CULTURAIS: o comportamento humano e a cultura influenciam

significativamente todos os aspectos da Gestão de Riscos em cada nível e estágio; e

VIII -

MELHORIA CONTÍNUA: A Gestão de Riscos é melhorada continuamente por meio do aprendizado e

de experiências.

CAPÍTULO III

ESTRUTURA DA GESTÃO DE RISCOS

Seção I

Concepção da Estrutura

Art. 8º

Nesta Instrução, a estrutura para a Gestão de Riscos é entendida como o conjunto de práticas,

processos, sistemas, recursos e cultura que, atuando no sistema de gestão da Organização, possibilitam

que os riscos sejam tratados de forma eficiente.

Parágrafo único. Convém que o Dirigente Máximo assegure que a Gestão de Riscos esteja integrada em

todas as atividades da Organização.

Art. 10.

Uma Gestão de Riscos eficiente requer um comprometimento forte e sustentado em todos os

níveis funcionais do DCTA e das OM Subordinadas, buscando:

I -

agregar valor à Organização, por meio da melhoria dos processos de tomada de decisão e do

tratamento adequado dos riscos, minimizando os impactos negativos decorrentes da sua materialização;

II -

construir e fortalecer a cultura de Gestão de Riscos alinhada e integrada às respectivas culturas

organizacionais do DCTA e das OM Subordinadas;

III -

alinhar os objetivos da Gestão de Riscos às estratégias, às missões e aos processos finalísticos, do

DCTA e das OM Subordinadas;

IV -

manter a conformidade legal e regulatória;

V -

atribuir responsabilidades nos níveis funcionais apropriados; e

VI -

definir requisitos, indicadores e recursos necessários para a gestão dos riscos.

Art. 11.

No desenvolvimento da estrutura de Gestão de Riscos devem ser avaliados os seguintes contextos

de cada Organização:

I -

ambientes cultural, legal, regulatório, financeiro, tecnológico, econômico e competitivo, quer seja

internacional, nacional, regional ou local;

II -

fatores-chave de sucesso e tendências que tenham impacto na missão da OM;

III -

relacionamento institucional e com partes interessadas;

IV -

estrutura organizacional e regimento interno;

V -

estratégias para cumprimento da missão; e

VI -

ativos de processos organizacionais.

§ 1º A Gestão de Riscos deve, de forma personalizada, pertinente e efetiva, ser incorporada em todas as

práticas e processos da OM.

§ 2º A Gestão de Riscos deve estabelecer mecanismos de comunicação e reporte, internos e externos, de

forma eficaz, perene e rastreável.

Seção II

Implementação da Gestão de Riscos

Art. 12.

A implementação da estrutura da Gestão de Riscos no QG e nas OM Subordinadas ao DCTA deve

ser conduzida através das três Etapas seguintes:

I -

comparar a estrutura e o processo atualmente em prática na Organização com o descrito nesta

Instrução;

II -

identificar o que necessita ser mudado e implementar um plano para tal. É importante considerar os

aspectos da cultura organizacional, de modo a diminuir possíveis resistências a mudanças; e

III -

manter o monitoramento e a análise crítica constantes, de modo a propiciar o aporte de sugestões

para assegurar a atualização e a melhoria contínua da Gestão de Riscos.

Art. 13.

A estrutura de Gestão de Riscos no DCTA deve contemplar os seguintes níveis de atuação:

I -

nível ODS;

II -

nível OM subordinada; e

III -

nível Projeto ou Atividade.

Art. 14.

Os Responsáveis pela Gestão de Riscos, de acordo com o nível, são:

I -

nível ODS - Diretor-Geral;

II -

nível OM subordinada - Dirigente Máximo da Organização; e

III -

nível Projeto ou Atividade - Gerente do Projeto ou Chefe do Setor Funcional.

Art. 15.

Mantendo as responsabilidades definidas no art. 14, os setores designados para a Gestão de

Riscos nos diferentes níveis são definidos como se segue:

I -

nível ODS - A Vice-Direção do DCTA, tendo como setor designado a Coordenadoria de Governança –

CGOV, através da Subcoordenadoria de Governança institucional – GSGI;

II -

nível OM subordinada - A Vice-Direção, ou equivalente de cada OM subordinada, sendo que o setor

designado deve ser definido em documento interno, de acordo com as respectivas características e

necessidades organizacionais; e

III -

nível Projeto ou Atividade - Gerente de Risco para os projetos e servidor ou militar designado pela

Chefia para as atividades.

Parágrafo único. caso não haja uma gerência de risco específica, a coordenação pode ser exercida pelo

gerente do projeto ou por servidor/militar designado para tal.

Art. 16.

Dentro dos níveis, o escopo mínimo para a Gestão de Riscos é o seguinte:

I -

nível ODS – Missão do DCTA, Cadeia de Valor, Processos Finalísticos e os Objetivos Setoriais constituídos

no Mapa Estratégico Setorial;

II -

nível OM subordinada - Missão da OM, Cadeia de Valor, Processos Finalísticos e as iniciativas

desdobradas dos Objetivos Setoriais definidos no PLANSET do DCTA e formalizadas em documento

específico da OM, bem como atividades e projetos selecionados; e

III -

nível Projeto ou Atividade - para os projetos devem ser considerados os respectivos objetivos. Para as

atividades, devem ser consideradas como referência as competências do setor, definidas no Regimento

Interno, podendo ser acrescidos outros aspectos considerados relevantes pela Chefia.

§ 1º O DCTA será enquadrado como protagonista dos objetivos estratégicos cujo alcance ou consecução

dependam diretamente da sua participação, sem a qual o alcance do referido objetivo estratégico estaria

inviabilizado ou seriamente comprometido.

§ 2º A seleção dos projetos e atividades para o escopo de execução para os riscos deve ser realizada pela

OM subordinada e homologada pelo Elo Técnico do Subdepartamento Técnico do DCTA, com a

coordenação e supervisão da CGOV.

§ 3º Em cada nível, o órgão designado para a coordenação da Gestão de Riscos deve ser responsável pela

definição da estratégia de tratamento para os riscos, bem como pelo assessoramento da autoridade

responsável para a tomada de decisão, quanto a solicitar orientação do nível imediatamente superior

acerca do tema.

Seção III

Monitoramento da Estrutura

Art. 17.

O monitoramento e o controle da estrutura de Gestão de Riscos no DCTA ficam a cargo da Vice-

Direção do DCTA, por intermédio da CGOV/GSGI.

Seção IV

Fatores Chave Relevantes

Art. 18.

Fatores Chave são condições que contribuem para a consecução dos objetivos propostos. Foram

identificados os seguintes Fatores Chave para a implementação da Gestão de Riscos no DCTA:

I -

Alta Direção Comprometida:

para o sucesso da implementação da estrutura e do processo de Gestão de Riscos na Organização, é

necessário um comprometimento forte e sustentado por parte da Alta Direção; e

esse comprometimento é materializado através do apoio ao setor de coordenação da Gestão de Riscos

na Organização, da definição e da aprovação da documentação regulatória, definindo o apetite ao risco.

II -

Gestão de Riscos Estruturada e Alinhada:

a Gestão de Riscos deve ser definida e estruturada como um processo possível de ser executado em

todos os níveis da Organização e que permeie todos os seus processos gerenciais e de governança; e

a Gestão de Riscos deve estar alinhada com a cultura da Organização, bem como com os documentos

normativos superiores.

III -

Recursos Humanos Capacitados:

o sucesso da implementação de uma nova estrutura também está fortemente ligado à capacitação dos

recursos humanos que trabalharão nos novos processos; e

especialmente nas Organizações nas quais a Gestão de Riscos ainda não está estruturada ou a

metodologia ainda não está difundida nos processos organizacionais, é importante que haja um grande

esforço para proporcionar a capacitação adequada para as necessidades específicas da OM.

CAPÍTULO IV

PROCESSOS DE GESTÃO DE RISCOS

Art. 19.

O Processo de Gestão de Riscos envolve a aplicação sistemática de políticas, procedimentos e boas

práticas nas Etapas de Gestão de Riscos, para que seja parte integrante da gestão e da tomada de decisão,

e que seja integrado na estrutura, nas operações e nos processos da organização nos níveis estratégico,

operacional, de programas ou de projetos.

Art. 20.

O Processo da Gestão de Riscos compreende as seguintes Etapas:

I -

estabelecimento do contexto ou análise do ambiente;

II -

identificação do evento de risco;

III -

risco inerente, controle e risco residual;

IV -

resposta ao risco; e

V -

documentação, monitoramento e análise crítica.

Art. 21.

Os aspectos e os requisitos mínimos apresentados nesta Instrução devem ser seguidos para a

Gestão de Riscos no DCTA, em consonância com a DCA 16-2.

Seção I

Estabelecimento do Contexto ou Análise do Ambiente

Art. 22.

O objetivo desta Etapa é a definição de uma estratégia organizacional para conduzir a Gestão de

Riscos, que se constitui basicamente de duas fases:

I -

análise do contexto; e

II -

elaboração do Plano de Enfrentamento de Riscos.

Art. 23.

A critério do Dirigente Máximo da Organização, pode ser elaborado um Plano de Enfrentamento

de Riscos específico para um projeto ou atividade selecionada.

Art. 24.

Inicialmente, deve ser realizada uma análise dos contextos externo e interno relativos à(ao)

Organização/Projeto/Atividade, no sentido de levantar o contexto político e econômico, a situação

estratégica, a maturidade tecnológica envolvida, parcerias nacionais e internacionais, partes interessadas,

entre outros pontos inerentes.

Art. 25.

Deve ser analisado o contexto da Gestão de Riscos para a situação em questão, definindo e

enunciando claramente quais são seus objetivos.

Art. 26.

O principal produto é o Plano de Enfrentamento de Riscos.

Art. 27.

O Plano de Enfrentamento de Riscos deve definir:

I -

o escopo e o objeto de execução para os riscos;

II -

a análise de contexto consolidada;

III -

o apetite ao risco para a situação em questão;

IV -

a(s) tabela(s) de classificação do impacto do risco;

V -

a(s) tabela(s) de classificação de probabilidade de ocorrência de riscos;

VI -

os critérios de aceitabilidade do risco;

VII -

as propostas ou orientações para a definição da estratégia de tratamento em função dos níveis ou

índices de risco;

VIII -

o grau de autonomia da equipe para tomada de decisão;

IX -

as regras de compartilhamento de riscos entre as partes interessadas;

X -

as estratégias de monitoramento dos riscos; e

XI -

outras informações e orientações julgadas relevantes para a condução do processo de Gestão de

Riscos.

Art. 28.

Anualmente devem ser elaborados relatórios de situação de contexto, contendo atualizações da

análise do Plano de Enfrentamento atual, visando a elaboração do Plano para o ano posterior.

Art. 29.

Tanto o contexto interno quanto o contexto externo devem ser revisados, ao menos, a cada

quatro anos.

Parágrafo único. Para os projetos e atividades com cronograma inferior a quatro anos, deve ser realizada

uma avaliação na metade do cronograma para verificar a necessidade de revisão da conjuntura,

independentemente dos relatórios de situação de contexto.

Art. 30.

A DCA 16-2 “Gestão de Riscos no Comando da Aeronáutica” traz exemplos de tabelas de

classificação de impacto e probabilidade que podem ser utilizados na elaboração do Plano de

Enfrentamento de Riscos.

Seção II

Identificação do Evento de Risco

Art. 31.

Esta Etapa tem por objetivo identificar, analisar e avaliar os riscos.

Art. 32.

Deve ser sistemática e repetitiva, de acordo com a dinâmica do objeto da gestão de risco e do seu

contexto.

Parágrafo único - A identificação do risco deve envolver múltiplos participantes, normalmente a Alta

Direção, Gerência, Chefia, equipe de execução, clientes, gestores e partes interessadas.

Art. 33.

A identificação dos riscos consiste em obter uma lista abrangente de eventos que possam afetar a

realização dos objetivos organizacionais, de projetos ou de atividades. Nesta Etapa, deverá ser observado

o seguinte:

I -

todos os riscos devem ser identificados, estando ou não suas fontes sob o controle da organização,

projeto ou atividade, mesmo que as fontes ou causas dos riscos não sejam evidentes;

II -

reações em cadeia, provocadas por consequências específicas, efeitos cumulativos e em cascata,

também devem ser examinados;

III -

os riscos identificados devem ser registrados em um documento específico, que consiste na lista de

riscos e seus respectivos atributos. O formato do registro e a abrangência dos atributos serão definidos no

Plano de Enfrentamento de Riscos, devendo incluir ao menos:

número de identificação do risco;

data de identificação do risco;

responsável pela identificação;

descrição do risco;

causas do risco; e

consequências do risco.

IV -

diversas técnicas podem ser utilizadas para auxiliar na identificação de riscos, dentre as quais

podemos destacar:

brainstorming, brainwritting

, análise

bow tie

, opiniões de especialistas, análise

SWOT,

entrevistas estruturadas, entre outras.

Seção III

Avaliação de Riscos e Controles

Art. 34.

A análise dos riscos consiste em compreender a natureza do risco e determinar o seu nível. Nesta

Fase, deverá ser observado o seguinte:

I -

o grau de detalhe da análise dos riscos depende da aplicação em particular, da disponibilidade de dados

confiáveis e das necessidades de tomada de decisões da Organização. Esse detalhamento deve constar do

Plano de Enfrentamento de Riscos, devendo conter ao menos:

tipologia do risco;

causas e consequências;

probabilidade de ocorrência do risco;

impacto da ocorrência do risco;

nível do risco; e

relacionamento com a Cadeia de Valor ou Processo Finalístico.

II -

para a categoria ou tipologia do risco, devem ser considerados, entre outros, os seguintes tipos:

riscos operacionais - eventos que podem comprometer as atividades do órgão ou entidade,

normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas,

infraestrutura e sistemas. No caso de projetos, este tipo de risco geralmente está associado às próprias

áreas de conhecimento do gerenciamento de projetos: um cronograma malfeito; um orçamento com valor

base muito aquém do esperado, um escopo sem foco definido, entre outros;

riscos de imagem do órgão - eventos que podem comprometer a confiança da sociedade (ou de

parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em cumprir

sua missão;

riscos legais - eventos derivados de alterações legislativas ou normativas que podem comprometer as

atividades do órgão ou entidade;

riscos financeiros ou orçamentários - eventos que podem comprometer a capacidade do órgão,

entidade ou Projeto de contar com os recursos orçamentários e financeiros necessários à realização de

suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no

cronograma de licitações;

riscos tecnológicos - eventos que podem comprometer o atingimento de objetivos da Organização, do

Projeto ou Atividade em curto, médio ou longo prazo, em consequência das decisões de investimento na

estrutura de sistemas, materiais e tecnologias. Envolvem eventos críticos de curta duração com amplas

consequências, tais como: falhas em sistemas cibernéticos, falhas catastróficas em sistemas devido à baixa

maturidade de tecnologias, entre outros;

risco ambiental - eventos associados a agravos ao meio ambiente, tais como vazamentos ou

derramamentos de produtos danosos, contaminação de sistemas naturais por lançamento ou deposição

de resíduos químicos, incêndios e explosões, entre outros;

riscos associados a agentes adversos - eventos desencadeados deliberadamente por opositores ou

inimigos inteligentes, tais como sabotagem, ataques cibernéticos, terrorismo, violência política,

espionagem e fraudes, entre outros;

riscos associados a pessoas - eventos decorrentes de perda de talento, fraudes, denúncias infundadas,

conflitos trabalhistas, conflitos interpessoais e psicossociais, entre outros; e

riscos da cadeia de suprimento - eventos ligados a dificuldades de fornecedores e parceiros diversos em

se manterem competitivos no mercado.

III -

As OM Subordinadas podem adequar as definições do Inciso II às características do objeto da Gestão

de Riscos, bem como propor ao órgão coordenador da instância superior a incorporação de novos tipos.

Art. 35.

A avaliação dos riscos consiste na comparação entre os resultados da análise de riscos e os

critérios de riscos.

§ 1º A definição dos parâmetros de comparação deve levar em consideração o apetite ao risco da

Organização para o objeto da Gestão de Riscos em particular e deve ser definida no Plano de

Enfrentamento de Riscos.

§ 2º O Plano Enfrentamento de Riscos deve conter, ao menos, duas classificações para os riscos, a saber:

I -

riscos aceitáveis - categoria de riscos cujo nível foi considerado passível de ser objeto das estratégias de

tratamento de aceitação, mitigação ou transferência; e

II -

riscos inaceitáveis - categoria de riscos cujo nível não encontra tratamento compatível com o nível de

decisão atual, devendo ser levado à consideração da Alta Direção para decisão de encaminhar ou não para

a instância superior.

Art. 36.

O Setor designado para a coordenação da Gestão de Riscos deve ser responsável pela definição da

estratégia de tratamento para os riscos “inaceitáveis”.

§ 1º Esse setor deve assessorar a autoridade responsável na solicitação de posicionamento do nível

imediatamente superior.

§ 2º A instância superior para o Nível ODS é o Escritório de Gestão de Riscos (EGI), definido pela DCA 16-2

Gestão de Riscos no Comando da Aeronáutica.

Art. 37.

A principal saída do Processo de Avaliação do Risco é uma lista consolidada de riscos identificados,

analisados e avaliados.

Seção IV

Resposta ao Risco

Art. 38.

Esta Etapa é composta por quatro Fases e tem como objetivo tratar o risco para reposicioná-lo no

Diagrama de Risco em uma posição mais vantajosa para a Organização, para o projeto ou para a atividade.

Parágrafo único - Consiste em desenvolver as opções e ações para realçar as oportunidades e reduzir as

ameaças. Estas ações podem envolver a remoção da fonte do risco, a alteração da probabilidade de

ocorrência, a alteração do impacto das consequências, entre outras.

Art. 39.

A primeira Fase é a homologação da lista consolidada dos riscos identificados, analisados e

avaliados, que será revisada para ratificação ou retificação da classificação anterior.

§ 1º O principal produto desta Fase é uma lista de riscos inaceitáveis, que o setor coordenador submeterá

à apreciação da Alta Direção.

§ 2º A Alta Direção poderá definir a estratégia de tratamento dos riscos inaceitáveis ou decidir encaminhar

para a instância superior.

§ 3º Uma lista de riscos aceitáveis será encaminhada para a Etapa de definição das ações de tratamento.

Art. 40.

A fase de definição das ações de tratamento começa com a definição do tipo de resposta ao risco.

I -

no DCTA, as possíveis estratégias de tratamento são:

evitar - trata-se da eliminação do risco. Na maioria das vezes, passa pela descontinuidade da atividade

que dá origem ao risco;

mitigar - o nível do risco requer ações para redução de seus parâmetros de probabilidade e/ou impacto.

Estas ações são também chamadas de medidas de controle e podem envolver também a remoção da

fonte do risco;

compartilhar ou transferir - trata-se da redução da probabilidade e/ou do impacto do risco pelo

compartilhamento de todo ou uma parte do risco para um terceiro. Inclui a terceirização de serviços, a

contratação de seguros etc. Neste caso, é importante frisar que alguns riscos não são totalmente

transferíveis, em particular os riscos de imagem/reputação; e

aceitar - o risco é aceito ou tolerado sem que nenhuma ação específica seja tomada. Diversas razões

podem levar a esta estratégia, como:

nível do risco está dentro do apetite a risco;

nenhuma resposta é considerada eficaz para reduzir a probabilidade e/ou o impacto; e

o custo para o tratamento é elevado demais, sendo mais vantajoso preparar uma alternativa para o

caso do risco se materializar. Nesta estratégia, a principal ação é o monitoramento para garantir que o

risco permaneça dentro dos parâmetros definidos.

II -

depois da definição da resposta, são definidas as ações para a respectiva consecução. Estas ações são

compiladas num documento denominado Plano de Tratamento de Riscos;

III -

o formato e a abrangência do Plano de Tratamento devem ser pré-definidos no Plano de

Enfrentamento de Riscos e deve conter ao menos:

proprietário do risco;

designados para a execução da ação;

descrição da ação;

descrição do “Como” será a execução da ação;

prazo para a execução da ação;

local onde a ação será realizada;

descrição sumária dos motivos para a realização da ação; e

estimativa de custos.

IV -

Os riscos cuja estimativa de custos de tratamento ultrapassarem os limites de atuação da equipe de

execução para os riscos devem compor a lista de riscos inaceitáveis e devem ser levados à consideração da

Alta Direção.

Art. 41.

A terceira Fase consiste na avaliação dos riscos residuais e dos riscos secundários ou derivados.

I -

nesta Fase podem ser realizadas adaptações ou aperfeiçoamentos no Plano de Tratamento; e

II -

o produto desta Fase são os Planos de Ação, que devem ser enviados para a equipe de execução das

Ações dos Planos e para a equipe de elaboração do Plano de Contingência.

Art. 42.

A quarta Fase é a elaboração do Plano de Contingência, que consiste na descrição das Ações a

serem executadas caso o evento do risco se materialize:

I -

os critérios para a definição dos riscos que exigem o Plano de Contingência, o formato do plano e a sua

abrangência devem ser definidos no Plano de Tratamento de Riscos; e

II -

o Plano de Contingência deve conter ao menos:

proprietário do risco;

gatilhos, que correspondem às condições na quais, quando configuradas, alertam a ocorrência do

Evento e disparam a execução das ações do Plano de Contingência;

designados para a execução da ação;

descrição da ação;

descrição do “Como” será a execução da ação;

prazo para a execução da ação;

local onde a ação será realizada;

descrição sumária dos motivos para a realização da ação; e

estimativa de custos.

Seção V

Identificação, Comunicação e Monitoramento

Art. 43.

Esta Etapa tem por finalidade monitorar e avaliar os registros do andamento das Ações dos Planos

de Ação no GPAer, em conformidade com a DCA 16-2. Para isso deve realizar:

I -

o acompanhamento da evolução do contexto relativo ao objeto da execução para os riscos

selecionados;

II -

a análise da coerência da avaliação inicial de riscos; e

III -

o acompanhamento da evolução das ações para o tratamento dos riscos.

Art. 44.

O acompanhamento do contexto é realizado comparando-se a situação atual do contexto,

fornecido pelo Plano de Enfrentamento de Riscos, com a situação do contexto quando da elaboração do

Plano de Tratamento de Riscos.

Art. 45.

O acompanhamento da evolução das ações para o tratamento dos riscos é realizado comparando

a execução definida no Plano de Tratamento com a execução efetivamente realizada, fornecida pelos

Registros de Ocorrências dos Planos de Ação no GPAer.

Art. 46.

Dependendo da situação, diversas ações podem ser julgadas necessárias, dentre elas:

I -

se um contexto for alterado de forma tal que possa influenciar na avaliação do risco, faz-se uma nova

avaliação de riscos devido a estas mudanças;

II -

se o risco não apresenta o comportamento esperado para sua tipologia, solicita-se uma nova avaliação

de riscos devido às inconsistências na avaliação inicial;

III -

se as ações de tratamento não estão sendo executadas de acordo com o Plano de Ação, solicita-se a

intervenção do Responsável e dos Designados para o tratamento dos riscos devido aos desvios em relação

ao planejado; e

IV -

se as ações de tratamento não estão surtindo o efeito desejado, elabora-se novas ações para o Plano

de Tratamento, visando ao ajuste do planejamento original.

Art. 47.

Além disso, todas as informações coletadas nas etapas da avaliação que forem julgadas relevantes

devem compor uma lista de lições aprendidas para a melhoria contínua do processo.

CAPÍTULO V

DISPOSIÇÕES GERAIS

Art. 48.

Em complemento a esta Instrução, as OM Subordinadas ao DCTA devem atualizar suas Normas

Padrão de Ação (NPA), contendo as orientações gerais para a Gestão de Riscos Institucionais, de projetos e

de atividades de sua responsabilidade.

Art. 49.

A critério do Dirigente Máximo da Organização, a NPA poderá conter o detalhamento dos

processos prescritos nesta Instrução, bem como as informações contidas no art. 27.

Art. 50.

Estratégias e métodos para a gestão dos riscos identificados, guias e modelos a serem seguidos

em cada passo do processo, e a correspondente documentação, devem ser definidos pelas OM

Subordinadas, obedecidas as orientações desta Instrução, em consonância com a DCA 16-2.

Art. 51.

É compulsória a elaboração da documentação de Gestão de Riscos, composta ao menos pelo

Plano de Enfrentamento de Riscos, pelo Plano de Tratamento, pelos Planos de Ação e de Contingência de

cada risco, tanto para o nível ODS quanto para o nível OM Subordinada, tendo ao menos o escopo mínimo

definido nos Incisos I e II do art. 16.

Art. 52.

A lista de projetos e atividades selecionados para o escopo da Gestão de Riscos nas OM

Subordinadas deve ser revisada anualmente.

Art. 53.

A necessidade ou não de elaboração da documentação de Gestão de Riscos em projetos novos

deve ser considerada ainda na fase inicial dos mesmos.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 54.

A Vice-Direção do DCTA, por intermédio da CGOV, é o Setor Responsável pela atualização desta

Instrução.

Art. 55.

Os casos não previstos nesta Instrução devem ser submetidos à apreciação do Diretor-Geral do

DCTA.