1. A Empresa
  2. Governo da Sociedade
  3. Controlo de Risco

Controlo de Risco

A SIMARSUL e, em particular, o seu Conselho de Administração, dedicam especial atenção às temáticas do controlo interno, da gestão dos riscos, da fraude, da transparência da informação e da fiabilidade do relato financeiro.

Tratando-se de preocupações transversais ao Grupo AdP, no qual a SIMARSUL se inclui, e por forma a possibilitar a existência de uma sistematização e adequada visibilidade do controlo interno existente nas Empresas, em 2022 foi dada continuidade ao desenvolvimento do projeto de implementação do Sistema de Controlo Interno (SCI) do Grupo AdP, iniciado em 2019 e assente na metodologia internacionalmente aceite do COSO - Committee of Sponsoring Organizations of the Treadway Commission.

Este modelo permite uma correlação direta entre os objetivos que a organização tenta atingir ao nível das categorias (Operação, Reporte e Conformidade), e as cinco componentes (Ambiente de Controlo, Gestão de Risco, Atividades de Controlo, Informação e Comunicação e Monitorização de Atividades), que representam o que é necessário para concretizar os objetivos, na estrutura existente na Empresa, conforme  a imagem seguinte:

 

  • Ambiente de Controlo

Deve refletir a importância CI e estabelecer a disciplina e estrutura dos restantes elementos SCI. É o conjunto de regras, processos e estruturas que fornecem a base para a realização do CI na organização.

Define o espírito da organização, influenciando a consciência que os outros trabalhadores têm para o risco.

É a base de todas as restantes componentes do SCI.

 

  • Avaliação dos Riscos

Destinado a identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar a estratégia e os objetivos definidos pela instituição, assegurar o seu cumprimento e que são tomadas as ações necessárias para responder adequadamente a desvios não desejados.

O risco é definido como a possibilidade de um evento ocorrer e afetar (positiva ou negativamente) a realização dos objetivos definidos pela organização.

Envolve um processo dinâmico e interativo para identificar e analisar os riscos que afetam a realização dos objetivos da organização, servindo de base ao entendimento de como os mesmos deverão ser geridos.

Devem ser definidos objetivos aos diferentes níveis da organização, de forma consistente e por categorias, para as operações, reporte e conformidade, com clareza suficiente para que seja possível identificar e analisar os riscos desses objetivos.

 

  • Atividades de Controlo

Correspondem às atividades desenhadas para impedir ou reduzir o impacto adverso dos riscos. Atividades recorrentes de controlo do processo.

Atividades de controlo são ações estabelecidas por políticas e procedimentos que ajudam a assegurar que as diretivas da Administração para mitigar os riscos na concretização dos objetivos são realizadas.

As atividades de controlo são realizadas a todos os níveis da organização e em várias etapas dos processos de negócio e sobre o ambiente tecnológico. Podem ser de natureza preventiva ou detetiva e podem abranger uma série de atividades manuais e automáticas, como autorizações e aprovações, verificações, reconciliações e análises de desempenho do negócio.

A segregação de funções é tipicamente incorporada na seleção e desenvolvimento de atividades de controlo. Quando a segregação de funções não é possível, a gestão deve desenvolver e implementar atividades de controlo alternativas.

 

  • Informação e Comunicação

Componente instituído para garantir a captação, tratamento e troca de dados relevantes, abrangentes e consistentes, num prazo e de uma forma que permitam o desempenho eficaz e tempestivo da gestão e controlo da atividade e dos riscos da empresa.

A informação é necessária para a organização exercer as suas responsabilidades de CI em apoio à realização dos seus objetivos. A gestão obtém ou gera e usa informação relevante e de qualidade de fontes internas e externas, para apoiar o funcionamento do CI.

A comunicação é o processo contínuo que permite à equipa compreender as responsabilidades do CI e a sua importância para o atingimento dos objetivos. Pode ocorrer tanto interna como externamente e fornece à organização as informações necessárias para a execução dos controlos diariamente. A comunicação interna é o meio pelo qual a informação é disseminada em toda a empresa, fluindo em todos os sentidos e em toda a organização. Esta permite que todos os trabalhadores recebam uma mensagem clara da gestão de que as responsabilidades de controlo devem ser levadas a sério. A comunicação externa tem uma dupla finalidade: permite a entrada de informações externas relevantes e fornece informações a terceiros em resposta a requisitos e expetativas.

 

  • Monitorização de Atividades

É executado com vista a assegurar a adequação e a eficácia do próprio SCI ao longo do tempo, que garanta, nomeadamente, a identificação tempestiva de eventuais deficiências ou de oportunidades de melhorias.

Avaliações contínuas, pontuais/independentes ou uma combinação de ambas são usadas para determinar se cada uma das cinco componentes do CI, incluindo os controlos que efetivam os princípios dentro de cada componente, está presente e a funcionar.

As avaliações contínuas, incorporadas nos processos de negócio, nos diferentes níveis da organização, fornecem informações oportunas.

As avaliações pontuais/independentes, realizadas periodicamente, irão variar em âmbito e frequência, dependendo da avaliação do risco, da eficácia das avaliações contínuas e de outras considerações de gestão.

Os resultados são avaliados de acordo com os critérios estabelecidos pelos reguladores, órgãos normativos reconhecidos ou pela Administração e pelo Conselho de Administração e as deficiências são comunicadas, em tempo útil, à gestão e à Administração, conforme apropriado, sendo que as mais relevantes são comunicadas também ao Conselho de Administração.

 

Em 2023 foi dada continuidade à Fase 2 do Projeto de Implementação do SCI, com o mapeamento, de parte dos restantes processos identificados como críticos e que compreendeu, entre outras atividades, a elaboração de i) fluxogramas, os quais possibilitam uma rápida compreensão das atividades desenvolvidas, e ii) Matrizes de Riscos e Controlo (MRC) onde se identificam os eventos de risco e os controlos existentes ou a implementar na sua mitigação

A conclusão deste mapeamento ocorrerá em 2024, sendo esse o momento em que será também efetuada a atualização do Manual de Controlo Interno com a inclusão dos documentos que se encontram a ser elaborados.

No âmbito da atividade de controlo interno, será dada continuidade à revisão conjunta com a AdP SGPS, das MRC dos processos já mapeados, de modo a identificar eventuais incoerências ou situações não identificadas, consolidar a informação sistematizada, melhorar os conteúdos e assegurar a sua aderência com a realidade dos processos mapeados.

Será efetuada a verificação do cumprimento das métricas de avaliação do sistema de controlo interno que permitirá, aferir sobre o cumprimento das mesmas, nas várias componentes do Controlo Interno.

Uma vez concluída a implementação do SCI, a avaliação das métricas estabelecidas, conjugada com os resultados dos testes aos controlos chave, decorrentes das auditorias a realizar anualmente, possibilitarão a recolha de informação que permitirá identificar se as componentes do controlo interno se encontram a operar de forma integrada, para proporcionar um nível de segurança razoável à Administração da SIMARSUL sobre o desempenho do SCI.

Será promovida a sensibilização e formação sobre o controlo interno, prevista nas métricas do SCI, visando assegurar uma monitorização permanente dos controlos implementados, designadamente dos responsáveis dos processos de negócio.

A existência de um SCI conjugado com um Modelo de Gestão de Risco funcional, permitirão ao Conselho de Administração da SIMARSUL, um maior enfoque da sua monitorização e análise nos riscos críticos identificados, inerentes à sua atividade e que resultam da operação diária desenvolvida.

Com efeito, a implementação de um Modelo de Gestão do Risco Empresarial possibilita uma avaliação integrada do risco na empresa e um amadurecimento da sua cultura de risco, permitindo criar uma linguagem comum na definição e conceito de cada risco, a par do alinhamento dos objetivos com os riscos e respetivos controlos em vigor na empresa, a reduzir o risco de perda dos seus investimentos e ativos, e ajudar a garantir a fiabilidade das demonstrações financeiras e a conformidade com as leis e regulamentação.

A adequabilidade do SCI encontra-se alinhada com o modelo de gestão do risco, sendo ajustada sempre que, através da avaliação de risco, sejam identificados riscos enquadráveis num patamar considerado não aceitável, ou detetadas insuficiências ou falhas na análise dos controlos que lhe está subjacente.

O Modelo de Gestão do Risco Empresarial presentemente implementado no Grupo AdP, atendendo à necessidade de evolução identificada, encontra-se em processo de alteração, em todas as suas vertentes, desde a matriz de riscos em vigor no Grupo, a qual foi revista no decurso de 2023, passando pela metodologia implementada e a definição do modelo de governo da gestão de risco que se pretende implementar. Encontrando-se alinhado com a metodologia COSO, apresenta os riscos organizados segundo uma estrutura de classes e categorias definidas, as quais, de acordo com a nova matriz de risco, são as observam abaixo:

 

 

A avaliação dos riscos é efetuada na perspetiva da probabilidade de ocorrência e do impacto, considerando os respetivos riscos inerente e residual. Deste modo, procura-se aferir a eficácia do SCI instituído para manter o nível de risco num patamar considerado aceitável, em conformidade com a seguinte matriz:

 

A avaliação dos riscos na perspetiva do impacto contempla as seguintes dimensões de análise:

  • Financeira;
  • Reputacional;
  • Legal ou regulamentar; e
  • Nível de alinhamento com os objetivos de negócio.

A perspetiva da probabilidade de ocorrência do risco é avaliada considerando igualmente um conjunto alargado de fatores, nomeadamente:

  • Existência e eficácia de controlos;
  • Ocorrência anterior do risco;
  • Complexidade do risco; e
  • Capacidade instalada para gerir o risco (pessoas, processos, sistemas).

A área de Gestão do Risco da Direção de Auditoria Interna e Controlo de Risco (AICR) da AdP SGPS tem por missão, acompanhar a empresa na identificação dos riscos inerentes ao negócio, na caracterização dos elementos-chave de controlo necessários para minimizar ou eliminar o seu impacto e na realização de testes de conformidade, para avaliar o nível de risco a que a empresa está sujeita. É a área de auditoria interna da AICR procede à verificação e validação da implementação e funcionamento dos controlos de modo a aferir a eficácia dos mesmos e a identificação das insuficiências existentes.

Reportando diretamente ao Conselho de Administração da AdP SGPS, a AICR e respetivas áreas de intervenção têm reforçada a sua independência perante as Administrações das empresas auditadas, estando dotada de um adequado grau de autonomia na realização dos trabalhos, otimizando os recursos disponíveis e evitando a duplicação de estruturas.

No âmbito do processo de Gestão do Risco Empresarial, os riscos são tratados e monitorizados pela SIMARSUL, sendo periodicamente apreciados pela AdP SGPS, na qualidade de acionista maioritário. Em alguns riscos, a sua abordagem, além de ser assegurada pela SIMARSUL e respetivos órgãos de gestão é complementada por estruturas centralizadas de acompanhamento e controlo da atividade do acionista maioritário, as quais têm como responsabilidade identificar e gerir os principais riscos.

Sempre que a avaliação de um risco se enquadre num patamar tolerável ou não aceitável, são elaborados, aprovados e adotados Planos de Tratamento do Risco (PTR) como medida de mitigação, nos quais se identificam as ações corretivas a desenvolver, a estratégia de tratamento que estas consubstanciam (evitar, aceitar, reduzir ou partilhar o risco), a periodicidade de tratamento associada e os responsáveis por cada uma das referidas ações.

De igual modo, do exercício de avaliação de risco, resulta a identificação de potenciais oportunidade para a empresa, materializadas nos Planos de Implementação de Oportunidades (PIO) que, à imagem dos PTR, apresentam ações a desenvolver, prazos de implementação e responsáveis pelas referidas ações.

Considerando a maturidade operacional atingida pelas empresas, a antiguidade do Modelo de Gestão do Risco implementado no Grupo AdP e a melhoria contínua necessária, por forma a responder às crescentes exigências nas matérias relacionadas com o risco, foi dada continuidade em 2023 ao projeto de revisão do referido modelo, o qual compreendeu a revisão e atualização da matriz de riscos existente no Grupo AdP, com base no levantamento, análise e sistematização dos riscos, realizado junto de 8 empresas do Grupo AdP.

Será dada continuidade ao projeto já iniciado através das seguintes fases/atividades:

  • A revisão e/ou atualização da metodologia de avaliação do risco existente no Grupo AdP
  • A revisão do Manual de Gestão do Risco Empresarial
  • A integração do Modelo de Gestão do Risco Empresarial com o Modelo de Controlo Interno
  • A identificação em empresa piloto, dos indicadores de risco e Key Risk Indicators a utilizar na avaliação futura dos riscos, de modo a tornar a avaliação contínua e mais objetiva
  • A transposição do trabalho realizado na empresa piloto para as restantes empresas do Grupo AdP.

Após ter sido realizado em 2022 o acompanhamento dos PTR e dos PIO formalmente definidos pela empresa, no âmbito do exercício de avaliação de risco relativo a 2021, foi efetuada a avaliação do risco em 2023, assente na nova matriz de risco, a qual possibilitou também concluir sobre a sua aderência à realidade das empresas do Grupo.

Apresentam-se abaixo alguns dos principais riscos a que a SIMARSUL se encontra exposta, de acordo com a avaliação do risco efetuada relativamente a 2023:

  • Atração e retenção de talento;
  • Risco de inexistência ou falhas nas competências e qualificações necessárias à prossecução da estratégia definida devido à incapacidade de atração, contratação, desenvolvimento e retenção de talento;
  • Financiamento e Taxa de Juro;
  • Água para Reutilização - Risco de incumprimento dos parâmetros exigíveis de águas para reutilização;
  • Supply Chain - Risco de disrupção da cadeia de distribuição devido à indisponibilidade, atrasos na entrega, ou custo inacessível de matéria-prima, equipamentos críticos e/ou prestadores de serviço;
  • Segurança de Informação.