Institui a Política de Gestão de Riscos do Tribunal de Contas do Estado de São Paulo
03
RESOLUÇÃO Nº 03/2026
Institui a Política de Gestão de
Riscos do Tribunal de Contas do
Estado de São Paulo
O TRIBUNAL DE CONTAS DO ESTADO DE SÃO PAULO, no uso de suas atribuições legais e regimentais,
CONSIDERANDO a necessidade de definir as diretrizes para o gerenciamento de risco dos processos de gestão;
CONSIDERANDO a edição do guia "Diretrizes para as Normas de Controle Interno do Setor Público" (INTOSAI, 2007), que estabelece que os Tribunais instituam um sistema próprio de controle interno, dotado de amplos poderes, para ajudá-los a administrar eficazmente suas atividades e a manter a qualidade do seu trabalho;
CONSIDERANDO a Resolução ATRICON nº 05/2014, que estabelece diretrizes para implantação de sistemas de controle interno;
CONSIDERANDO o Modelo das 3 Linhas do Instituto dos Auditores Internos (The Institute of Intemal Auditors - IIA), incorporado nacionalmente pela Lei nº 14.133/21;
CONSIDERANDO a Resolução Conjunta Atricon/IRB nº 001/2022, que dispõe sobre normas gerais para a instituição de sistemas de integridade no âmbito dos Tribunais de Contas; e
CONSIDERANDO, por fim, os procedimentos de controle interno e as diretrizes de gerenciamento de risco do processo de gestão do Sistema de Controle Interno do Tribunal de Contas do Estado de São Paulo,
RESOLVE:
Artigo 1º - Fica instituída a Política de Gestão de Riscos do Tribunal de Contas do Estado de São Paulo (TCESP), estabelecendo conceitos, objetivos, diretrizes, responsabilidades e o processo de gestão de riscos, com vistas à incorporação de boas práticas de governança e controles internos adotadas no âmbito do setor público.
Artigo 2º - O processo de gestão de riscos deverá ser implementado em todas as áreas do TCESP, sendo priorizados os processos que impactam diretamente no cumprimento da missão e no alcance dos objetivos institucionais.
Artigo 3º - Para os fins desta Resolução considera-se:
I - Accountability: dever do agente público de prestar contas de seus atos, decisões e uso dos recursos públicos, de forma transparente e responsável;
II - Apetite a risco: é o nível de risco que a Alta Administração está disposta a aceitar, sem comprometer a integridade, a confiabilidade, a legalidade e a eficácia das ações institucionais;
III - Sistema de Controle Interno: conjunto de unidades técnicas articuladas, orientadas para o desempenho das atribuições de controle interno, coordenando métodos e práticas operacionais de gestão, empregadas em todas as unidades, de forma a enfrentar os riscos da organização e fornecer razoável segurança de que os objetivos e metas da instituição serão atingidos;
IV - Controle Interno: processo de orientação e acompanhamento da gestão do órgão, para subsidiar a tomada de decisão a partir da geração de informações, de maneira a garantir a melhoria contínua da qualidade do gasto público;
V - Gestão de riscos: processo de natureza permanente, estabelecido, direcionado e monitorado pela Alta Administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização do TCESP, destinado a fornecer segurança razoável quanto à realização de suas atividades;
VI - Governança: conjunto de estruturas organizacionais, processos e mecanismos que asseguram que os riscos institucionais sejam identificados, avaliados, tratados, monitorados e comunicados de forma adequada, contribuindo para o alcance dos objetivos estratégicos e a prestação de serviços públicos com eficiência, eficácia, ética e transparência;
VII - Matriz de Riscos: classificação qualitativa dos eventos danosos, a partir de critérios previamente estabelecidos de probabilidade e impacto, devendo ser elaborada por cada unidade técnico-administrativa da Casa e submetida à alta administração, a quem caberá priorizar os eventos sujeitos a avaliação e controle;
VIII - Partes Interessadas: indivíduos ou grupos da organização que podem afetar ou ser afetados pelas atividades e decisões da instituição;
IX - Riscos: a possibilidade de ocorrência de um evento que venha a ter repercussão no cumprimento dos objetivos da organização, sendo medido em termos de impacto e probabilidade de ocorrência.
Artigo 4º - A Política de Gestão de Riscos tem por objetivos:
I - apoiar o cumprimento da missão institucional, assegurando que os riscos relevantes sejam tratados de forma tempestiva e eficaz;
II - integrar a gestão de riscos aos processos de governança, planejamento e tomada de decisão, promovendo maior alinhamento entre riscos, estratégias e resultados;
III - fortalecer os controles internos e a integridade institucional, contribuindo para a prevenção de riscos;
IV - proteger os recursos públicos e a reputação institucional, por meio da gestão sistemática de eventos que possam gerar impactos negativos associada ao uso eficaz dos recursos organizacionais;
V - melhorar a eficiência e a eficácia dos processos organizacionais, com foco na prevenção de perdas e no aumento da confiabilidade das operações;
VI - promover a cultura organizacional voltada à gestão de riscos, incentivando a participação e a conscientização dos servidores quanto à importância da atuação preventiva;
VII - atender aos dispositivos legais e normativos vigentes, em conformidade com os princípios da administração pública;
VIII - apoiar a melhoria contínua da gestão pública, com base no aprendizado organizacional, na avaliação de riscos e na retroalimentação das decisões estratégicas;
IX - elaborar e promover uma metodologia uniformizada para a identificação, análise, valoração e tratamento dos riscos.
Artigo 5º - São diretrizes da Política de Gestão de Riscos:
I - foco na prevenção: os riscos devem ser identificados e tratados de forma preventiva, visando mitigar impactos antes que ocorram;
II - proporcionalidade: as ações de gestão de riscos devem ser compatíveis com a relevância, complexidade e criticidade das atividades e processos avaliados;
III - clareza e responsabilidade: as atribuições relativas à gestão de riscos devem ser claramente definidas e comunicadas a todos os níveis da Instituição;
IV - transparência e comunicação: os riscos e suas estratégias de tratamento devem ser devidamente documentados, registrados e comunicados às partes interessadas pertinentes;
V - Melhoria contínua: a política e os processos de gestão de riscos devem ser revisados periodicamente, considerando mudanças no ambiente institucional, legal ou tecnológico;
VI - economicidade: o dispêndio inerente à atividade de gestão de riscos e controles internos deve ser inferior ao risco potencial ou à perda provável, de modo que a relação custo-benefício justifique a adoção das medidas de controle sobre os riscos;
VII - inclusão e participação das partes interessadas: a comunicação entre os responsáveis pela gestão de riscos e as partes interessadas, deve ser permanente e sistematizada, com vistas à troca de informações relevantes para a compreensão do cenário inicial, adoção de tratativas, elaboração do processo decisório e a adequada mitigação de riscos.
Artigo 6º - As responsabilidades quanto à gestão de riscos do TCESP organizarse-ão da seguinte forma:
I - Primeira Linha: contempla os controles primários - identificação, mensuração, avaliação e mitigação dos riscos exercidos pelos próprios agentes dos setores internos do TCESP responsáveis pela execução dos programas e atividades e pela manutenção das medidas eficazes de controle interno;
II - Segunda Linha: contempla os controles situados em nível de gestão, de assistência e supervisão de gerenciamento de riscos, de conformidade e de asseguração para que as atividades realizadas pela Primeira Linha sejam desenvolvidas e executadas de forma apropriada;
III - Terceira Linha: composta pelo órgão central de controle interno (Controladoria), responsável pela função de auditoria interna;
IV - Comitê de Governança, Riscos e Controle (CGRC): formado por ocupantes de cargos estratégicos da estrutura organizacional, responsável por apoiar a Alta Administração no fortalecimento da governança corporativa, da gestão de riscos e do sistema de controles internos;
V - Alta Administração: Tribunal Pleno e Presidência, responsáveis pelas funções de direcionamento, avaliação e monitoramento.
Artigo 7º - À Primeira Linha, de que trata o inciso I do artigo 6º desta Resolução, compete:
I - identificar, avaliar e tratar os riscos dentro das operações diárias;
II - monitorar os riscos e tomar de medidas corretivas quando necessário.
Artigo 8º - Cabe à Segunda Linha de que trata o inciso Il do artigo 6º desta Resolução:
I - fornecer suporte e diretrizes para a gestão de riscos;
II - monitorar o cumprimento de políticas, regulamentos e normativas;
III - auxiliar na definição do apetite a risco e na implementação de metodologias de gestão de riscos.
Artigo 9º - À Terceira Linha de que trata o inciso III do artigo 6º desta Resolução, compete:
I - avaliar a adequação e eficácia dos processos de governança, de controles internos e de gerenciamento de riscos do TCESP, visando proteger e agregar valor;
II - Exercer a execução direta das atividades de controle com maior materialidade, criticidade e relevância, bem como a orientação normativa e a supervisão técnica dos demais níveis de controle.
Artigo 10 - O Comitê de Governança, Riscos e Controles, de que trata o inciso IV do artigo 6º desta Resolução, será composto pelos seguintes membros titulares, designados por Ato da Presidência:
I - 01 (um) representante do Gabinete da Presidência, a quem compete coordenar os trabalhos;
II - 01 (um) representante da Secretaria-Diretoria Geral (SDG);
III - 01 (um) representante do Departamento Geral de Administração (DGA);
IV - 01 (um) representante do Departamento de Tecnologia da Informação (DTI);
V - 01 (um) representante da Diretoria de Coordenação Estratégica (DCE);
VI - 01 (um) representante da Controladoria;
VII - 01 (um) representante da Ouvidoria.
Artigo 11 - Compete ao Comitê de Governança, Riscos e Controle:
I - apoiar a Alta Administração no fortalecimento da governança, da gestão de riscos e do sistema de controles internos;
II - propor diretrizes e estratégias de fortalecimento da governança institucional;
III - acompanhar a eficácia dos controles internos e sugerir melhorias;
IV - supervisionar e apoiar a implementação do sistema de gestão de riscos;
V - apoiar o monitoramento de riscos estratégicos e operacionais relevantes;
VI - supervisionar e revisar a matriz de riscos institucionais;
VII - definir os limites de apetite a risco no nível institucional;
VIII - aprovar as revisões da política, da metodologia e do manual de gestão de riscos;
IX - aprovar os planos de ação e as respectivas medidas de controle a serem implementadas;
X - encaminhar relatório anual de atividades à Presidência e ao Tribunal Pleno.
Artigo 12 - À Alta Administração, compete:
I - validar o nível de apetite a risco;
II - estabelecer as prioridades estratégicas, a promoção da cultura de integridade, ética e gestão de riscos;
III - garantir que a instituição tenha recursos e estrutura adequados para uma gestão de riscos eficaz;
IV – analisar e aprovar as propostas encaminhadas pelo Comitê de Governança, Riscos e Controle.
Artigo 13 - O procedimento de gestão de riscos compreende as seguintes etapas:
I - Estabelecimento do Contexto: processo de compreensão do ambiente interno e externo da organização, das partes interessadas, e da natureza dos processos, atividades ou projetos onde os riscos serão avaliados;
II - Identificação dos Riscos: reconhecimento sistemático de eventos ou situações que possam impactar negativamente ou positivamente o alcance dos objetivos organizacionais, identificando suas causas e consequências;
III - Análise e classificação: análise da probabilidade de ocorrência e do impacto dos riscos identificados, classificando-os conforme sua criticidade, considerando fatores como vulnerabilidades, exposição e capacidade de resposta da instituição;
IV - Avaliação e definição do apetite ao risco: estabelecimento do nível de risco que o TCESP está disposto a aceitar na busca por seus objetivos institucionais, considerando seus valores, missão, recursos disponíveis e obrigações legais e sociais;
V - Tratamento do risco: busca de respostas adequadas às ameaças identificadas, minimizando seus efeitos negativos e aproveitando possíveis oportunidades;
VI - Comunicação e Consulta: troca contínua e estruturada de informações entre os responsáveis pela gestão de riscos e as partes interessadas, internas e externas à instituição com o objetivo de garantir que as decisões relacionadas ao risco sejam bem fundamentadas, compreendidas e aceitas;
VII - Monitoramento e Revisão: acompanhamento contínuo dos riscos, dos controles adotados e das estratégias de tratamento, garantindo que permaneçam eficazes e alinhados aos objetivos da instituição ao longo do tempo;
VIII - Registro e documentação: garantir que todas as etapas do processo de gestão de riscos sejam devidamente documentadas, assegurando rastreabilidade e transparência.
Parágrafo único. A Metodologia de Gestão de Riscos será detalhada em manual próprio.
Artigo 14 - A Política de Gestão de Riscos deve ser objeto de revisão periódica, com vistas à sua melhoria contínua.
Artigo 15 - Esta Resolução entra em vigor na data de sua publicação.
São Paulo, 11 de fevereiro de 2026.
CRISTIANA DE CASTRO MORAES – Presidente
RENATO MARTINS COSTA
DIMAS RAMALHO
MARCO AURÉLIO BERTAIOLLI
MAXWELL BORGES DE MOURA VIEIRA
WAGNER DE CAMPOS ROSÁRIO
CARLOS CÉZAR
| Anexo | Tamanho |
|---|---|
| RESOLUÇÃO 03-2026- GESTAO DE RISCOS.pdf | 215.57 KB |
| Publicação DO - Resolução GP 3-2026.pdf | 565.69 KB |