- AdP
- GOVERNO SOCIETÁRIO
Gestão de Risco e Controlo Interno
Gestão de Risco e Controlo Interno
Controlo Interno
O modelo de controlo interno do Grupo AdP tem por base a estrutura conceptual e melhores práticas propostas pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), internacionalmente aceites para a definição de critérios e parâmetros de avaliação do sistema de controlo interno.
Este modelo permite implementar, desenvolver e melhorar continuamente o sistema de controlo interno, possui uma abordagem flexível, económica e fiável para o desenho e avaliação do sistema de controlo interno nas organizações que pretendem atingir objetivos operacionais, de conformidade e de reporte e proporciona uma segurança razoável, embora não absoluta, para a estrutura de governação e administração de uma empresa.
A metodologia identifica as cinco componentes do controlo interno (ambiente de controlo, avaliação de risco, atividades de controlo, informação e comunicação e monitorização), necessárias para a existência de um sistema de controlo interno efetivo e eficaz, e às quais estão associados dezassete princípios fundamentais e oitenta e sete pontos de foco. A partir dos objetivos estratégicos e operacionais definidos, a Administração decide quais os pontos de foco essenciais para o cumprimento dos princípios do controlo interno e para atingir o nível de eficácia do sistema de controlo interno.
Um sistema de controlo interno formalizado possibilita mitigar riscos e aprimorar os processos de negócio, através da padronização da identificação, do desenho, da documentação e do teste aos controlos.
É no Manual de Controlo Interno, aprovado pelo Conselho de Administração, que se sistematiza o modelo de controlo interno do Grupo AdP, e nele são definidas as normas e princípios gerais do sistema de controlo interno, bem como as regras e os critérios para a sua monitorização e avaliação. Através do manual é possível evidenciar a importância do sistema de controlo interno na gestão e mitigação dos riscos, que possam condicionar o cumprimento dos objetivos das empresas do Grupo AdP, na salvaguarda dos ativos e dos recursos, na promoção de uma conduta ética, a identificação de oportunidades de melhoria e prevenção e deteção de irregularidades, nas atividades das empresas.
O sistema de controlo interno, sendo um processo desenhado pelos responsáveis pela governação e pela gestão, envolve toda a empresa, de acordo com as suas funções e o seu nível de responsabilidade, podendo perspetivar-se essa intervenção através do modelo das três linhas de defesa.
Nesse âmbito, alguns dos principais intervenientes com responsabilidades em matéria de Controlo Interno, são os seguintes:
- O Conselho de Administração define a estratégia e aprova o Modelo de Controlo Interno que assegura o cumprimento dos valores éticos e de transparência definidos na política de integridade do Grupo e emana orientações sobre os processos de negócio relevantes. É também responsável pela aprovação do Modelo de Gestão do Risco e da definição do apetite ao risco, supervisionando a gestão de riscos e o estabelecimento de atividades de controlo incorporadas nos processos de negócio.
- A Comissão Executiva define e implementa controlos de alto nível, promove a cultura organizacional e o compromisso com o controlo interno, define linhas de reporte, competências e responsabilidades de controlo interno.
- A Auditoria Externa, embora posicionada fora da organização, desempenha um papel relevante na estrutura de controlo, através de análise que efetua ao sistema contabilístico e aos procedimentos de controlo interno existentes, com vista à emissão de uma opinião sobre as demonstrações financeiras.
- Ao Conselho Fiscal compete fiscalizar e simultaneamente avaliar o funcionamento dos sistemas e dos respetivos procedimentos internos, contribuindo assim para fortalecer o ambiente de controlo interno. No âmbito da sua função, o Conselho Fiscal acompanha os planos de trabalho da Direção de Auditoria Interna.
- Os/As Diretores/as, Coordenadores/as e Responsáveis de Área são responsáveis pelos processos, riscos e controlos específicos das suas áreas. Devem assegurar o cumprimento do sistema de controlo interno da empresa, desempenhando um papel mais prático na conceção e propondo, se necessário, procedimentos de controlo complementares, recomendações sobre os controlos, e monitorizar de forma contínua os controlos e a eficácia e eficiência dos processos pelos quais são responsáveis.
- Os/As trabalhadores/as das diversas Funções Operacionais e de Suporte das empresas são responsáveis pela correta execução das tarefas associadas a cada processo e controlo que lhe estejam atribuídas.
- A Direção de Auditoria Interna e Controlo de Risco, inclui na sua estrutura áreas distintas de atuação, devidamente segmentadas, e assume no Grupo AdP, um papel importante, nas segunda e terceira linha de defesa. As funções de risco e controlo, centrais para a forma como a Administração mantém o controlo sobre as atividades do negócio, são assim acompanhadas na Direção pelas:
- área de Controlo Interno, que tem como principais funções, participar na implementação e acompanhamento do funcionamento do sistema de controlo interno, apoiar e dinamizar a função e a responsabilidade pelo controlo interno nas empresas do Grupo AdP, comungando de uma preocupação permanente na adequação, eficácia e melhoria contínua dos controlos e na otimização dos processos;
- área de Gestão do Risco, responsável por acompanhar, avaliar riscos e medidas de mitigação, mantendo o alinhamento com as políticas e estratégias aprovadas, garantir a implementação eficaz do sistema de gestão de risco, promovendo uma cultura de risco e reportando-os à Comissão Executiva e ao Conselho de Administração.
Através da área de Auditoria Interna, é avaliada, de forma independente e sistemática, o funcionamento adequado dos sistemas de controlo interno e gestão de risco do Grupo AdP, bem como a eficiência e eficácia da implementação dos controlos e ações de mitigação.
GESTÃO DO RISCO EMPRESARIAL
Para assegurar o cumprimento dos objetivos estratégicos, o Conselho de Administração da AdP SGPS definiu o Modelo de Gestão do Risco Empresarial do Grupo AdP, onde se encontram definidos objetivos, processos e responsabilidades que permitem ao Grupo estabelecer uma sólida estrutura de gestão de risco.
A existência deste Modelo possibilita uma avaliação integrada do risco na empresa e um amadurecimento da sua cultura de risco, permitindo criar uma linguagem comum na definição e conceito de cada risco, a par do alinhamento dos objetivos com os riscos e respetivos controlos em vigor na empresa, a reduzir o risco de perda dos seus investimentos e ativos, e ajudar a garantir a fiabilidade das demonstrações financeiras e a conformidade com as leis e regulamentação.
A adequabilidade do sistema de controlo interno encontra-se alinhada com o modelo de gestão do risco, sendo ajustada sempre que, através da avaliação de risco, sejam identificados riscos enquadráveis num patamar considerado não aceitável, ou detetadas insuficiências ou falhas na análise dos controlos que lhe estão subjacentes.
O processo de gestão do risco do Grupo AdP, segue as melhores práticas de gestão de risco internacionalmente aceites e foi definido com base, em particular, ao framework COSO II, sendo composto por um conjunto de sete fases inter-relacionadas, englobando em si mesmo um processo iterativo de melhoria contínua.
Estabelecer contexto: tem como objetivo a definição conceptual do modelo de gestão do risco do Grupo AdP e a definição da abordagem para a realização das avaliações de risco (risk assessment). No desenvolvimento do modelo de gestão do risco, deverão ser cobertos os seguintes pontos: identificação do âmbito organizacional da gestão do risco; identificação dos objetivos da organização; definição de um conjunto de critérios através dos quais os riscos irão ser avaliados; e definição dos interlocutores para cada avaliação do risco a realizar.
Identificar riscos: o objetivo desta fase consiste no desenvolvimento de uma lista de eventos que possam ter um impacto adverso ou favorável para a concretização dos objetivos identificados na fase anterior.
Analisar riscos: são dois os principais objetivos: identificar as causas que podem levar à ocorrência do risco e identificar os controlos que podem contribuir para mitigar o risco. As causas ou por fatores de risco, condicionam a ocorrência do risco, enquanto os controlos, permitem avaliar formas de reduzir o impacto do risco e de reduzir a probabilidade da sua ocorrência.
Avaliar riscos: a avaliação dos riscos tem como objetivo ajudar na definição de prioridades e tomada de decisões para o tratamento dos riscos identificados. Esta avaliação é realizada ao nível do Risco Inerente e do Risco Residual e expressa o risco através da combinação de dois componentes: Impacto e a Probabilidade.
Tratar riscos: esta fase tem como objetivo a elaboração de um plano de tratamento de riscos definindo as prioridades, o âmbito e o tratamento a efetuar para cada risco, os quais são aprovados pela Administração e acompanhados pela área de Gestão do Risco da Direção de Auditoria e Controlo de Risco.
Comunicação: a comunicação é essencial para que todos os intervenientes e afetados por este processo entendam e partilhem das razões da necessidade de implementar determinadas ações ou de tomar determinadas decisões. As informações de risco são comunicadas através de relatórios que incluem Heat Maps (matriz de risco), a evolução dos riscos e os Planos de Tratamento de Riscos e de Implementação de Oportunidades, e apresentados aos órgãos de gestão permitindo-lhes realizar uma efetiva supervisão do risco e tomar melhores decisões baseadas em risco.
Monitorização e revisão: a monitorização e revisão periódica do processo de Gestão do Risco é essencial para garantir que a avaliação dos riscos que foi realizada é correta e se mantém pertinente.
A organização dos riscos definida pelo Grupo AdP considerou as 4 Classes recomendadas pela framework COSO II (Estratégia, Operacional, Conformidade e Reporte) e 1 Classe adicional para os riscos de Governação. Foram ainda definidas 12 Categorias de risco, distribuídas pelas referidas Classes do seguinte modo:
Conforme referido a avaliação dos riscos é efetuada na perspetiva da probabilidade de ocorrência e do impacto, considerando os respetivos riscos inerente e residual. Deste modo, procura-se aferir a eficácia do sistema de controlo interno instituído para manter o nível de risco num patamar considerado aceitável, em conformidade com a seguinte matriz:
Alguns dos principais riscos a que o Grupo AdP se encontra exposto, são os seguintes:
- Eventos climáticos extremos
- Segurança da informação
- Cambial e commodities
- Perdas de abastecimento em baixa
- Infiltrações de saneamento em alta
PLANO DE PREVENÇÃO DE RISCOS
O Plano de Prevenção de Riscos de Corrupção e Infrações Conexas visa em grande medida, identificar as áreas que potencialmente poderão ser sujeitas à ocorrência de atos de corrupção, bem como os respetivos riscos daí decorrentes e os controlos instituídos pela empresa visando a sua mitigação. O Plano pretende também reforçar a cultura do grupo e dos respetivos colaboradores no que respeita a comportamentos éticos e boas práticas no relacionamento comercial com clientes, fornecedores e demais entidades.
O plano da AdP SGPS aprovado pelo Conselho de Administração da AdP SGPS, encontra-se disponível aqui.
Anualmente é realizada a avaliação do Plano, dela resultando um relatório sobre o seu cumprimento e as situações relativas a atos irregulares conexos com corrupção ocorridos, cuja publicitação se encontra disponível aqui.