Gestão do risco e controlo interno

Modelo de Governo

A Galp é um operador energético integrado, presente em várias geografias, exposto a fatores internos/externos  caraterísticos de um contexto VUCA (Volatile, Uncertain, Compex and Ambiguous), que podem induzir incerteza ao seu desempenho e à realização dos seus objetivos estratégicos.

Para assegurar o cumprimento dos objetivos estratégicos, a Política de Gestão de Riscos, aprovada pelo Conselho de Administração, define objetivos, processos e responsabilidades que permitem à Galp estabelecer uma sólida estrutura de gestão de risco.

A Galp adota uma abordagem abrangente de Gestão de Riscos que segue um processo baseado em 3 atividades fundamentais, conforme abaixo ilustrado.

Identificar e Avaliar Riscos: Utilizando fontes internas e externas, a Galp desenvolve um processo de identificação dos riscos que podem afetar a sua estratégia e desempenho.

A avaliação integrada do nível de risco da Galp é feita através de um modelo de análise bottom-up, que permite avaliar a incerteza sobre os Resultados Líquidos das UNs e uma análise top-down dos valores globais de exposição, nomeadamente FCF@Risk e EBITDA@Risco.

Os riscos são hierarquizados e mapeados num Heat Map (Matriz de Risco) e são identificadas medidas de resposta apropriadas para minimizar a probabilidade de ocorrência e/ou o impacto do risco.

A magnitude da exposição ao risco da Galp é avaliada através de métodos quantitativos e qualitativos, que consideram as distribuições individuais de risco e as correlações entre os riscos.

Monitorizar, Controlar & Reportar Riscos: A Direção de Gestão de Risco, em conjunto com os LRO, monitoriza continuamente a evolução dos principais riscos e respetivos KRI.

Sempre que necessário, são definidas ações de mitigação a serem implementadas pelas UN. Os planos de ação de mitigação resultantes são acompanhados mensalmente pela DGR.

Numa base trimestral, ou ad-hoc, elabora Relatórios de Risco e Memos que são apresentados ao CRO, à Comissão de Risco e ao Conselho Fiscal, permitindo-lhes realizar uma efetiva supervisão do risco e tomar melhores decisões baseadas em risco. Os relatórios também são disponibilizados às BUs.

As informações de risco são comunicadas através de Heat Maps (matriz de risco), Mapa de KRIs (fornece uma visão geral dos valores reais de KRI, objetivos e tolerâncias) e Planos de Mitigação.

Supervisionar, Auditar & Rever: Através de auditorias anuais ao Processo de Gestão de Riscos, e em reuniões trimestrais, respetivamente, a Direção de Auditoria Interna e o Conselho Fiscal, monitorizam o processo de ERM, contribuindo com sugestões de melhorias ou alterações. Esta monitorização e revisão também incluem a avaliação da cultura de risco da empresa, bem como do alinhamento entre a gestão de risco e as demais atividades da empresa.

 

Principais Riscos

As operações comerciais da Galp têm uma natureza a longo prazo, o que implica que muitos dos riscos a que está exposta possam ser considerados permanentes. No entanto, os fatores desencadeadores dos riscos e oportunidades, internos ou externos, são mutáveis, podem desenvolver-se e evoluir com o tempo, o que pode originar uma alteração dos riscos identificados, da sua probabilidade, impacto e detetabilidade. Por isso, a avaliação «Value at Risk» da Galp é efetuada numa base anual, ou «ad-hoc» se houver uma alteração substancial ao seu perfil de risco.

Principais Riscos

  • Execução de Projetos

  • Preço

  • Legal e Compliance

  • Portefólio

  • Continuidade de Negócio

  • Mercados

  • Parcerias

  • Cibersegurança

  • Geopolítico

  • Crédito

Para obter informação mais detalhada sobre riscos e medidas estratégias de mitigação, consulte aqui a tabela dos principais riscos no Relatório Integrado Galp 2018.

 

Controlo Interno

O sistema de controlo interno da Galp baseia-se nas orientações definidas pelo «Committee of Sponsoring Organizations of the Treadway Commission» (CoSo) no que se refere ao ambiente de controlo, avaliação de risco, atividades de controlo, informação e comunicação e monitorização da exposição ao risco.

O Manual de Controlo Interno, aprovado pelo Conselho de Administração, estabelece os princípios gerais e os requisitos das componentes do controlo interno, bem como o modelo organizacional associado à gestão integrada e uniforme do controlo interno no Grupo Galp. Este é definido como o conjunto de processos implementados pelos órgãos sociais, comissões especializadas, auditoria interna e colaboradores da Galp, com vista a conferir garantia razoável do cumprimento pela Galp dos objetivos relacionados com as operações, reporte e conformidade.

A organização e a estrutura de governance do controlo interno e gestão do risco assenta no modelo das três linhas de defesa, em conformidade com as melhores práticas geralmente aceites, tal como esquematizado no organograma abaixo.

A abordagem das três linhas de defesa assegura que:

  • A primeira linha de defesa identifica e compreende o ambiente de risco, avalia e comunica o valor potencial de exposição ao risco, determina e implementa a melhor forma de capturar ou atenuar a referida exposição ao risco.

  • A segunda linha de defesa monitoriza o risco a nível corporativo, define padrões de risco e comunica periodicamente o risco e o status dos planos de ação de mitigação do risco à Comissão de Risco, à Comissão Executiva, ao Conselho Fiscal e ao Conselho de Administração.

  • A terceira linha de defesa supervisiona e avalia a eficácia da gestão do risco e do processo de controlo interno.

Nesta abordagem as responsabilidades em matéria de Controlo Interno e Gestão de Risco estão asseguradas por diversas unidades organizacionais:

O Conselho de Administração é responsável por definir a estratégia, aprovar a política de risco, incluindo o apetite ao risco, e supervisionar a gestão de riscos, acompanhando o desempenho das funções delegadas na Comissão Executiva.

A Comissão Executiva é responsável por definir e implementar controlos de alto nível, promover a cultura organizacional e o compromisso com o controlo interno, definir linhas de reporte, competências e responsabilidades de controlo interno e atribuir responsabilidades sobre o controlo interno.

A Comissão de Risco, assente na documentação elaborada pela Direção de Gestão de Risco, acompanha e avalia trimestralmente os riscos identificados, os níveis de tolerância e as medidas de mitigação, e reporta toda a documentação e resultados das reuniões ao Conselho Fiscal.

Ao Conselho Fiscal cabe o papel de fiscalizar a eficácia dos sistemas de controlo interno e de auditoria interna, bem como o de avaliar anualmente o funcionamento dos sistemas e os respetivos procedimentos internos, fortalecendo, assim, o ambiente de controlo interno.

A Auditoria Interna assume um papel importante de terceira linha de defesa. A Direção de Auditoria Interna é responsável por avaliar, de forma independente e sistemática, o funcionamento adequado dos sistemas de controlo interno e gestão de risco da Galp, bem como a eficiência e eficácia da implementação dos controlos e ações de mitigação.

O modelo de relacionamento entre os órgãos sociais, direções e comissões responsáveis pela implementação dos sistemas de controlo interno privilegia a gestão centralizada dos riscos, ao nível da Direção de Gestão de Risco. Esta área é responsável por definir, acompanhar e avaliar riscos e medidas de mitigação, mantendo o alinhamento com as políticas e estratégias aprovadas; por definir e monitorizar, através da sua equipa de segurança de dados, políticas e procedimentos relativos à segurança cibernética; por garantir a consistência dos princípios, dos conceitos, das metodologias e das ferramentas de avaliação e gestão de risco de todas as unidades de negócio e empresas do Grupo; avaliar se os riscos identificados pelas unidades de negócio («donas do risco») estão dentro dos níveis de tolerância definidos pela Galp; classificação de riscos de acordo com a sua prioridade, probabilidade e impacto; reportar os riscos ao CRO e ao Comité de Gestão de Risco; promover a implementação eficaz do sistema de gestão de risco, promovendo uma cultura de risco através da demonstração da relevância dos assuntos à Comissão Executiva, ao Comité de Gestão de Risco e às unidades de negócio e empresas do Grupo.

A Direção de Assuntos Jurídicos e Governance estabelece controlos éticos e de conformidade. Monitoriza o sistema de controlo interno através da realização de averiguações internas, auditorias ou avaliações de risco em matérias de ética e compliance, bem como realização das devidas diligências relativamente às mesmas matérias a parceiros e transações relevantes. Além disso, promove a formação dos colaboradores em matérias de compliance, e desenvolve projetos tendentes à melhoria da compliance.

Os Local Risk Officers apoiam as unidades de negócio, «donas» do risco, na identificação, avaliação e gestão dos riscos nas respetivas unidades de negócio, tendo em consideração as normas de gestão de risco definidas. São ainda responsáveis por integrar a informação de risco nos seus processos de decisão, garantindo o cumprimento das políticas e procedimentos da gestão de risco aprovadas. Além disso, preparam e reportam informações sobre a exposição ao risco nas suas unidades de negócio.

Para além das áreas operacionais das unidades de negócio e funções corporativas acima referidas, existem outras direções envolvidas nas atividades de controlo interno.

A Direção de Ambiente, Qualidade, Segurança e Sustentabilidade é responsável pela gestão corporativa de riscos ambientais (incluindo os decorrentes de mudanças climáticas, segurança (incluindo security) e qualidade dos produtos) e tem competências para definir e propor metodologias de avaliação e acompanhamento.

A área de segurança cibernética da Direção de Sistemas de Informação é responsável pela implementação da política de segurança cibernética e dos procedimentos definidos pela Direção de Gestão de Risco.

Imprimir

Partilhar: