Controlo de Risco

A SIMARSUL dedica grande atenção aos riscos inerentes à sua atividade, alcançada através da monitorização periódica dos principais riscos que resultam da operação diária e da melhoria no sistema de controlo interno existente.

A existência de um modelo de gestão do risco empresarial possibilita uma avaliação integrada do risco na empresa e um amadurecimento da sua cultura de risco, permitindo criar uma linguagem comum na definição e conceito de cada risco, a par do alinhamento dos objetivos com os riscos e respetivos controlos em vigor na empresa, a reduzir o risco de perda dos seus investimentos e ativos, e ajudar a garantir a fiabilidade das demonstrações financeiras e a conformidade com as leis e regulamentação.

De modo a assegurar a eficácia e eficiência dos processos que garantem o atingimento dos objetivos, a existência de um sistema de controlo interno, visa garantir um nível de confiança razoável nos mecanismos de controlo implementados. Estes compreendem um conjunto de ações que, em conjunto ou individualmente, garantem que os processos desenvolvidos asseguram o cumprimento das metas definidas e a realização da sua missão.

A adequabilidade do sistema de controlo interno encontra-se alinhada com o modelo de gestão do risco existente, sendo ajustada sempre que, através da avaliação de risco, sejam identificados riscos enquadráveis num patamar considerado não aceitável, ou detetadas insuficiências ou falhas na análise dos controlos que lhe está subjacente.

No modelo de gestão do risco empresarial implementado nas empresas do Grupo AdP - Águas de Portugal, os riscos encontram-se organizados segundo uma estrutura de classes e categorias definidas de acordo com a metodologia COSO (Committee of Sponsoring Organizations of the Treadway Commission), a qual se apresenta em baixo:

 

 

A avaliação dos riscos é efetuada na perspetiva da probabilidade de ocorrência e do impacto, considerando os respetivos riscos inerente e residual.

A avaliação dos riscos na perspetiva do impacto contempla as seguintes dimensões de análise:

  • Financeira;
  • Reputação;
  • Legal ou regulamentar; e
  • Nível de alinhamento com os objetivos de negócio.

A perspetiva da probabilidade de ocorrência do risco é avaliada considerando igualmente um conjunto alargado de fatores, nomeadamente:

  • Existência e eficácia de controlos;
  • Ocorrência anterior do risco;
  • Complexidade do risco; e
  • Capacidade instalada para gerir o risco (pessoas, processos, sistemas).

A Auditoria Interna e Controlo de Risco é a Direção da AdP SGPS que tem por missão a identificação dos riscos inerentes aos negócios do Grupo AdP, a caracterização dos elementos-chave de controlo necessários para minimizar ou eliminar o seu impacto, a realização de testes de conformidade para avaliar os resultados e de auditorias internas às empresas participadas em posição maioritária.

Reportando diretamente ao Conselho de Administração da AdP SGPS, tem reforçada a sua independência perante as administrações das empresas auditadas e está dotada de um adequado grau de autonomia na realização dos trabalhos, otimizando os recursos disponíveis e evitando a duplicação de estruturas.

No âmbito do processo de gestão do risco empresarial, os riscos relacionados com as classes governação, estratégia e planeamento, conformidade e reporte são tratados e monitorizados pela SIMARSUL, sendo periodicamente apreciados pela AdP SGPS, na qualidade de acionista maioritário. A abordagem dos riscos da classe operacional e infraestrutura, além de ser assegurada pela SIMARSUL e respetivos órgãos de gestão é complementada por estruturas centralizadas de acompanhamento e controlo da atividade do acionista maioritário, as quais têm como responsabilidade identificar e gerir os principais riscos.

Sempre que a avaliação de um risco se enquadre num patamar tolerável ou não aceitável, são elaborados, aprovados e adotados Planos de Tratamento do Risco como medida de mitigação, nos quais se identificam as ações corretivas a desenvolver, a estratégia de tratamento que estas consubstanciam (evitar, aceitar, reduzir ou partilhar o risco), a periodicidade de tratamento associada e o responsável e respetivo plano de implementação. Consoante a duração do  período de tratamento definido, poderão ser definidas datas de monitorização e os respetivos responsáveis, sendo o impacto da ações desenvolvidas aferido na avaliação subsequente efetuada.

Tendo a criação da empresa ocorrido no decurso de 2017 e considerando que a realização de uma adequada avaliação do risco pressupõe, a existência de maturidade na implementação dos processos de negócio, um adequado nível de conhecimento destes, dos riscos associados e dos controlos implementados, objetivos ainda não totalmente alcançados, foi definido não proceder à avaliação do risco em 2019.