Upload
ngokiet
View
214
Download
0
Embed Size (px)
Citation preview
1
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
2
3
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
4
5
THE LIVING ENERGY BOOK
01 Mensagem 11
02 Factos Relevantes 16
03 Síntese de Indicadores de
Performance 23 04 Atividades Realizadas em 2017
Auditoria Interna 29
Trabalhos Realizados em Todas as
Áreas de Intervenção 29
Indicadores Internos de Qualidade 31
Sistema de Controlo Interno do
Relato Financeiro 31
Compliance 35
Outras Atividades e Projetos 38
05 Recursos Humanos Número de Colaboradores 45
Formação Profissional 46
06 Perspetivas para 2018 Auditoria Interna 52
Sistema de Controlo Interno do
Relato Financeiro 52
Compliance 53
Outras Atividades 53
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
6
7
THE LIVING ENERGY BOOK
MENSAGEM
Mensagem 11
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
8
9
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
10
11
THE LIVING ENERGY BOOK
01
MENSAGEM
A execução e monitorização do Plano de Atividades das Direções de Auditoria Interna e Compliance do Grupo (DAIC`s),
revelou-se um grande desafio para a generalidade das equipas a trabalhar nas diferentes Geografias e correspondentes
interlocutores do Grupo, pelo volume e diversidade dos temas abordados, pelas alterações legislativas ocorridas,
modificações estruturais e respetivos impactos nas áreas de negócio.
No âmbito das auditorias financeiras, normativas, operacionais e de sistemas, cumprimos amplamente os objetivos
definidos e realizámos um conjunto significativo e relevante de auditorias não programadas, onde destacamos o
acompanhamento das auditorias externas a grandes projetos de investimento.
Na área de auditoria interna das Tecnologias de Informação (TI), para além dos trabalhos previstos no Plano de
Atividades, desenvolvemos a aplicação, Real Time Audit (RTA), a qual acede em tempo real às operações que estão a
ocorrer nas aplicações SAP e às bases de dados SQL Server e Oracle que suportam as aplicações do Grupo EDP,
permitindo detetar situações de risco ou falta de controlo praticamente quando estas ocorrem.
A certificação independente e transversal do Sistema de Controlo Interno do Relato Financeiro (SCIRF), emitida pelo
Auditor Externo concretizou-se em linha com os objetivos definidos, sem reservas e/ou ênfases. Foram emitidos quatro
relatórios, um relativo às demonstrações financeiras consolidadas do Grupo e três relatórios stand alone, relativos às
demonstrações financeiras da EDP Espanha, EDP Renováveis e EDP Brasil. Destacamos ainda os trabalhos de
implementação da nova ferramenta eGRC, de apoio ao SCIRF.
A nova área de Compliance prossegue o caminho de afirmação, aprofundamento e robustez, promovendo o
desenvolvimento dos seis programas específicos na qualidade de promotor e dois programas específicos na qualidade
de provider. O esforço e recursos necessários para assegurar a implementação desta carteira de programas tem exigido
um empenho significativo por parte de todas as entidades envolvidas. O Regulamento Europeu de Proteção de Dados
Pessoais, cuja aplicação efetiva vai ocorrer em maio de 2018, tem mobilizado um volume significativo de recursos, tendo
em vista responder em tempo e qualidade às exigências regulamentares.
Adicionalmente as nossas equipas participaram no desenvolvimento de diversos projetos, em regime de colaboração e
como adviser, em resposta às necessidades específicas das unidades de negócio. Destacamos a colaboração com a
equipa de implementação do projeto Jump na EDP Distribuição e o assessement do ambiente de controlo de empresas
participadas.
No Plano de Atividades aprovado para o ano em curso, para além das tarefas inerentes às atividades recorrentes,
teremos como principais desafios, a implementação dos programas de Compliance em curso, o go live da nova
ferramenta eGRC, em todas as Geografias, e a prossecução dos projetos de assessement de controlo interno, em
resposta às alterações organizativas do Grupo e necessidades específicas de determinadas áreas de negócio.
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
12
13
THE LIVING ENERGY BOOK
FACTOS RELEVANTES
Factos Relevantes 16
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
14
15
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
16
02
FACTOS RELEVANTES
JANEIRO
• Aprovação do Plano de atividades 2017 pela CMF/CAUD e pelo CAE
• Apresentação das conclusões finais da avaliação do SCIRF 2016 às UE/UN
• Definição do modelo de governo do projeto eGRC
• Início da implementação do Real Time Audit (RTA) para monitorização e deteção de situações de risco ou falta de
controlo
• Reunião CMF/CAUD do Grupo EDP
FEVEREIRO
• Definição do plano de trabalhos e preparação do kick-off do projeto eGRC
• Apresentação do relatório final de conclusões do SCIRF 2016 ao CAE e CMF/CAUD
MARÇO
• Emissão, pelo Auditor Externo, dos relatórios independentes da avaliação do SCIRF 2016, relativos às contas
consolidadas e stand alone da EDP Espanha, EDP Renováveis e EDP Brasil
• Entrada em produção do projeto RTA com os primeiros alertas em Tempo Real
• Certificação em BWise Functional Administrator de 4 elementos da área de Sistemas de Informação
ABRIL
• Reuniões de encerramento do ciclo SCIRF 2016 e lançamento do ciclo de avaliação de 2017, nas UE/UN
• Kick-off do projeto eGRC e início dos trabalhos de modelação
• Realização da primeira reunião de Steering do Projeto RGPD – Regulamento Geral de Proteção de Dados
• Divulgação dos planos de ação RGPD – Medidas de Segurança de informação (DSI)
MAIO
• Apresentação do modelo de âmbito do SCIRF 2017
• Kick-off do projeto de avaliação do SCIRF 2017
JUNHO
• Início dos testes de avaliação do ciclo SCIRF 2017
• Reunião CMF/CAUD do Grupo EDP
17
THE LIVING ENERGY BOOK
JULHO
• Apresentação da primeira fase do plano de implementação do projeto Hydro Global
• Desenvolvimento de proposta de política de integridade do grupo e de procedimento de “due diligence” de
integridade – em revisão
SETEMBRO
• Início da fase de preparação da Proposta de Plano de Auditoria para 2018
• Disponibilização às empresas do RTA de alguns indicadores para seguimento e eventual tratamento
• Elaboração e divulgação do plano de ação – Programa de Compliance - Responsabilidade Penal das Pessoas Jurídicas
(EDP Espanha)
• Sessão de sensibilização sobre o RGPD – Encontro CAUD’s EDP
OUTUBRO
• Lançamento da Auto-Certificação do SCIRF 2017
• Realização, em Sintra, das Jornadas de Auditoria Interna do Grupo EDP
• Aprovação do Business Design para implementação do eGRC
NOVEMBRO
• Reunião de apresentação do Auditor Externo
• Início dos testes de aceitação do eGRC
• Reunião Ibérica de Compliance
• Comité de Compliance
• Divulgação dos planos de ação RGPD – Adequação de Processos de Negócio críticos (UN’s)
DEZEMBRO
• Elaboração do Plano de Atividades para o ano de 2018
• Estruturação do Programa de Compliance de Apoios Sociais (EDP Distribuição, EDP Serviço Universal, EDP
Comercial)
• Reunião CMF/CAUD do Grupo EDP
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
18
19
THE LIVING ENERGY BOOK
SÍNTESE DE INDICADORES DE PERFORMANCE
Síntese de Indicadores de Performance 23
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
20
21
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
22
23
THE LIVING ENERGY BOOK
03
SÍNTESE DE INDICADORES DE PERFORMANCE
RECURSOS HUMANOS
41 MÉDIA DE IDADES
18 MÉDIA DE ANOS DE EXPERIÊNCIA PROFISSIONAL
31 HORAS DE FORMAÇÃO POR AUDITOR
ATIVIDADES
149 Nº DE TRABALHOS DE AUDITORIA (EXCETO SCIRF) CONCLUÍDOS
117 % AUDITORIAS CONCLUÍDAS VS PLANEADAS
823 Nº DE RECOMENDAÇÕES EMITIDAS (EXCETO SCIRF)
3.889 Nº DE CONTROLOS SCIRF
QUALIDADE/ EFICÁCIA
4,7 NÍVEL DE SATISFAÇÃO (QUESTIONÁRIOS)1
1 Escala 1 (valor mínimo) a 5 (valor máximo)
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
24
25
THE LIVING ENERGY BOOK
ATIVIDADES REALIZADAS EM 2017
Auditoria Interna 29
Trabalhos Realizados em Todas as Áreas
de Intervenção 29
Indicadores Internos de Qualidade 31
Sistema de Controlo Interno do
Relato Financeiro 31
Apresentação do SCIRF 2017 no Universo do
Grupo EDP 34
Outras Atividades Decorrentes do Trabalho de
Manutenção do SCIRF 34
Compliance 35
Outras Atividades e Projetos 38
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
26
27
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
28
29
THE LIVING ENERGY BOOK
04
ATIVIDADES REALIZADAS EM 2017
4.1. AUDITORIA INTERNA
Num contexto de procura da melhoria continua e de pleno alinhamento com as melhores práticas existentes, foi finalizada
durante 2017 uma revisão do Manual de Auditoria Interna para adaptá-lo às evoluções sofridas pela própria atividade
nos procedimentos e metodologia aplicados, continuando, complementarmente, com o aprofundamento do
conhecimento do ambiente de controlo interno existente no Grupo de forma a otimizar a seleção dos trabalhos de
auditoria a incluir nos planos anuais.
Relativamente à execução dos trabalhos incluídos no plano de auditorias de 2017, é de destacar:
• A plena consolidação da prática instituída durante 2016 que distingue entre recomendações de natureza prioritária
onde a DAIC deve acompanhar a sua implementação e aquelas de menor impacto onde o acompanhamento fica no
âmbito das áreas e empresas afetadas.
• A realização de diagnósticos de controlo interno em subsidiárias e joint ventures sedeadas no estrangeiro.
• A colaboração com as áreas de Controlo Interno do Relato Financeiro e de Compliance na identificação de controlos
a ser revistos e/ou implementados no Grupo.
• A continuidade na realização de auditorias no âmbito do Modelo de Prevenção de Riscos Jurídico Penais instituído
na EDP em Espanha para prevenir ou para reduzir de forma significativa a comissão de delitos.
Por outro lado, no ano de 2017 foi implementada a nova estrutura da área de Auditoria Interna Operacional e Normativa
da DAIC em Portugal que tinha sido aprovada em 2016. Complementarmente, a venda do negócio de distribuição de
gás em Espanha teve impacto na estrutura da Direção de Auditoria Interna na EDP Espanha, com a saída de duas
colaboradoras sedeadas em Bilbao, o que obrigou, entre outros, a redefinir o plano de atividades previsto sem pôr, no
entanto, em causa a realização das auditorias internas consideradas prioritárias.
4.2. TRABALHOS REALIZADOS EM TODAS AS ÁREAS DE INTERVENÇÃO
As atividades realizadas durante 2017 foram as que constam do seguinte quadro:
Tipologia De Trabalhos Planeadas Extra Plano Total
Fiabilidade da Informação Financeira 12 2 14
Eficácia, Eficiência Operacional e Normativos 69 12 81
Sistemas de Informação 7 2 9
Auditoria Contínua 8 - 8
Follow Up 27 - 27
Canal de Ética 10 - 10
Total 133 16 149
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
30
TIPOLOGIA DE TRABALHOS
• Plano (88%)
• Extra Plano (12%)
Dos 149 trabalhos realizados durante 2017 resultou a emissão de 823 recomendações. Estas recomendações deram
origem a planos de implementação definidos pelas respetivas áreas afetadas, os quais são trimestralmente
acompanhados pela DAIC.
A tipologia das recomendações emitidas durante 2017 é a que consta do seguinte quadro:
Tipologia Emitidas em 2017
Eficácia e Eficiência das Operações 618 (75,1%)
Cumprimento das Politicas e Normas Internas 83 (10,1%)
Cumprimento da Legislação e Normas Legais 57 (6,9%)
Fiabilidade e Integridade da Informação Financeira 20 (2,4%)
Aplicacional 20 (2,4%)
Segurança 13 (1,6%)
Integridade do Património 9 (1,1%)
Gestão do Serviço 3 (0,4%)
Total 823
Plano Extra Plano
31
THE LIVING ENERGY BOOK
4.3. INDICADORES INTERNOS DE QUALIDADE
Conforme definido no Manual de Auditoria Interna do Grupo EDP, os trabalhos concluídos são objeto de uma avaliação
de qualidade pela empresa ou área auditada, através do preenchimento de um inquérito onde classifica o nível de
qualidade e satisfação que atribuí às respetivas auditorias.
Os resultados dos inquéritos relativos a cada área auditada, disponíveis até ao final do ano, são os que constam do
seguinte gráfico:
4.4. SISTEMA DE CONTROLO INTERNO DO RELATO FINANCEIRO
O Grupo EDP integrou na sua Gestão o Sistema de Controlo Interno do Relato Financeiro (SCIRF), com base nos critérios
estabelecidos pelo enquadramento normativo do controlo interno emitido pelo Committee of Sponsoring Organizations
of the Treadway Commission (COSO 2013) em relação aos processos de negócio e controlos globais e pelo Control
Objectives for Information and Related Technologies (COBIT) em relação aos controlos gerais de tecnologias de
informação.
O Plano de Atividades do ano de 2017 foi realizado tendo por base dois blocos estruturantes, as atividades inerentes à
atualização, manutenção e monitorização do SCIRF e as atividades relativas a projetos específicos de manutenção e
implementação das ferramentas de apoio.
No âmbito das atividades relativas à evolução, qualidade e manutenção do Sistema, foram revistas as metodologias de
identificação do modelo de âmbito em linha com as melhores práticas internacionais, bem como documentadas revisões
analíticas trimestrais.
4,6
4,7
4,8
4,9
RESULTADOS DOS INQUÉRITOS
Fiabilidade da Informação Financeira Eficácia, Eficiência Operacional e Normativos Sistemas de Informação Auditoria Contínua
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
32
33
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
34
4.4.1. APRESENTAÇÃO DO SCIRF 2017 NO UNIVERSO DO GRUPO EDP
As atividades programadas no âmbito do ciclo de avaliação do SCIRF 2017, decorreram de acordo com o previsto e
acordado com o Auditor Externo (AE), a KPMG, nas Geografias de Portugal, EDP Espanha e EDP Renováveis e pela PWC
na EDP Brasil, segundo a metodologia e a coordenação do AE do Grupo. Neste sentido foram desenvolvidas as seguintes
atividades:
• Planeamento e monitorização do ciclo, manutenção e revisão dos modelos de referência, apoio metodológico e
conceptual às Unidades Empresariais (UE) e Unidades de Negócios (UN).
• Apuramento do âmbito do SCIRF 2017 com base nas demonstrações financeiras de 31.12.2016 (Grupo e stand
alone) e identificação dos temas a incorporar pela análise de risco – o modelo de identificação do âmbito do SCIRF
foi objeto de revisão. Procedemos à alteração do modelo de cálculo da materialidade passando a utilizar como
referencial o Resultado Antes de Imposto - RAI - (normalizado, ou seja, corrigido de operações não correntes) em
vez do EBIT em linha com as melhores práticas internacionais.
• Apoio às UE/UN na documentação/revisão de novos controlos e redesenho dos existentes.
• Apoio e acompanhamento da avaliação do ciclo SCIRF 2017 promovido pelo AE em termos de planeamento e
interação com as UE/UN, acompanhamento da resolução das Não Conformidades (NC) e reporte às entidades de
supervisão.
• Lançamento e apoio na realização do processo de auto-certificação do SCIRF 2017 - o processo através do qual os
responsáveis do controlo interno das UE/UN, aos diversos níveis, declaram o seu reconhecimento explícito quanto
à suficiência ou insuficiência da documentação dos controlos em termos de atualização e adequação, execução e
manutenção das evidências, aprovação e implementação das ações inerentes à resolução de NC, se aplicável e
cumprimento do código de ética.
• Realização do processo de autoavaliação do ciclo SCIRF 2017, através do qual o CAE, representado pelo CEO e CFO,
emitem um relatório de responsabilidade sobre o grau de segurança e fiabilidade da preparação e apresentação das
demonstrações financeiras consolidadas.
• A avaliação do SCIRF 2017 foi efetuada pelo AE do Grupo, a KPMG, de acordo com a Norma Internacional sobre
Trabalhos de Garantia de Fiabilidade ISAE 3000 - International Standard on Assurance Engagements, em todas as
geografias abrangidas pelo modelo de âmbito e com o apoio da PWC, no caso específico da EDP Brasil.
O Auditor Externo emitiu um relatório independente sobre o SCIRF do Grupo relativo às demonstrações financeiras de
31 de dezembro de 2017, sem reservas e sem ênfase.
4.4.2. OUTRAS ATIVIDADES DECORRENTES DO TRABALHO DE MANUTENÇÃO DO SCIRF
Das atividades não recorrentes propostas no Plano de Atividades de 2017, destacamos a parametrização da nova
ferramenta eGRC de apoio ao SCIRF e Compliance, adquirida à Bwise no ano de 2016, para utilização transversal em
todas as Geografias.
35
THE LIVING ENERGY BOOK
4.5. COMPLIANCE
A função de Compliance, com o objetivo de contribuir para uma gestão eficiente do cumprimento das obrigações legais
e regulatórias nos países e negócios do Grupo EDP, registou, ao longo do ano de 2017, uma significativa atuação em
áreas de grande relevância para a organização, quer através do desenvolvimento do Programa Global de Compliance
quer dos Programas Específicos de Compliance identificados no roadmap com a definição dos âmbitos de atuação
prioritários, sendo de destacar os seguintes:
Proteção de Dados Pessoais (Transversal)
O projeto para preparar a implementação na EDP do novo Regulamento Europeu de Proteção de Dados Pessoais
(Regulamento Geral de Proteção de Dados – RGPD), durante o ano de 2017, foi desenvolvido em Portugal, Espanha e
EDP Renováveis (Europa) e contemplou as seguintes fases: (i) Identificação dos requisitos do RGPD e inventário das
atividades de tratamento de dados pessoais e diagnóstico das práticas de gestão atuais; (ii) Análise de “gaps” face aos
requisitos do RGPD; (iii) Análise de risco das atividades de tratamento de dados; e (iv) Definição de Planos de Ação de
adequação ao RGPD.
Os Planos de Ação contemplam medidas de adequação transversais (orientações gerais, políticas e procedimentos),
medidas específicas de adequação de processos de negócio e medidas de adequação dos sistemas de informação (ao
nível do desenvolvimento de requisitos funcionais e ao nível da segurança de informação). Para a sua implementação,
foram criados grupos de trabalho em cada unidade de negócio e na DSI, com o apoio e acompanhamento da área de
Compliance. Concretamente, em Portugal e Espanha estiveram envolvidas neste projeto 112 áreas, foram identificadas
566 atividades de tratamento de dados pessoais, inventariados 89 sistemas de informação de suporte com prioridade
muito alta ou alta e definidas 381 medidas de adequação dos processos de negócio e 16 medidas de adequação dos
sistemas de informação.
Este projeto prolongar-se-á pelo ano de 2018 no que diz respeito ao acompanhamento e apoio aos grupos de trabalho
das unidades de negócio e da DSI para implementação dos respetivos Planos de Ação e na capacitação, sensibilização e
formação dos colaboradores do grupo EDP, de modo a dar resposta aos requisitos do RGPD.
Prevenção de Responsabilidade Penal das Pessoas Jurídicas (Espanha e Renováveis)
Na sequência do trabalho iniciado em 2016 para a revisão e adequação dos modelos existentes na EDP Espanha e na
EDP Renováveis, tendo em consideração, entre outras, as alterações organizativas e as novidades legais acontecidas
desde a sua implementação, foi definido em 2017 para a EDP Espanha um Plano de ação com medidas que contribuirão
para o reforço dos mecanismos de prevenção e deteção de delitos. Na EDP Renováveis a revisão do modelo encontrava-
se em fase de conclusão no final de 2017 e o plano de ação de melhoria em fase de validação interna.
Prevenção da Corrupção (Transversal)
A orientação no sentido da implementação e manutenção de uma cultura de integridade e de mecanismos uniformes
aplicáveis a todo o grupo em matéria de prevenção da corrupção, a par das exigências regulatórias de implementação
de mecanismos de Compliance nesta área, em várias geografias em que o Grupo se encontra presente, e as tendências
do mercado levaram à identificação deste âmbito normativo com vista ao desenvolvimento do respetivo Programa
Específico de Compliance.
O desenvolvimento deste PEC passa pela definição de normas e procedimentos específicos que possam ter um alcance
transversal (ainda que com as necessárias adaptações locais), bem como a monitorização da sua aplicação (com a
colaboração das áreas de Compliance, da secretaria geral e assessoria jurídica das diferentes geografias e do provedor
de ética), assim como a implementação de controlos que podem afetar diversas áreas das diferentes empresas do grupo.
Tendo como ponto de partida os diferentes mecanismos previamente desenvolvidos quer ao nível do grupo (e.g. Código
de Ética, canal de denúncias, Instruções Vinculantes), quer ao nível das diferentes geografias, foi realizada a identificação
das melhores práticas de mercado e uma análise das medidas com potencial para aplicação transversal ao Grupo EDP.
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
36
Com base neste trabalho, foi desenhado um referencial para a eventual estruturação do PEC de Prevenção da Corrupção,
abordando a análise das principais áreas de risco e dos principais mecanismos possíveis de mitigação, incluindo o
desenvolvimento de uma eventual abordagem de Política de integridade do grupo e de eventuais mecanismos de due
diligence de integridade de terceiros. No final de 2017 encontrava-se em fase de decisão a forma de estruturação do
modelo de políticas e normas internas a adotar em matéria de integridade, bem como a decisão sobre a realização de
due diligences e respetivo âmbito e nível de profundidade.
Separação Jurídica de Atividades dos Operadores de Rede de Distribuição (Portugal e Espanha)
Dando continuidade às iniciativas realizadas em anos anteriores de acompanhamento dos mecanismos que permitem
reforçar o cumprimento dos requisitos legais e regulamentares em matéria de separação de atividades das empresas
distribuidoras de eletricidade e de gás natural, quer em Portugal, quer em Espanha, durante o ano de 2017:
• Manteve-se em Portugal o processo de implementação e acompanhamento de medidas de reforço do programa de
compliance de separação de atividades, bem como a realização de pontos de situação periódicos com os grupos de
trabalho criados para a gestão dessas medidas. Na sequência da venda do negócio de distribuição da EDP Gás
ocorrida em 2017, passaram a ser acompanhadas apenas as medidas associadas aos operadores de rede de
distribuição de eletricidade.
• Com o objetivo de garantir a manutenção de controlos de compliance, foi realizada em Portugal a revisão e
atualização de 62 processos operacionais documentados, bem como dos respetivos controlos de cumprimento
implementados.
• Em Espanha, de forma complementar ao processo habitual de melhoria contínua focado na identificação e
implementação de mecanismos de controlo para reforçar a prevenção de eventuais incidências em matéria de
separação de atividades, encontrava-se em curso no final de 2017 a revisão e atualização de determinados
documentos formais que integram o framework do modelo de cumprimento existente sobre esta matéria.
Obrigações Legais da Concorrência (Portugal e Espanha)
No decurso do trabalho realizado em parceria com a DRC – Direção de Regulação e Concorrência, em Portugal, foram
identificados e sistematizados os principais riscos de concorrência, identificados os principais comportamentos de risco
que podem comprometer os requisitos legais e regulamentares da concorrência e elaborada uma proposta de atividades
de controlo e de procedimentos específicos.
Com base nos elementos anteriores foi definido um plano de ação com as atividades a desenvolver para implementação
do PEC de Obrigações Legais da Concorrência, posteriormente aprovado pelo CAE (abril/2017). No âmbito da
implementação do plano de ação aprovado para desenvolvimento do PEC foi ainda definido um modelo de Manual de
regras de conduta da concorrência que no final de 2017 se encontrava em fase de conclusão. Foram realizadas reuniões
de pontos de situação periódicos com a DRC para acompanhamento do Plano de Ação de implementação do PEC da
Concorrência. No final de 2017, foram ainda realizadas as primeiras reuniões para validação de conformidade de
procedimentos já existentes em matéria de concorrência com os Compliance Business Partners da EDP Comercial, EDP
Distribuição e UNGE.
Por outro lado, durante 2017 em Espanha, empreendeu-se um trabalho similar de identificação e sistematização de
potenciais comportamentos de risco nesta matéria. Este trabalho, em curso no final de 2017 será concluído durante o
primeiro semestre de 2018 com a identificação dos mecanismos de controlo implementados que mitigam esses riscos e
com a identificação de eventuais medidas adicionais que devam ser implementadas.
37
THE LIVING ENERGY BOOK
Fiscal (Renováveis)
O trabalho realizado em 2017 focou-se na análise do ambiente de controlo da função de gestão de Tax Compliance na
EDP Renováveis Europa, no sentido de identificar os principais riscos e respetivos mecanismos de controlo mitigantes
existentes e/ou a desenvolver. A metodologia utilizada consistiu na (i) identificação dos principais comportamentos de
risco, (ii) sistematização dos principais riscos de incumprimento fiscal e (iii) definição de um plano de ação e das
respetivas iniciativas a desenvolver de modo a reforçar o ambiente de controlo, incluindo a identificação dos respetivos
responsáveis e datas objetivo para a sua implementação. Com base na aplicação desta metodologia, no final de 2017,
estava desenhado o referencial na EDP Renováveis e definido e praticamente implementado na totalidade o plano de
iniciativas de reforço do ambiente de controlo.
Temas Regulatórios (EDP Distribuição, EDP Comercial, EDP Serviço Universal)
A relevância dos temas regulatórios advém do papel desempenhado pelas empresas do grupo no quadro do setor
energético, aos quais se encontram associadas penalidades em caso de incumprimento, no quadro do Regime
Sancionatório (Portugal). No âmbito dos temas regulatórios da EDP Distribuição, consideraram-se os seguintes PECs: (i)
Mudança de Comercializador; (ii) Qualidade de Serviço Técnica; (iii) Qualidade de Serviço Comercial; (iv) Medição e
Disponibilização de Dados; (v) Regulação Económica; (vi) Infraestruturas críticas; e (vii) Apoios Sociais.
Em 2017, foi realizado o planeamento geral da implementação destes PECs e foi estruturado o PEC de Apoios Sociais,
quer na vertente do operador de rede, que na vertente das empresas comercializadoras do grupo, tendo em conta as
especificidades da aplicação da tarifa social aos seus clientes, tendo sido definidos os respetivos planos de ação,
identificando iniciativas de reforço de procedimentos e de mecanismos de controlo associados ao cumprimento dos
requisitos regulatórios em causa. Ainda em 2017, a área de Compliance acompanhou e apoiou a EDP Distribuição no
âmbito da realização de uma auditoria externa promovida pela ERSE ao cumprimento do Regulamento de Qualidade de
Serviço.
Branqueamento de Capitais e Financiamento do Terrorismo (Transversal)
No âmbito da transposição das Diretivas Europeias correspondentes, Portugal adotou em 2017 um conjunto de
legislação, principalmente relacionada com o combate ao branqueamento de capitais e financiamento ao terrorismo, das
quais as mais relevantes são: (i) Lei do combate ao Branqueamento de Capitais e Financiamento ao Terrorismo (BCFT),
lei 83/2017 de 18 de Agosto: Estabelece medidas de combate ao branqueamento de capitais e ao financiamento do
terrorismo, transpõe parcialmente as Diretivas 2015/849/UE, do Parlamento Europeu e do Conselho, de 20 de maio de
2015, e 2016/2258/UE, do Conselho, de 6 de dezembro de 2016, altera o Código Penal e o Código da Propriedade
Industrial e revoga a Lei n.º 25/2008, de 5 de junho, e o Decreto -Lei n.º 125/2008, de 21 de julho; (ii) Regulamento
do Registo Central do Beneficiário Efetivo, previsto na Lei BCFT, lei 89/2017 de 21 de Agosto; (iii) Lei 92/2017, de 22
de Agosto, que altera a Lei Geral Tributária e o Regime Geral das Infrações Tributárias, que restringe o pagamento ou
recebimento de valores superiores a € 3.000,00 em dinheiro.
O desenvolvimento deste PEC passa pela definição do modelo de risco a adotar, definição de normas e procedimentos
específicos que possam ter um alcance transversal (ainda que com as necessárias adaptações locais), bem como a
monitorização da sua aplicação (com a colaboração das unidades de negócio onde se aplique), assim como a
implementação de controlos e auditorias recorrentes. Em articulação com a Secretaria Geral e Apoio Jurídico (SGAJ), foi
realizada uma análise, relativa à aplicação ao Grupo EDP deste conjunto de normativos legais, na qual são identificadas
empresas obrigadas e não obrigadas. No âmbito das empresas obrigadas, o grupo inclui as seguintes atividades:
comerciais, prestação de serviços, imobiliárias, mediadoras e sociedades de investimento.
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
38
4.6. OUTRAS ATIVIDADES E PROJETOS
• Manutenção da colaboração, no âmbito da atividade da área de Compliance, com as empresas do Grupo que são
objeto de auditorias externas regulatórias (entre outros, na preparação dos cadernos de encargos das auditorias,
seleção das empresas que as realizarão, acompanhamento dos resultados das mesmas e desenvolvimento de
eventuais planos de implementação de melhorias).
• Colaboração com a DCMC – Direção de Coordenação Global da Marca, Marketing e Comunicação, na elaboração de
um artigo sobre o âmbito de atuação da função de Compliance e sistema de compliance do Grupo EDP para a Revista
edpon de setembro de 2017 e na definição de um plano de comunicação relativo ao PEC de Proteção de Dados
Pessoais e à adequação da EDP aos requisitos do RGPD.
• Desenvolvimento do projeto de “Assessement” de Controlo Interno às atividades da Hydro Global em Hong Kong.
• Acompanhamento da implementação do projeto JUMP da EDP Distribuição.
• Finalização do upgrade da aplicação de apoio à auditoria TeamMate, da versão 8.2 para a versão 11.2.
• Colaboração com a DSI – Direção de Sistemas de Informação na análise e implementação de uma ferramenta de
Logging para os sistemas SAP - Read Access Logging (RAL).
• Implementação da aplicação Âmbito, para cálculo e determinação do âmbito anual SCIRF, com base na informação
extraída do Financial Consolidation.
• Implementação do Real Time Audit, com acesso em tempo real aos eventos que estão a ocorrer nas aplicações SAP
e às aplicações suportadas em bases de dados SQL Server e Oracle, constituída por 2 módulos, sendo um formado
pelos programas que se conectam aos diferentes sistemas para deteção e avaliação dos eventos e outro, constituído
por diferentes dashboards e relatórios que fazem a monitorização dos alertas que vão sendo gerados, para análise
e eventual tratamento/intervenção/encaminhamento.
• Execução do projeto de implementação da aplicação eGRC (BWise) para substituição da atual, para suporte ao
Sistema de Controlo Interno e área de Compliance do Grupo EDP.
• Definição e implementação de novas auditorias contínuas, implementação de novos indicadores em algumas das
existentes, inclusão de novas aplicações sujeitas a análise periódica.
• Participação no projeto AWS para adaptação do Re:dy face ao novo Regulamento Geral de Proteção de Dados, no
âmbito da mobilidade temporária.
• Acompanhamento na Auditoria de Segurança aos Sistemas de Informação – IT e OT, promovida pela DSI e
executada por entidade externa.
39
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
40
41
THE LIVING ENERGY BOOK
RECURSOS HUMANOS
Número de Colaboradores 45
Formação Profissional 46
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
42
43
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
44
45
THE LIVING ENERGY BOOK
05
RECURSOS HUMANOS
5.1. NÚMERO DE COLABORADORES
O número total de colaboradores efetivos ao serviço das diversas Direções de Auditoria Interna e Compliance do Grupo
EDP, reportado a 31 de dezembro de 2017, foi de 65.
O ano de 2017 ficou marcado por alterações significativas ao nível da estrutura e dimensão da Direção de Auditoria
Interna e Compliance, aumentando cerca de 8% face a 2016, devido aos seguintes acontecimentos:
• Reforço da equipa, em Portugal, resultante da entrada de cinco novos colaboradores para a área de Auditoria Interna
e três colaboradores para a equipa de Compliance, sendo dois por mobilidade interna, provenientes da DAIC do
Brasil e da EDP Distribuição.
• Dois colaboradores saíram da equipa DAIC Portugal, um através de uma mobilidade interna para a EDP Soluções
Comerciais e outro para uma oportunidade no exterior.
• Para além do quadro de colaboradores descrito acima, no decurso do ano de 2017, foram admitidos seis novos
estagiários em Portugal, pelo período de 9 meses, provenientes do exterior do Grupo, tendo em vista auxiliar as
áreas de auditoria operacional e financeira, do SCIRF e de apoio à Gestão, bem como dar a oportunidade a jovens
licenciados de terem o seu primeiro contacto com a realidade empresarial.
• A equipa da EDP Brasil voltou a aumentar por via de duas novas entradas, um colaborador vindo do exterior da
empresa e outro proveniente de uma mobilidade interna da Fundação EDP, no entanto ocorreu uma saída para a
área do Compliance da DAIC Portugal.
• Este ano na EDP Espanha não foram admitidos novos colaboradores, no entanto ocorreram três saídas, uma das
quais devido a uma oportunidade de mobilidade interna e duas devido à venda da Naturgás Energía.
• Reforço da equipa da EDP Renováveis com a admissão de um colaborador.
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
46
5.2. FORMAÇÃO PROFISSIONAL
No quadro seguinte, apresenta-se um resumo das ações de formação frequentadas pelos colaboradores, por domínio e
área formativa, para todas as geografias.
QUADRO RESUMO FORMAÇÃO PROFISSIONAL 2017
Resumo das ações de formação, por tema, promovidas interna e externamente, para as geografias
de Portugal, Espanha, Brasil e EUA
DOMÍNIO FORMATIVO ÁREA FORMATIVA TOTAL %
Comportamental 234 12%
Relações interpessoais e comunicação 141
Liderança 44
Ética 38
Inteligência Emocional 11
Gestão 209 10%
MBA / Mestrado / Pós-Graduação 112
Finanças 55
Gestão 26
Gestão de Projetos 16
Organizacional 230 11%
Sessões de Acolhimento 79
Energizing Development Program 57
Institucional 41
Lead Now 40
Recursos Humanos 13
Técnica 1.358 67%
Controlo Interno 298
Compliance 143
Sistemas de Informação 138
Negócio de Energia 136
IPAI / IIA 112
Auditoria Interna 97
Microsoft Office 90
Prevenção e Segurança 72
Amostragem em Auditoria 67
Línguas 64
CIA 56
Gestão de Risco / Fraude 46
Cibersegurança 12
Sustentabilidade 12
Legal / Regulação 8
Outras 7
TOTAL 2.032 100%
47
THE LIVING ENERGY BOOK
O total de horas de formação, em 2017, foi de 2.032 horas, o que representa uma diminuição de cerca de 26% face a
2016 (2.733 horas). O número médio de horas de formação por colaborador foi, em 2017, de 31 horas, o que representa
uma diminuição de cerca de 31% face a 2016 (em que o número médio foi de 46 horas) e uma diminuição significativa
relativamente ao referencial de 90 horas por auditor, de acordo com o benchmark internacional Global Audit Information
Network – GAIN Report 2016 para as empresas do setor da Energia. Apesar do aumento do número de auditores em
8%, esta variação positiva não se refletiu no número de horas de formação. Este decréscimo de horas de formação está
em linha com a tendência registada no Grupo, decorrente da diminuição do valor orçamentado para este tipo de
atividades.
Adicionalmente, destaca-se uma atividade contínua de formação, on job, no desenvolvimento dos trabalhos realizados.
DESTACA-SE A FORMAÇÃO COMPLEMENTAR DE ALGUNS COLABORADORES:
NÍVEL DE FORMAÇÃO COMPLEMENTAR
COLABORADORES
Doutoramento 1 colaborador
MBA
Concluído: 7 colaboradores
Em formação: 2 colaboradores
Mestrado ou Pós-Graduação 20 colaboradores (nas áreas de Finanças, Fiscalidade, Auditoria, Gestão e
Contabilidade)
Certificação CIA
Concluído: 10 colaboradores
Em processo de conclusão: 8 colaboradores
Certificações Complementares
CISA (Certified Information Systems Auditor): 1 colaborador
CRMA (Certified in Risk Management Assurance): 1 colaborador
CAMS (Certified Anti-Money Laundering Specialist): 1 colaborador (Em curso)
COBIT (Framework for the governance and management of entreprise IT): 1
colaborador
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
48
49
THE LIVING ENERGY BOOK
PERSPETIVAS PARA 2018
Auditoria Interna 52
Sistema de Controlo Interno do Relato
Financeiro 52
Compliance 53
Outras Atividades 53
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
50
51
THE LIVING ENERGY BOOK
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
52
06
PERSPETIVAS PARA 2018
6.1. AUDITORIA INTERNA
Dentro do plano de atividades a executar durante 2018 destacamos os seguintes temas:
• Crescente ênfase na execução de diagnósticos de controlo interno em subsidiárias e/ou entidades vinculadas ao
Grupo EDP, obtendo desta forma uma visão abrangente do conjunto de atividades de negócio e suporte realizadas
nessas entidades e dos mecanismos de controlo interno efetivamente implementados.
• Levantamento de uma matriz de eventuais condutas potenciais de risco com impacto no Grupo associadas à
existência de incentivos operacionais e/ou a potenciais comportamentos maliciosos, como mecanismo de apoio
complementar aos mapas de risco existentes na seleção e priorização de revisões de auditoria interna.
• Revisão do Manual de Auditoria Interna com o objetivo de reforçar as salvaguardas exigidas pelo Regulamento
Europeu de Proteção de Dados Pessoais na execução de auditorias internas onde seja requerido o tratamento de
dados dessa natureza.
• Continuação do desenvolvimento de uma iniciativa de auditoria contínua em matéria de tesouraria.
6.2. SISTEMA DE CONTROLO INTERNO DO RELATO FINANCEIRO
O Plano de Atividades do Sistema de Controlo Interno do Relato Financeiro do Grupo EDP, foi estruturado tendo por
base o conjunto de atividades inerentes à manutenção, monitorização e avaliação do ciclo SCIRF 2018, bem como o
conjunto de temas adicionais que contribuem para a melhoria continua e robustez do sistema.
O contrato de avaliação com o AE- Auditor Externo, PwC, prevê a emissão de um Relatório Independente de Avaliação
do Sistema de Controlo Interno do Relato Financeiro do Grupo, bem como a emissão de Relatórios Independentes stand
alone da EDP Espanha, EDP Renováveis e EDP Brasil, em linha com os compromissos assumidos perante o mercado e
disponibilizados nos respetivos Relatórios e Contas.
A contratação do novo AE vai exigir um esforço adicional de adaptação, articulação e coordenação entre equipas, do
qual resultará, certamente, a criação de valor para as entidades envolvidas.
Os trabalhos de migração e implementação da nova ferramenta eGRC de apoio ao SCIRF e Compliance, parametrizada
no exercício de 2017, devem ser concluídos e implementados no decurso do ano.
De acordo com o plano de atividades previsto para o ano de 2018, relativos à Gestão do ciclo SCIRF,
destacam-se os seguintes temas:
• Identificação do âmbito do SCIRF 2018 com base nas demonstrações financeiras de 31 de dezembro de 2017 (Grupo
e stand alone).
• Apoio às UE/UN na documentação/revisão dos controlos.
• Apoio e acompanhamento da avaliação do ciclo SCIRF 2018, promovida pelo AE.
• Lançamento da auto-certificação dos controlos.
• Monitorização do grau de resolução das Não Conformidades.
• Monitorização da emissão ISAE 3402, relativa aos prestadores de serviços.
53
THE LIVING ENERGY BOOK
Relativamente à componente de organização, métodos, processos, metodologias e ferramentas de suporte
destacamos:
• Apoio decorrente da implementação do projeto JUMP.
• Apoio ao projeto de reestruturação da EDP Soluções Comerciais.
• Implementação da ferramenta eGRC em todas as Geografias.
• Revisão do manual de utilizador e modelo de responsabilidades.
• Revisão do manual de formação em articulação com a Universidade EDP.
• Análise ao ambiente de controlo da Fundação EDP.
6.3. COMPLIANCE
Durante o ano de 2018, a área de Compliance, na sua esfera de atuação, continuará a promover / assessorar as
diferentes áreas envolvidas, nomeadamente no que diz respeito aos âmbitos normativos mais relevantes, com especial
destaque para o tema da proteção de dados pessoais, colaborando, entre outros aspetos, na realização de análises de
risco e na identificação e documentação de procedimentos e controlos mitigantes.
Adicionalmente, ao longo do ano de 2018, está prevista a definição e implementação de novos elementos estruturais do
Programa Global de Compliance com vista ao seu reforço e sistematização, no que respeita nomeadamente à:
• Definição e implementação de políticas e normas de caráter transversal relativas a Compliance (e.g. Política de
Compliance).
• Sistematização do processo de monitorização de alterações legais e regulamentares.
• Sistematização de mecanismos de monitorização e alinhamento das atividades desenvolvidas nas várias empresas
/ geografias.
• Realização de ações de formação e sensibilização transversais sobre os modelos de prevenção de responsabilidade
penal das pessoas jurídicas e sobre o PEC de Proteção de Dados Pessoais.
• Desenvolvimento de conteúdos (referenciais, guias, documentos de sensibilização, etc.) para a página da área de
Compliance na intranet EDP.
Adicionalmente, a área de Compliance continuará a apoiar as diferentes UE/UN no acompanhamento dos trabalhos de
auditorias externas regulatórias, assim como no seguimento de eventuais planos de implementação de recomendações
e continuará também a assegurar um papel de “assessor interno” para temas de Compliance de caráter geral
(metodologia, ferramentas, procedimentos transversais, etc.).
6.4. OUTRAS ATIVIDADES
Adicionalmente às atividades referidas destaca-se ainda a manutenção do programa de monitorização de estágios
profissionais a licenciados, no âmbito da participação do Grupo no programa de responsabilidade social.
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
54
UIC
55
THE LIVING ENERGY BOOK
Edição
EDP – Energias de Portugal, S.A. DAIC – Direção de Auditoria Interna e Compliance Gabinete de Qualidade e Melhoria Contínua Av. 24 de Julho,12 1249-300 Lisboa
Conceito
HAVAS, Design Portugal, Lda. Paginação EDP – Energias de Portugal, S.A. Fotografia MAAT
FG+SG
RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017
56