PORTARIA N° 276, DE 06 DE ABRIL DE 2018

O EXCELENTÍSSIMO SENHOR DESEMBARGADOR RICARDO MÚCIO SANTANA DE ABREU LIMA, PRESIDENTE DO TRIBUNAL REGIONAL ELEITORAL DE SERGIPE, no uso das atribuições que lhe são conferidas pelo art. 28, inciso XXXIV, do Regimento Interno do Tribunal.

CONSIDERANDO as orientações do Tribunal de Contas da União (TCU), constantes nas decisões normativas que regulamentam a elaboração anual dos relatórios de gestão das unidades jurisdicionadas, no que se refere ao aprimoramento das estruturas de governança e de autocontrole da gestão; Acórdão TCU Plenário nº 21.860/2014; Acórdão TCU/Plenário nº 2.467/2013;

CONSIDERANDO as normas ABNT NBR ISO/73:2009, 27.005:2011, 31.000:2009 e 31.010:2012, que, respectivamente, fornece as definições de termos genéricos relativos à gestão de riscos; fornece diretrizes para o processo de gestão de riscos de segurança da informação; estabelece princípios e diretrizes genéricas para a gestão de riscos; e fornece orientações sobre a seleção e a aplicação de técnicas sistemáticas para o processo de avaliação de riscos;

CONSIDERANDO as boas práticas preconizadas pelo guia internacional COBIT5, por meio dos processos Garantir a Otimização de Riscos (EDM03) e Gerenciar Riscos (APO12);

CONSIDERANDO o contido no Referencial Básico de Governança do TCU, aplicável a Órgãos e Entidades da Administração Pública, especificamente no que tange à Gestão de Riscos como componente dos mecanismos de governança para o alcance dos objetivos institucionais;

CONSIDERANDO a Resolução CNJ nº 211/2015, art. 9, que estabelece a obrigatoriedade de todo órgão do Pode Judiciário instituir política, gestão e processo de Segurança da Informação;

RESOLVE:

Art. 1º Instituir a Política Corporativa de Gestão de Riscos de Tecnologia da Informação e Comunicação do Tribunal Regional Eleitoral de Sergipe, nos termos desta Portaria, que compreende:

I – objetivos da Política Corporativa de Gestão de Riscos;

II – princípios da Gestão de Riscos;

III – diretrizes da Gestão de Riscos;

IV – responsabilidades.

Art. 2º A Gestão de Riscos constitui processo corporativo contínuo e iterativo, que visa a dirigir e controlar eventos que possam afetar o cumprimento dos objetivos institucionais, oferecendo maior garantia para o sucesso do negócio.

CAPÍTULO I

DAS DEFINIÇÕES

Art. 3º Para fins desta Portaria, considera-se:

agente responsável: servidor público, ocupante de cargo efetivo do TRE/SE, incumbido de chefiar e gerenciar o Grupo de Resposta a Incidentes de Segurança da Informação (GRISI);

apetite a riscos: quantidade e tipo de riscos que uma organização está preparada para buscar, reter ou assumir apetite;

análise crítica: atividade realizada para determinar a adequação, a suficiência e a eficácia do assunto em questão para atingir os objetivos estabelecidos;

causa: condição que viabiliza a concretização de um evento que afeta os objetivos estabelecidos, sendo resultante da junção das fontes de risco com as vulnerabilidades;

comitê de Gestão de TI (CgesTI): equipe técnica formada pelos gestores da unidade de TIC, oficialmente designada para deliberar sobre planos táticos e operacionais de TIC, em conformidade com a norma que o define;

comitê de GovernançadeTI(CgovTI):equipemultidisciplinar, oficialmentedesignada paradeliberar sobre políticas, diretrizes e investimentos em TIC, em conformidade com a norma que o define;

consequência: resultado de um evento que afeta os objetivos estabelecidos;

contexto: conjunto de fatores internos e externos à organização que, juntamente com os critérios de riscos, definirão o ambiente de gerenciamento dos riscos;

critérios de risco: termos de referência contra os quais a significância de um risco é avaliada, envolvendo a escala de probabilidade, a escala de impacto e a relação entre eles, bem como o apetite a risco estabelecido pelo Tribunal e, por fim, sua classificação;

fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;

gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos;

identificação de riscos: processo de busca, reconhecimento e descrição de riscos;

impacto: grandeza ou dimensão das consequências ou efeitos da ocorrência de um evento;

nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das probabilidades e dos seus impactos;

parte interessada: pessoa ou organização que pode afetar, ser afetada, ou perceber–se afetada por uma decisão ou atividade;

plano de gestão de riscos: esquema dentro da estrutura de gestão de riscos, que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos;

probabilidade: chance de algo acontecer;

processo de avaliação de riscos: processo global de identificação, análise e avaliação de riscos;

processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividadesdecomunicação,consulta,estabelecimentodocontexto,enaidentificação,análise,avaliação, tratamento, monitoramento e análise crítica dos riscos;

proprietário de risco: pessoa ou entidade com responsabilidade e autoridade para gerenciar um risco;

risco: evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo nos objetivos estabelecidos;

riscos residuais: risco remanescente após o tratamento do risco;

vulnerabilidade: propriedades intrínsecas de algo resultando em suscetibilidade a uma fonte de riscos que pode levar a um evento com uma consequência.

CAPÍTULO II

DOS OBJETIVOS DA POLÍTICA CORPORATIVA DE GESTÃO DE RISCOS

Art. 4º A Política Corporativa de Gestão de Riscos de TIC tem por objetivo geral estabelecer princípios, diretrizes e responsabilidades para a gestão de riscos, incorporando a visão de riscos à tomada de decisão, em conformidade com as melhores práticas adotadas no setor público.

Art. 5º A Política Corporativa de Gestão de Riscos de TIC tem por objetivos específicos promover:

I - a identificação de eventos em potencial que afetem a consecução dos objetivos institucionais;

II – o fortalecimento das decisões em resposta aos riscos;

III – o aprimoramento dos controles internos administrativos.

CAPÍTULO III

DOS PRINCÍPIOS DA GESTÃO DE RISCOS

Art. 6º A Gestão de Riscos de TIC adotada observará os seguintes princípios:

I - criar e proteger valores institucionais;

II - ser parte integrante dos processos organizacionais;

III - ser parte da tomada de decisões;

IV - abordar explicitamente a incerteza;

V - ser sistemática, estruturada e oportuna;

VI - ser baseada nas melhores informações disponíveis;

VII - estar alinhada ao contexto da instituição;

VIII - considerar fatores humanos e culturais;

IX - ser transparente e inclusiva;

X - ser dinâmica, iterativa e capaz de reagir a mudanças;

XI - facilitar a melhoria contínua da organização.

CAPÍTULO IV

DAS DIRETRIZES DA GESTÃO DE RISCOS

Art. 7º A Gestão de Riscos de TIC deve utilizar as melhores informações disponíveis e a linguagem comum, bem como definir as responsabilidades e a adoção de boas práticas de governança.

Art. 8º São elementos estruturais da Gestão de Riscos de TIC: a Política Corporativa de Gestão de Riscos de TIC; o processo de Gestão Corporativa de Riscos de TIC; o CgovTI; o proprietário de risco; a unidade de assessoramento à governança de TIC ou equivalente; a unidade de Controle Interno e Auditoria ou equivalente; bem como o monitoramento e análise crítica, e a melhoria contínua dos elementos estruturais.

Art. 8º  São elementos estruturais da Gestão de Riscos de TIC: a Política Corporativa de Gestão de Riscos de TIC; o processo de gestão de riscos; o CgovTI; o proprietário de risco; a unidade de assessoramentoàgovernança de TIC ou equivalente; a unidade de Controle Interno e Auditoria ou equivalente; bem como o monitoramento e análise crítica, e a melhoria contínua dos elementos estruturais. (Redação dada pela Resolução TRE/SE n° 17/2018)

Parágrafo único. A Secretaria de Tecnologia da Informação utilizaráo processo de gestão de riscos institucional para avaliar os riscos inerentes a suaárea de atuação. (Incluído pela Resolução TRE/SE n° 17/2018)

CAPÍTULO V

DAS RESPONSABILIDADES PELA GESTÃO DE RISCOS

Art. 9º A Gestão Corporativa de Riscos de TIC é parte integrante dos processos organizacionais afetos à TIC e constitui responsabilidade:

I - em primeira instância, do proprietário do risco;

II - em segunda instância, do CgesTI;

III - em terceira instância, do CgovTI.

§1º - A unidade de assessoramento à governança de TIC ou equivalente deverá atuar como apoio à Gestão de Riscos de TIC.

§2º - A unidade de Controle Interno e Auditoria ou equivalente deverá atuar como orientadora e promotora do processo de Gestão Corporativa de Riscos de TIC.

Art. 10 Compete ao CgesTI:

I - aprovar, em primeira instância, esta Política Corporativa de Gestão de Riscos de TIC;

II - assegurar a alocação dos recursos necessários à gestão de riscos de TIC;

III - avaliar a adequação, a suficiência e a eficácia da Estrutura de Gestão de Riscos de TIC;

IV - revisar esta Política Corporativa de Gestão de Riscos de TIC e apresentar proposta de alteração/atualização ao CgovTI;

V - operacionalizar, no âmbito das unidades de TIC, a aplicação dos recursos disponibilizados para a gestão de riscos;

VI - dirimir eventuais dúvidas dos proprietários de risco, na execução do processo de Gestão Corporativa de Riscos de TIC;

VI - dirimir eventuais dúvidas dos proprietários de risco, na execução do processo de gestão de riscos;  (Redação dada pela Resolução TRE/SE n° 17/2018)

VII - deliberar sobre os riscos considerados médios e altos que, eventualmente, lhes forem apresentados pelos proprietários de risco;

VIII - submeter ao CgovTI, após sua apreciação e manifestação, os riscos considerados extremos e os riscos residuais considerados altos;

IX - subsidiar o CgovTI com informações técnicas, visando auxiliá-lo no processo de tomada de decisão;

X - elaborar o modelo do processo de Gestão Corporativa de Riscos de TIC, e submetê-lo à aprovação do CgovTI.  (Revogado pela Resolução TRE/SE n° 17/2018)

Art. 11 Compete ao CgovTI:

I deliberar, após apreciação do CgesTI, sobre os riscos considerados extremos e os riscos residuais considerados altos;

II – aprovar o modelo do processo de Gestão Corporativa de Riscos de TIC, elaborado pelo CgesTI. (Revogado pela Resolução TRE/SE n° 17/2018)

Art. 12 Compete ao proprietário de risco:

I - gerir os riscos sob sua responsabilidade.

II – reportar ao CgesTI os riscos que eventualmente extrapolarem sua competência e capacidade para gerenciamento;

III – encaminhar à CgesTI os Planos de Gestão de Riscos de TIC de sua responsabilidade.

CAPÍTULO VI

DAS DISPOSIÇÕES GERAIS

Art. 13 O Tribunal adotará o modelo de processo de gestão corporativa de riscos estabelecido na norma ABNT NBR ISO 31000:2009, sem prejuízo da aplicação de outras normas complementares.

Parágrafo Único. A modelagem do processo Gestão Corporativa de Riscos de TIC deverá ser elaborada pelo CgovTI, e publicada em até 180 dias, após a publicação desta Política. (Revogado pela Resolução TRE/SE n° 17/2018)

Art. 14 Esta Política deverá ser revisada, no máximo, a cada 2 (dois) anos, ou a qualquer tempo, quando necessário.

Art. 15 Os casos omissos ou excepcionais serão resolvidos pelo CgovTI, sendo anteriormente comunicado à Diretoria-Geral.

Art. 16 Esta Portaria entra em vigor na data de sua publicação.

PUBLIQUE-SE E CUMPRA-SE.

RICARDO MUCIO SANTANA DE ABERU LIMA

Presidente