Tribunal Regional Eleitoral - ES
Secretaria Judiciária
Coordenadoria de Jurisprudência e Documentação
ORDEM DE SERVIÇO Nº 1, DE 1 DE OUTUBRO DE 2018.
Dispõe sobre a Política de Gestão de Riscos de Tecnologia da Informação e Comunicação do Tribunal Regional Eleitoral.
O DIRETOR-GERAL DA SECRETARIA DO TRIBUNAL REGIONAL ELEITORAL DO ESPÍRITO SANTO, no uso de suas atribuições legais, e
CONSIDERANDO as orientações do Tribunal de Contas da União (TCU), constantes nas decisões normativas que regulamentam a elaboração anual dos relatórios de gestão das unidades jurisdicionadas, no que se refere ao aprimoramento das estruturas de governança e de autocontrole da gestão;
CONSIDERANDO as normas ABNT NBR ISO/73:2009, 27.005:2011, 31.000:2018 e 31.010:2012, que, respectivamente, fornece as definições de termos genéricos relativos à gestão de riscos; fornece diretrizes para o Processo de Gestão de Riscos de Segurança da Informação; estabelece princípios e diretrizes genéricas para a gestão de riscos; e fornece orientações sobre a seleção e a aplicação de técnicas sistemáticas para o processo de avaliação de riscos;
CONSIDERANDO as boas práticas preconizadas pelo guia internacional COBIT5, por meio dos processos Garantir a Otimização de Riscos (EDM03) e Gerenciar Riscos (APO12);
CONSIDERANDO o contido no Referencial Básico de Governança do TCU, aplicável a Órgãos e Entidades da Administração Pública, especificamente no que tange à Gestão de Riscos como componente dos mecanismos de governança para o alcance dos objetivos institucionais;
RESOLVE:
CAPÍTULO I - DAS DISPOSIÇÕES GERAIS
Art. 1º Instituir a Política de Gestão de Riscos de Tecnologia da Informação e Comunicação do Tribunal Regional Eleitoral do Espírito Santo, nos termos desta Ordem de Serviço, que compreende:
I. Objetivos;
II. Princípios;
III. Diretrizes;
IV. Estrutura da Gestão de Riscos de TIC;
V. Responsabilidades.
§1º. A Política de Gestão de Riscos de TIC integra o Sistema de Gestão de Riscos da Justiça Eleitoral do Espírito Santo.
§2º. O Sistema de Gestão de Riscos da Justiça Eleitoral do Espírito Santo consiste no conjunto e instrumentos de governança e de gestão que suportam a concepção, a implementação, o monitoramento e a melhoria contínua da gestão de riscos, por meio de toda a organização e compreende, entre outros: política, estruturas organizacionais, planos, responsabilidades, atividades, processos e recursos.
Art. 2º A Gestão de Riscos de TIC constitui processo corporativo contínuo e iterativo, que visa a dirigir e a controlar eventos que possam afetar o cumprimento dos objetivos estratégicos de TIC e, consequentemente, dos objetivos estratégicos institucionais, oferecendo maior garantia para o sucesso do negócio.
CAPÍTULO II - DAS DEFINIÇÕES
Art. 3º Para fins desta Ordem de Serviço, considera-se:
I. Comitê Executivo de Tecnologia da Informação e Comunicação (CETIC): equipe técnica formada pelos gestores da unidade de TIC, oficialmente designada para deliberar sobre planos táticos e operacionais de TIC, em conformidade com a norma que o define;
II. Comitê Gestor de Tecnologia da Informação (CGTI): equipe multidisciplinar presidida pelo Diretor-Geral, oficialmente designada para deliberar sobre políticas, diretrizes e investimentos em TIC;
III. Consequência: resultado de um evento de risco que afeta os objetivos estabelecidos;
IV. Contexto: conjunto de fatores internos e externos à organização que, juntamente com os critérios de riscos, definirão o ambiente de gerenciamento dos riscos;
V. Critérios de risco: referências em relação às quais a significância de um risco é avaliada, envolvendo a escala de probabilidade, a escala de impacto e a relação entre eles, bem como a tolerância a risco estabelecida pelo Tribunal;
VI. Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos;
VII. Gestor de riscos: pessoa com responsabilidade e autoridade para monitorar os riscos, bem como selecionar e implementar uma estratégia adequada de resposta a risco;
VIII. Identificação de riscos: processo de busca, reconhecimento e descrição de riscos, que tem por base o contexto estabelecido, apoiando-se na comunicação e consulta com as partes interessadas internas e externas;
IX. Impacto: grandeza ou dimensão das consequências ou efeitos da ocorrência de um evento de risco;
X. Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, monitoramento, análise crítica, registro e relato de riscos;
XI. Risco: evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo nos objetivos estabelecidos;
XII. Riscos residuais: riscos remanescentes depois que as respostas planejadas tiverem sido adotadas;
XIII. Riscos secundários: riscos que surgem como resultado direto da implantação de uma resposta ao risco.
CAPÍTULO III - DOS OBJETIVOS DA POLÍTICA DE GESTÃO DE RISCOS
Art. 4º A Política de Gestão de Riscos de TIC do TRE/ES tem por objetivo geral estabelecer princípios, diretrizes e responsabilidades para a gestão de riscos de TIC, com vistas a prover a Administração de razoável segurança no cumprimento de sua missão e no alcance dos seus objetivos institucionais, incorporando a visão de riscos à tomada de decisão.
Art. 5º A Política de Gestão de Riscos de TIC do TRE/ES tem como objetivos específicos promover:
I. O fortalecimento das decisões em resposta aos riscos;
II. O aprimoramento dos controles internos administrativos.
CAPÍTULO IV - DOS PRINCÍPIOS DA GESTÃO DE RISCOS DE TIC
Art. 6º A Gestão de Riscos de TIC do TRE/ES observará os seguintes princípios:
I. Criar e proteger valores institucionais;
II. Ser parte integrante dos processos organizacionais;
III. Ser parte da tomada de decisões;
IV. Abordar explicitamente a incerteza;
V. Ser sistemática, estruturada e oportuna;
VI. Ser baseada nas melhores informações disponíveis;
VII. Estar alinhada ao contexto da instituição;
VIII. Considerar fatores humanos e culturais;
IX. Ser transparente e inclusiva;
X. Ser dinâmica, iterativa e capaz de reagir a mudanças;
XI. Facilitar a melhoria contínua da organização.
CAPÍTULO V - DAS DIRETRIZES DA GESTÃO DE RISCOS DE TIC
Art. 7º A Gestão de Riscos de TIC observará as seguintes diretrizes:
I. Comunicação clara e objetiva, em linguagem comum;
II. Observação das melhores práticas de governança e de gestão de riscos no setor público;
III. Razoabilidade da relação custo-benefício nas ações existentes no Plano de Tratamento de Riscos;
IV. Controle proporcional ao risco;
V. Alinhamento e integração com o Sistema de Gestão de Riscos da Justiça Eleitoral do Espírito Santo.
CAPÍTULO VI - DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS DE TIC
Art. 8º São instâncias responsáveis pela Gestão de Riscos do TRE/ES:
I. A Diretoria-Geral;
II. O Comitê Gestor de Tecnologia da Informação (CGTI);
III. O Comitê Executivo de Tecnologia da Informação e Comunicação (CETIC);
IV. O Gestor de Riscos;
V. A Seção de Planejamento Operacional da Secretaria de Tecnologia da Informação.
Art. 9ª Compete à Diretoria-Geral:
I. Assegurar a alocação dos recursos necessários à gestão de riscos de TIC;
II. Instituir normas relativas à Gestão de Riscos de TIC e suas alterações, com fundamento em pareceres técnicos submetidos à sua apreciação, ouvido o CGTI.
Art. 10 Compete ao CGTI:
I. Aprovar a Política de Gestão de Riscos de TIC;
II. Aprovar o modelo do Processo de Gestão de Riscos de TIC;
III. Analisar e aprovar as propostas de revisão e atualização das normas relativas à Gestão de Riscos de TIC do TRE/ES;
IV. Deliberar, após apreciação do CETIC, sobre eventuais riscos que lhe forem submetidos por aquele Comitê Executivo.
Art. 11 Compete ao CETIC:
I. Apresentar ao CGTI proposta de revisão e atualização a Política de Gestão de Riscos de TIC;
II. Deliberar sobre eventuais riscos que lhe forem apresentados pelos gestores de riscos;
III. Submeter ao CGTI, após sua apreciação e manifestação, eventuais riscos de TIC que julgue extrapolarem sua competência;
IV. Subsidiar o CGTI com informações técnicas, visando a auxiliá-lo no processo de tomada de decisão;
V. Submeter o modelo do Processo de Gestão de Riscos de TIC à aprovação do CGTI.
Art. 12 Compete ao gestor de riscos:
I. Identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos dos processos de trabalho, dos projetos, sob sua responsabilidade, de acordo com o Processo de Gestão de Riscos de TIC instituído.
II. Submeter à chefia imediata, eventualmente, os riscos de TIC que julgue extrapolarem sua competência.
§1º. Na hipótese do inciso II deste artigo, caso o processo ou o projeto envolva apenas servidores lotados na Seção do gestor de riscos, este deverá submeter o risco à chefia imediata, ou seja, ao Chefe da Seção ou ao Coordenador, se o gestor for o próprio Chefe da Seção.
§2º. Caso o processo ou o projeto envolva servidores lotados em mais de uma Seção, mas da mesma Coordenadoria, o gestor de riscos deverá submeter o risco ao Coordenador de sua unidade.
§3º. Caso o processo ou o projeto envolva servidores lotados em mais de uma Coordenadoria da STI, o gestor deverá submeter o risco ao Secretário de Tecnologia da Informação.
§4º. Considera-se gestor de riscos de TIC, em seus respectivos âmbitos e escopos de atuação, os donos de processo e os gerentes de projeto.
Art. 13 Compete à unidade de assessoramento à governança de TIC ou equivalente:
I. Dar suporte metodológico à implementação e à operacionalização do Processo de Gestão de Riscos de TIC no âmbito da STI;
II. Propor ao CETIC melhorias à Política de Gestão de Riscos de TIC e ao processo correspondente.
CAPÍTULO VII - DAS DISPOSIÇÕES GERAIS
Art. 14 A aplicação desta Política de Gestão de Riscos de TIC dar-se-á por meio da adoção do Processo de Gestão de Riscos de TIC estabelecido no Anexo a esta Ordem de Serviço.
Art. 15 Esta Política deverá ser revisada nos anos não eleitorais, ou a qualquer tempo, quando necessário.
Art. 16 Os casos omissos ou excepcionais serão resolvidos pelo CGTI.
Art. 17 Esta Ordem de Serviço entra em vigor na data de sua publicação.
ALVIMAR DIAS NASCIMENTO
DIRETOR GERAL
O Anexo desta Ordem de Serviço encontra-se disponível na intranet (http://intranet.trees.jus.br/intranet/pages/paginas.aspx?Cod_Pag=1524) e na internet (http://www.trees.jus.br/o-tre/planejamento-e-gestao/planejamento-de-tecnologia-da-informacao-ecomunicacao).
Este texto não substitui o publicado no DJE-TRE/ES nº 202, de 4.10.2018, p. 7-10.