THE LIVING ENERGY BOOK - edp.com · A execução e monitorização do Plano de Atividades das ... SAP e às bases de dados SQL Server e ... a projetos específicos de manutenção

1

THE LIVING ENERGY BOOK

RELATÓRIO AUDITORIA INTERNA E COMPLIANCE EDP 2017

2

3



4

5


01 Mensagem 11

02 Factos Relevantes 16

03 Síntese de Indicadores de

Performance 23 04 Atividades Realizadas em 2017

Auditoria Interna 29

Trabalhos Realizados em Todas as

Áreas de Intervenção 29

Indicadores Internos de Qualidade 31

Sistema de Controlo Interno do

Relato Financeiro 31

Compliance 35

Outras Atividades e Projetos 38

05 Recursos Humanos Número de Colaboradores 45

Formação Profissional 46

06 Perspetivas para 2018 Auditoria Interna 52



Compliance 53

Outras Atividades 53


6

7


MENSAGEM

Mensagem 11


8

9



10

11


01

MENSAGEM

A execução e monitorização do Plano de Atividades das Direções de Auditoria Interna e Compliance do Grupo (DAIC`s),

revelou-se um grande desafio para a generalidade das equipas a trabalhar nas diferentes Geografias e correspondentes

interlocutores do Grupo, pelo volume e diversidade dos temas abordados, pelas alterações legislativas ocorridas,

modificações estruturais e respetivos impactos nas áreas de negócio.

No âmbito das auditorias financeiras, normativas, operacionais e de sistemas, cumprimos amplamente os objetivos

definidos e realizámos um conjunto significativo e relevante de auditorias não programadas, onde destacamos o

acompanhamento das auditorias externas a grandes projetos de investimento.

Na área de auditoria interna das Tecnologias de Informação (TI), para além dos trabalhos previstos no Plano de

Atividades, desenvolvemos a aplicação, Real Time Audit (RTA), a qual acede em tempo real às operações que estão a

ocorrer nas aplicações SAP e às bases de dados SQL Server e Oracle que suportam as aplicações do Grupo EDP,

permitindo detetar situações de risco ou falta de controlo praticamente quando estas ocorrem.

A certificação independente e transversal do Sistema de Controlo Interno do Relato Financeiro (SCIRF), emitida pelo

Auditor Externo concretizou-se em linha com os objetivos definidos, sem reservas e/ou ênfases. Foram emitidos quatro

relatórios, um relativo às demonstrações financeiras consolidadas do Grupo e três relatórios stand alone, relativos às

demonstrações financeiras da EDP Espanha, EDP Renováveis e EDP Brasil. Destacamos ainda os trabalhos de

implementação da nova ferramenta eGRC, de apoio ao SCIRF.

A nova área de Compliance prossegue o caminho de afirmação, aprofundamento e robustez, promovendo o

desenvolvimento dos seis programas específicos na qualidade de promotor e dois programas específicos na qualidade

de provider. O esforço e recursos necessários para assegurar a implementação desta carteira de programas tem exigido

um empenho significativo por parte de todas as entidades envolvidas. O Regulamento Europeu de Proteção de Dados

Pessoais, cuja aplicação efetiva vai ocorrer em maio de 2018, tem mobilizado um volume significativo de recursos, tendo

em vista responder em tempo e qualidade às exigências regulamentares.

Adicionalmente as nossas equipas participaram no desenvolvimento de diversos projetos, em regime de colaboração e

como adviser, em resposta às necessidades específicas das unidades de negócio. Destacamos a colaboração com a

equipa de implementação do projeto Jump na EDP Distribuição e o assessement do ambiente de controlo de empresas

participadas.

No Plano de Atividades aprovado para o ano em curso, para além das tarefas inerentes às atividades recorrentes,

teremos como principais desafios, a implementação dos programas de Compliance em curso, o go live da nova

ferramenta eGRC, em todas as Geografias, e a prossecução dos projetos de assessement de controlo interno, em

resposta às alterações organizativas do Grupo e necessidades específicas de determinadas áreas de negócio.


12

13


FACTOS RELEVANTES

Factos Relevantes 16


14

15



16

02

FACTOS RELEVANTES

JANEIRO

• Aprovação do Plano de atividades 2017 pela CMF/CAUD e pelo CAE

• Apresentação das conclusões finais da avaliação do SCIRF 2016 às UE/UN

• Definição do modelo de governo do projeto eGRC

• Início da implementação do Real Time Audit (RTA) para monitorização e deteção de situações de risco ou falta de

controlo

• Reunião CMF/CAUD do Grupo EDP

FEVEREIRO

• Definição do plano de trabalhos e preparação do kick-off do projeto eGRC

• Apresentação do relatório final de conclusões do SCIRF 2016 ao CAE e CMF/CAUD

MARÇO

• Emissão, pelo Auditor Externo, dos relatórios independentes da avaliação do SCIRF 2016, relativos às contas

consolidadas e stand alone da EDP Espanha, EDP Renováveis e EDP Brasil

• Entrada em produção do projeto RTA com os primeiros alertas em Tempo Real

• Certificação em BWise Functional Administrator de 4 elementos da área de Sistemas de Informação

ABRIL

• Reuniões de encerramento do ciclo SCIRF 2016 e lançamento do ciclo de avaliação de 2017, nas UE/UN

• Kick-off do projeto eGRC e início dos trabalhos de modelação

• Realização da primeira reunião de Steering do Projeto RGPD – Regulamento Geral de Proteção de Dados

• Divulgação dos planos de ação RGPD – Medidas de Segurança de informação (DSI)

MAIO

• Apresentação do modelo de âmbito do SCIRF 2017

• Kick-off do projeto de avaliação do SCIRF 2017

JUNHO

• Início dos testes de avaliação do ciclo SCIRF 2017


17


JULHO

• Apresentação da primeira fase do plano de implementação do projeto Hydro Global

• Desenvolvimento de proposta de política de integridade do grupo e de procedimento de “due diligence” de

integridade – em revisão

SETEMBRO

• Início da fase de preparação da Proposta de Plano de Auditoria para 2018

• Disponibilização às empresas do RTA de alguns indicadores para seguimento e eventual tratamento

• Elaboração e divulgação do plano de ação – Programa de Compliance - Responsabilidade Penal das Pessoas Jurídicas

(EDP Espanha)

• Sessão de sensibilização sobre o RGPD – Encontro CAUD’s EDP

OUTUBRO

• Lançamento da Auto-Certificação do SCIRF 2017

• Realização, em Sintra, das Jornadas de Auditoria Interna do Grupo EDP

• Aprovação do Business Design para implementação do eGRC

NOVEMBRO

• Reunião de apresentação do Auditor Externo

• Início dos testes de aceitação do eGRC

• Reunião Ibérica de Compliance

• Comité de Compliance

• Divulgação dos planos de ação RGPD – Adequação de Processos de Negócio críticos (UN’s)

DEZEMBRO

• Elaboração do Plano de Atividades para o ano de 2018

• Estruturação do Programa de Compliance de Apoios Sociais (EDP Distribuição, EDP Serviço Universal, EDP

Comercial)



18

19


SÍNTESE DE INDICADORES DE PERFORMANCE

Síntese de Indicadores de Performance 23


20

21



22

23


03

SÍNTESE DE INDICADORES DE PERFORMANCE

RECURSOS HUMANOS

41 MÉDIA DE IDADES

18 MÉDIA DE ANOS DE EXPERIÊNCIA PROFISSIONAL

31 HORAS DE FORMAÇÃO POR AUDITOR

ATIVIDADES

149 Nº DE TRABALHOS DE AUDITORIA (EXCETO SCIRF) CONCLUÍDOS

117 % AUDITORIAS CONCLUÍDAS VS PLANEADAS

823 Nº DE RECOMENDAÇÕES EMITIDAS (EXCETO SCIRF)

3.889 Nº DE CONTROLOS SCIRF

QUALIDADE/ EFICÁCIA

4,7 NÍVEL DE SATISFAÇÃO (QUESTIONÁRIOS)1

1 Escala 1 (valor mínimo) a 5 (valor máximo)


24

25


ATIVIDADES REALIZADAS EM 2017


Trabalhos Realizados em Todas as Áreas

de Intervenção 29

Indicadores Internos de Qualidade 31



Apresentação do SCIRF 2017 no Universo do

Grupo EDP 34

Outras Atividades Decorrentes do Trabalho de

Manutenção do SCIRF 34

Compliance 35

Outras Atividades e Projetos 38


26

27



28

29


04

ATIVIDADES REALIZADAS EM 2017

4.1. AUDITORIA INTERNA

Num contexto de procura da melhoria continua e de pleno alinhamento com as melhores práticas existentes, foi finalizada

durante 2017 uma revisão do Manual de Auditoria Interna para adaptá-lo às evoluções sofridas pela própria atividade

nos procedimentos e metodologia aplicados, continuando, complementarmente, com o aprofundamento do

conhecimento do ambiente de controlo interno existente no Grupo de forma a otimizar a seleção dos trabalhos de

auditoria a incluir nos planos anuais.

Relativamente à execução dos trabalhos incluídos no plano de auditorias de 2017, é de destacar:

• A plena consolidação da prática instituída durante 2016 que distingue entre recomendações de natureza prioritária

onde a DAIC deve acompanhar a sua implementação e aquelas de menor impacto onde o acompanhamento fica no

âmbito das áreas e empresas afetadas.

• A realização de diagnósticos de controlo interno em subsidiárias e joint ventures sedeadas no estrangeiro.

• A colaboração com as áreas de Controlo Interno do Relato Financeiro e de Compliance na identificação de controlos

a ser revistos e/ou implementados no Grupo.

• A continuidade na realização de auditorias no âmbito do Modelo de Prevenção de Riscos Jurídico Penais instituído

na EDP em Espanha para prevenir ou para reduzir de forma significativa a comissão de delitos.

Por outro lado, no ano de 2017 foi implementada a nova estrutura da área de Auditoria Interna Operacional e Normativa

da DAIC em Portugal que tinha sido aprovada em 2016. Complementarmente, a venda do negócio de distribuição de

gás em Espanha teve impacto na estrutura da Direção de Auditoria Interna na EDP Espanha, com a saída de duas

colaboradoras sedeadas em Bilbao, o que obrigou, entre outros, a redefinir o plano de atividades previsto sem pôr, no

entanto, em causa a realização das auditorias internas consideradas prioritárias.

4.2. TRABALHOS REALIZADOS EM TODAS AS ÁREAS DE INTERVENÇÃO

As atividades realizadas durante 2017 foram as que constam do seguinte quadro:

Tipologia De Trabalhos Planeadas Extra Plano Total

Fiabilidade da Informação Financeira 12 2 14

Eficácia, Eficiência Operacional e Normativos 69 12 81

Sistemas de Informação 7 2 9

Auditoria Contínua 8 - 8

Follow Up 27 - 27

Canal de Ética 10 - 10

Total 133 16 149


30

TIPOLOGIA DE TRABALHOS

• Plano (88%)

• Extra Plano (12%)

Dos 149 trabalhos realizados durante 2017 resultou a emissão de 823 recomendações. Estas recomendações deram

origem a planos de implementação definidos pelas respetivas áreas afetadas, os quais são trimestralmente

acompanhados pela DAIC.

A tipologia das recomendações emitidas durante 2017 é a que consta do seguinte quadro:

Tipologia Emitidas em 2017

Eficácia e Eficiência das Operações 618 (75,1%)

Cumprimento das Politicas e Normas Internas 83 (10,1%)

Cumprimento da Legislação e Normas Legais 57 (6,9%)

Fiabilidade e Integridade da Informação Financeira 20 (2,4%)

Aplicacional 20 (2,4%)

Segurança 13 (1,6%)

Integridade do Património 9 (1,1%)

Gestão do Serviço 3 (0,4%)

Total 823

Plano Extra Plano

31


4.3. INDICADORES INTERNOS DE QUALIDADE

Conforme definido no Manual de Auditoria Interna do Grupo EDP, os trabalhos concluídos são objeto de uma avaliação

de qualidade pela empresa ou área auditada, através do preenchimento de um inquérito onde classifica o nível de

qualidade e satisfação que atribuí às respetivas auditorias.

Os resultados dos inquéritos relativos a cada área auditada, disponíveis até ao final do ano, são os que constam do

seguinte gráfico:

4.4. SISTEMA DE CONTROLO INTERNO DO RELATO FINANCEIRO

O Grupo EDP integrou na sua Gestão o Sistema de Controlo Interno do Relato Financeiro (SCIRF), com base nos critérios

estabelecidos pelo enquadramento normativo do controlo interno emitido pelo Committee of Sponsoring Organizations

of the Treadway Commission (COSO 2013) em relação aos processos de negócio e controlos globais e pelo Control

Objectives for Information and Related Technologies (COBIT) em relação aos controlos gerais de tecnologias de

informação.

O Plano de Atividades do ano de 2017 foi realizado tendo por base dois blocos estruturantes, as atividades inerentes à

atualização, manutenção e monitorização do SCIRF e as atividades relativas a projetos específicos de manutenção e

implementação das ferramentas de apoio.

No âmbito das atividades relativas à evolução, qualidade e manutenção do Sistema, foram revistas as metodologias de

identificação do modelo de âmbito em linha com as melhores práticas internacionais, bem como documentadas revisões

analíticas trimestrais.

4,6

4,7

4,8

4,9

RESULTADOS DOS INQUÉRITOS

Fiabilidade da Informação Financeira Eficácia, Eficiência Operacional e Normativos Sistemas de Informação Auditoria Contínua


32

33



34

4.4.1. APRESENTAÇÃO DO SCIRF 2017 NO UNIVERSO DO GRUPO EDP

As atividades programadas no âmbito do ciclo de avaliação do SCIRF 2017, decorreram de acordo com o previsto e

acordado com o Auditor Externo (AE), a KPMG, nas Geografias de Portugal, EDP Espanha e EDP Renováveis e pela PWC

na EDP Brasil, segundo a metodologia e a coordenação do AE do Grupo. Neste sentido foram desenvolvidas as seguintes

atividades:

• Planeamento e monitorização do ciclo, manutenção e revisão dos modelos de referência, apoio metodológico e

conceptual às Unidades Empresariais (UE) e Unidades de Negócios (UN).

• Apuramento do âmbito do SCIRF 2017 com base nas demonstrações financeiras de 31.12.2016 (Grupo e stand

alone) e identificação dos temas a incorporar pela análise de risco – o modelo de identificação do âmbito do SCIRF

foi objeto de revisão. Procedemos à alteração do modelo de cálculo da materialidade passando a utilizar como

referencial o Resultado Antes de Imposto - RAI - (normalizado, ou seja, corrigido de operações não correntes) em

vez do EBIT em linha com as melhores práticas internacionais.

• Apoio às UE/UN na documentação/revisão de novos controlos e redesenho dos existentes.

• Apoio e acompanhamento da avaliação do ciclo SCIRF 2017 promovido pelo AE em termos de planeamento e

interação com as UE/UN, acompanhamento da resolução das Não Conformidades (NC) e reporte às entidades de

supervisão.

• Lançamento e apoio na realização do processo de auto-certificação do SCIRF 2017 - o processo através do qual os

responsáveis do controlo interno das UE/UN, aos diversos níveis, declaram o seu reconhecimento explícito quanto

à suficiência ou insuficiência da documentação dos controlos em termos de atualização e adequação, execução e

manutenção das evidências, aprovação e implementação das ações inerentes à resolução de NC, se aplicável e

cumprimento do código de ética.

• Realização do processo de autoavaliação do ciclo SCIRF 2017, através do qual o CAE, representado pelo CEO e CFO,

emitem um relatório de responsabilidade sobre o grau de segurança e fiabilidade da preparação e apresentação das

demonstrações financeiras consolidadas.

• A avaliação do SCIRF 2017 foi efetuada pelo AE do Grupo, a KPMG, de acordo com a Norma Internacional sobre

Trabalhos de Garantia de Fiabilidade ISAE 3000 - International Standard on Assurance Engagements, em todas as

geografias abrangidas pelo modelo de âmbito e com o apoio da PWC, no caso específico da EDP Brasil.

O Auditor Externo emitiu um relatório independente sobre o SCIRF do Grupo relativo às demonstrações financeiras de

31 de dezembro de 2017, sem reservas e sem ênfase.

4.4.2. OUTRAS ATIVIDADES DECORRENTES DO TRABALHO DE MANUTENÇÃO DO SCIRF

Das atividades não recorrentes propostas no Plano de Atividades de 2017, destacamos a parametrização da nova

ferramenta eGRC de apoio ao SCIRF e Compliance, adquirida à Bwise no ano de 2016, para utilização transversal em

todas as Geografias.

35


4.5. COMPLIANCE

A função de Compliance, com o objetivo de contribuir para uma gestão eficiente do cumprimento das obrigações legais

e regulatórias nos países e negócios do Grupo EDP, registou, ao longo do ano de 2017, uma significativa atuação em

áreas de grande relevância para a organização, quer através do desenvolvimento do Programa Global de Compliance

quer dos Programas Específicos de Compliance identificados no roadmap com a definição dos âmbitos de atuação

prioritários, sendo de destacar os seguintes:

Proteção de Dados Pessoais (Transversal)

O projeto para preparar a implementação na EDP do novo Regulamento Europeu de Proteção de Dados Pessoais

(Regulamento Geral de Proteção de Dados – RGPD), durante o ano de 2017, foi desenvolvido em Portugal, Espanha e

EDP Renováveis (Europa) e contemplou as seguintes fases: (i) Identificação dos requisitos do RGPD e inventário das

atividades de tratamento de dados pessoais e diagnóstico das práticas de gestão atuais; (ii) Análise de “gaps” face aos

requisitos do RGPD; (iii) Análise de risco das atividades de tratamento de dados; e (iv) Definição de Planos de Ação de

adequação ao RGPD.

Os Planos de Ação contemplam medidas de adequação transversais (orientações gerais, políticas e procedimentos),

medidas específicas de adequação de processos de negócio e medidas de adequação dos sistemas de informação (ao

nível do desenvolvimento de requisitos funcionais e ao nível da segurança de informação). Para a sua implementação,

foram criados grupos de trabalho em cada unidade de negócio e na DSI, com o apoio e acompanhamento da área de

Compliance. Concretamente, em Portugal e Espanha estiveram envolvidas neste projeto 112 áreas, foram identificadas

566 atividades de tratamento de dados pessoais, inventariados 89 sistemas de informação de suporte com prioridade

muito alta ou alta e definidas 381 medidas de adequação dos processos de negócio e 16 medidas de adequação dos

sistemas de informação.

Este projeto prolongar-se-á pelo ano de 2018 no que diz respeito ao acompanhamento e apoio aos grupos de trabalho

das unidades de negócio e da DSI para implementação dos respetivos Planos de Ação e na capacitação, sensibilização e

formação dos colaboradores do grupo EDP, de modo a dar resposta aos requisitos do RGPD.

Prevenção de Responsabilidade Penal das Pessoas Jurídicas (Espanha e Renováveis)

Na sequência do trabalho iniciado em 2016 para a revisão e adequação dos modelos existentes na EDP Espanha e na

EDP Renováveis, tendo em consideração, entre outras, as alterações organizativas e as novidades legais acontecidas

desde a sua implementação, foi definido em 2017 para a EDP Espanha um Plano de ação com medidas que contribuirão

para o reforço dos mecanismos de prevenção e deteção de delitos. Na EDP Renováveis a revisão do modelo encontrava-

se em fase de conclusão no final de 2017 e o plano de ação de melhoria em fase de validação interna.

Prevenção da Corrupção (Transversal)

A orientação no sentido da implementação e manutenção de uma cultura de integridade e de mecanismos uniformes

aplicáveis a todo o grupo em matéria de prevenção da corrupção, a par das exigências regulatórias de implementação

de mecanismos de Compliance nesta área, em várias geografias em que o Grupo se encontra presente, e as tendências

do mercado levaram à identificação deste âmbito normativo com vista ao desenvolvimento do respetivo Programa

Específico de Compliance.

O desenvolvimento deste PEC passa pela definição de normas e procedimentos específicos que possam ter um alcance

transversal (ainda que com as necessárias adaptações locais), bem como a monitorização da sua aplicação (com a

colaboração das áreas de Compliance, da secretaria geral e assessoria jurídica das diferentes geografias e do provedor

de ética), assim como a implementação de controlos que podem afetar diversas áreas das diferentes empresas do grupo.

Tendo como ponto de partida os diferentes mecanismos previamente desenvolvidos quer ao nível do grupo (e.g. Código

de Ética, canal de denúncias, Instruções Vinculantes), quer ao nível das diferentes geografias, foi realizada a identificação

das melhores práticas de mercado e uma análise das medidas com potencial para aplicação transversal ao Grupo EDP.


36

Com base neste trabalho, foi desenhado um referencial para a eventual estruturação do PEC de Prevenção da Corrupção,

abordando a análise das principais áreas de risco e dos principais mecanismos possíveis de mitigação, incluindo o

desenvolvimento de uma eventual abordagem de Política de integridade do grupo e de eventuais mecanismos de due

diligence de integridade de terceiros. No final de 2017 encontrava-se em fase de decisão a forma de estruturação do

modelo de políticas e normas internas a adotar em matéria de integridade, bem como a decisão sobre a realização de

due diligences e respetivo âmbito e nível de profundidade.

Separação Jurídica de Atividades dos Operadores de Rede de Distribuição (Portugal e Espanha)

Dando continuidade às iniciativas realizadas em anos anteriores de acompanhamento dos mecanismos que permitem

reforçar o cumprimento dos requisitos legais e regulamentares em matéria de separação de atividades das empresas

distribuidoras de eletricidade e de gás natural, quer em Portugal, quer em Espanha, durante o ano de 2017:

• Manteve-se em Portugal o processo de implementação e acompanhamento de medidas de reforço do programa de

compliance de separação de atividades, bem como a realização de pontos de situação periódicos com os grupos de

trabalho criados para a gestão dessas medidas. Na sequência da venda do negócio de distribuição da EDP Gás

ocorrida em 2017, passaram a ser acompanhadas apenas as medidas associadas aos operadores de rede de

distribuição de eletricidade.

• Com o objetivo de garantir a manutenção de controlos de compliance, foi realizada em Portugal a revisão e

atualização de 62 processos operacionais documentados, bem como dos respetivos controlos de cumprimento

implementados.

• Em Espanha, de forma complementar ao processo habitual de melhoria contínua focado na identificação e

implementação de mecanismos de controlo para reforçar a prevenção de eventuais incidências em matéria de

separação de atividades, encontrava-se em curso no final de 2017 a revisão e atualização de determinados

documentos formais que integram o framework do modelo de cumprimento existente sobre esta matéria.

Obrigações Legais da Concorrência (Portugal e Espanha)

No decurso do trabalho realizado em parceria com a DRC – Direção de Regulação e Concorrência, em Portugal, foram

identificados e sistematizados os principais riscos de concorrência, identificados os principais comportamentos de risco

que podem comprometer os requisitos legais e regulamentares da concorrência e elaborada uma proposta de atividades

de controlo e de procedimentos específicos.

Com base nos elementos anteriores foi definido um plano de ação com as atividades a desenvolver para implementação

do PEC de Obrigações Legais da Concorrência, posteriormente aprovado pelo CAE (abril/2017). No âmbito da

implementação do plano de ação aprovado para desenvolvimento do PEC foi ainda definido um modelo de Manual de

regras de conduta da concorrência que no final de 2017 se encontrava em fase de conclusão. Foram realizadas reuniões

de pontos de situação periódicos com a DRC para acompanhamento do Plano de Ação de implementação do PEC da

Concorrência. No final de 2017, foram ainda realizadas as primeiras reuniões para validação de conformidade de

procedimentos já existentes em matéria de concorrência com os Compliance Business Partners da EDP Comercial, EDP

Distribuição e UNGE.

Por outro lado, durante 2017 em Espanha, empreendeu-se um trabalho similar de identificação e sistematização de

potenciais comportamentos de risco nesta matéria. Este trabalho, em curso no final de 2017 será concluído durante o

primeiro semestre de 2018 com a identificação dos mecanismos de controlo implementados que mitigam esses riscos e

com a identificação de eventuais medidas adicionais que devam ser implementadas.

37


Fiscal (Renováveis)

O trabalho realizado em 2017 focou-se na análise do ambiente de controlo da função de gestão de Tax Compliance na

EDP Renováveis Europa, no sentido de identificar os principais riscos e respetivos mecanismos de controlo mitigantes

existentes e/ou a desenvolver. A metodologia utilizada consistiu na (i) identificação dos principais comportamentos de

risco, (ii) sistematização dos principais riscos de incumprimento fiscal e (iii) definição de um plano de ação e das

respetivas iniciativas a desenvolver de modo a reforçar o ambiente de controlo, incluindo a identificação dos respetivos

responsáveis e datas objetivo para a sua implementação. Com base na aplicação desta metodologia, no final de 2017,

estava desenhado o referencial na EDP Renováveis e definido e praticamente implementado na totalidade o plano de

iniciativas de reforço do ambiente de controlo.

Temas Regulatórios (EDP Distribuição, EDP Comercial, EDP Serviço Universal)

A relevância dos temas regulatórios advém do papel desempenhado pelas empresas do grupo no quadro do setor

energético, aos quais se encontram associadas penalidades em caso de incumprimento, no quadro do Regime

Sancionatório (Portugal). No âmbito dos temas regulatórios da EDP Distribuição, consideraram-se os seguintes PECs: (i)

Mudança de Comercializador; (ii) Qualidade de Serviço Técnica; (iii) Qualidade de Serviço Comercial; (iv) Medição e

Disponibilização de Dados; (v) Regulação Económica; (vi) Infraestruturas críticas; e (vii) Apoios Sociais.

Em 2017, foi realizado o planeamento geral da implementação destes PECs e foi estruturado o PEC de Apoios Sociais,

quer na vertente do operador de rede, que na vertente das empresas comercializadoras do grupo, tendo em conta as

especificidades da aplicação da tarifa social aos seus clientes, tendo sido definidos os respetivos planos de ação,

identificando iniciativas de reforço de procedimentos e de mecanismos de controlo associados ao cumprimento dos

requisitos regulatórios em causa. Ainda em 2017, a área de Compliance acompanhou e apoiou a EDP Distribuição no

âmbito da realização de uma auditoria externa promovida pela ERSE ao cumprimento do Regulamento de Qualidade de

Serviço.

Branqueamento de Capitais e Financiamento do Terrorismo (Transversal)

No âmbito da transposição das Diretivas Europeias correspondentes, Portugal adotou em 2017 um conjunto de

legislação, principalmente relacionada com o combate ao branqueamento de capitais e financiamento ao terrorismo, das

quais as mais relevantes são: (i) Lei do combate ao Branqueamento de Capitais e Financiamento ao Terrorismo (BCFT),

lei 83/2017 de 18 de Agosto: Estabelece medidas de combate ao branqueamento de capitais e ao financiamento do

terrorismo, transpõe parcialmente as Diretivas 2015/849/UE, do Parlamento Europeu e do Conselho, de 20 de maio de

2015, e 2016/2258/UE, do Conselho, de 6 de dezembro de 2016, altera o Código Penal e o Código da Propriedade

Industrial e revoga a Lei n.º 25/2008, de 5 de junho, e o Decreto -Lei n.º 125/2008, de 21 de julho; (ii) Regulamento

do Registo Central do Beneficiário Efetivo, previsto na Lei BCFT, lei 89/2017 de 21 de Agosto; (iii) Lei 92/2017, de 22

de Agosto, que altera a Lei Geral Tributária e o Regime Geral das Infrações Tributárias, que restringe o pagamento ou

recebimento de valores superiores a € 3.000,00 em dinheiro.

O desenvolvimento deste PEC passa pela definição do modelo de risco a adotar, definição de normas e procedimentos

específicos que possam ter um alcance transversal (ainda que com as necessárias adaptações locais), bem como a

monitorização da sua aplicação (com a colaboração das unidades de negócio onde se aplique), assim como a

implementação de controlos e auditorias recorrentes. Em articulação com a Secretaria Geral e Apoio Jurídico (SGAJ), foi

realizada uma análise, relativa à aplicação ao Grupo EDP deste conjunto de normativos legais, na qual são identificadas

empresas obrigadas e não obrigadas. No âmbito das empresas obrigadas, o grupo inclui as seguintes atividades:

comerciais, prestação de serviços, imobiliárias, mediadoras e sociedades de investimento.


38

4.6. OUTRAS ATIVIDADES E PROJETOS

• Manutenção da colaboração, no âmbito da atividade da área de Compliance, com as empresas do Grupo que são

objeto de auditorias externas regulatórias (entre outros, na preparação dos cadernos de encargos das auditorias,

seleção das empresas que as realizarão, acompanhamento dos resultados das mesmas e desenvolvimento de

eventuais planos de implementação de melhorias).

• Colaboração com a DCMC – Direção de Coordenação Global da Marca, Marketing e Comunicação, na elaboração de

um artigo sobre o âmbito de atuação da função de Compliance e sistema de compliance do Grupo EDP para a Revista

edpon de setembro de 2017 e na definição de um plano de comunicação relativo ao PEC de Proteção de Dados

Pessoais e à adequação da EDP aos requisitos do RGPD.

• Desenvolvimento do projeto de “Assessement” de Controlo Interno às atividades da Hydro Global em Hong Kong.

• Acompanhamento da implementação do projeto JUMP da EDP Distribuição.

• Finalização do upgrade da aplicação de apoio à auditoria TeamMate, da versão 8.2 para a versão 11.2.

• Colaboração com a DSI – Direção de Sistemas de Informação na análise e implementação de uma ferramenta de

Logging para os sistemas SAP - Read Access Logging (RAL).

• Implementação da aplicação Âmbito, para cálculo e determinação do âmbito anual SCIRF, com base na informação

extraída do Financial Consolidation.

• Implementação do Real Time Audit, com acesso em tempo real aos eventos que estão a ocorrer nas aplicações SAP

e às aplicações suportadas em bases de dados SQL Server e Oracle, constituída por 2 módulos, sendo um formado

pelos programas que se conectam aos diferentes sistemas para deteção e avaliação dos eventos e outro, constituído

por diferentes dashboards e relatórios que fazem a monitorização dos alertas que vão sendo gerados, para análise

e eventual tratamento/intervenção/encaminhamento.

• Execução do projeto de implementação da aplicação eGRC (BWise) para substituição da atual, para suporte ao

Sistema de Controlo Interno e área de Compliance do Grupo EDP.

• Definição e implementação de novas auditorias contínuas, implementação de novos indicadores em algumas das

existentes, inclusão de novas aplicações sujeitas a análise periódica.

• Participação no projeto AWS para adaptação do Re:dy face ao novo Regulamento Geral de Proteção de Dados, no

âmbito da mobilidade temporária.

• Acompanhamento na Auditoria de Segurança aos Sistemas de Informação – IT e OT, promovida pela DSI e

executada por entidade externa.

39



40

41


RECURSOS HUMANOS

Número de Colaboradores 45

Formação Profissional 46


42

43



44

45


05

RECURSOS HUMANOS

5.1. NÚMERO DE COLABORADORES

O número total de colaboradores efetivos ao serviço das diversas Direções de Auditoria Interna e Compliance do Grupo

EDP, reportado a 31 de dezembro de 2017, foi de 65.

O ano de 2017 ficou marcado por alterações significativas ao nível da estrutura e dimensão da Direção de Auditoria

Interna e Compliance, aumentando cerca de 8% face a 2016, devido aos seguintes acontecimentos:

• Reforço da equipa, em Portugal, resultante da entrada de cinco novos colaboradores para a área de Auditoria Interna

e três colaboradores para a equipa de Compliance, sendo dois por mobilidade interna, provenientes da DAIC do

Brasil e da EDP Distribuição.

• Dois colaboradores saíram da equipa DAIC Portugal, um através de uma mobilidade interna para a EDP Soluções

Comerciais e outro para uma oportunidade no exterior.

• Para além do quadro de colaboradores descrito acima, no decurso do ano de 2017, foram admitidos seis novos

estagiários em Portugal, pelo período de 9 meses, provenientes do exterior do Grupo, tendo em vista auxiliar as

áreas de auditoria operacional e financeira, do SCIRF e de apoio à Gestão, bem como dar a oportunidade a jovens

licenciados de terem o seu primeiro contacto com a realidade empresarial.

• A equipa da EDP Brasil voltou a aumentar por via de duas novas entradas, um colaborador vindo do exterior da

empresa e outro proveniente de uma mobilidade interna da Fundação EDP, no entanto ocorreu uma saída para a

área do Compliance da DAIC Portugal.

• Este ano na EDP Espanha não foram admitidos novos colaboradores, no entanto ocorreram três saídas, uma das

quais devido a uma oportunidade de mobilidade interna e duas devido à venda da Naturgás Energía.

• Reforço da equipa da EDP Renováveis com a admissão de um colaborador.


46

5.2. FORMAÇÃO PROFISSIONAL

No quadro seguinte, apresenta-se um resumo das ações de formação frequentadas pelos colaboradores, por domínio e

área formativa, para todas as geografias.

QUADRO RESUMO FORMAÇÃO PROFISSIONAL 2017

Resumo das ações de formação, por tema, promovidas interna e externamente, para as geografias

de Portugal, Espanha, Brasil e EUA

DOMÍNIO FORMATIVO ÁREA FORMATIVA TOTAL %

Comportamental 234 12%

Relações interpessoais e comunicação 141

Liderança 44

Ética 38

Inteligência Emocional 11

Gestão 209 10%

MBA / Mestrado / Pós-Graduação 112

Finanças 55

Gestão 26

Gestão de Projetos 16

Organizacional 230 11%

Sessões de Acolhimento 79

Energizing Development Program 57

Institucional 41

Lead Now 40

Recursos Humanos 13

Técnica 1.358 67%

Controlo Interno 298

Compliance 143

Sistemas de Informação 138

Negócio de Energia 136

IPAI / IIA 112


Microsoft Office 90

Prevenção e Segurança 72

Amostragem em Auditoria 67

Línguas 64

CIA 56

Gestão de Risco / Fraude 46

Cibersegurança 12

Sustentabilidade 12

Legal / Regulação 8

Outras 7

TOTAL 2.032 100%

47


O total de horas de formação, em 2017, foi de 2.032 horas, o que representa uma diminuição de cerca de 26% face a

2016 (2.733 horas). O número médio de horas de formação por colaborador foi, em 2017, de 31 horas, o que representa

uma diminuição de cerca de 31% face a 2016 (em que o número médio foi de 46 horas) e uma diminuição significativa

relativamente ao referencial de 90 horas por auditor, de acordo com o benchmark internacional Global Audit Information

Network – GAIN Report 2016 para as empresas do setor da Energia. Apesar do aumento do número de auditores em

8%, esta variação positiva não se refletiu no número de horas de formação. Este decréscimo de horas de formação está

em linha com a tendência registada no Grupo, decorrente da diminuição do valor orçamentado para este tipo de

atividades.

Adicionalmente, destaca-se uma atividade contínua de formação, on job, no desenvolvimento dos trabalhos realizados.

DESTACA-SE A FORMAÇÃO COMPLEMENTAR DE ALGUNS COLABORADORES:

NÍVEL DE FORMAÇÃO COMPLEMENTAR

COLABORADORES

Doutoramento 1 colaborador

MBA

Concluído: 7 colaboradores

Em formação: 2 colaboradores

Mestrado ou Pós-Graduação 20 colaboradores (nas áreas de Finanças, Fiscalidade, Auditoria, Gestão e

Contabilidade)

Certificação CIA

Concluído: 10 colaboradores

Em processo de conclusão: 8 colaboradores

Certificações Complementares

CISA (Certified Information Systems Auditor): 1 colaborador

CRMA (Certified in Risk Management Assurance): 1 colaborador

CAMS (Certified Anti-Money Laundering Specialist): 1 colaborador (Em curso)

COBIT (Framework for the governance and management of entreprise IT): 1

colaborador


48

49


PERSPETIVAS PARA 2018


Sistema de Controlo Interno do Relato

Financeiro 52

Compliance 53

Outras Atividades 53


50

51



52

06

PERSPETIVAS PARA 2018

6.1. AUDITORIA INTERNA

Dentro do plano de atividades a executar durante 2018 destacamos os seguintes temas:

• Crescente ênfase na execução de diagnósticos de controlo interno em subsidiárias e/ou entidades vinculadas ao

Grupo EDP, obtendo desta forma uma visão abrangente do conjunto de atividades de negócio e suporte realizadas

nessas entidades e dos mecanismos de controlo interno efetivamente implementados.

• Levantamento de uma matriz de eventuais condutas potenciais de risco com impacto no Grupo associadas à

existência de incentivos operacionais e/ou a potenciais comportamentos maliciosos, como mecanismo de apoio

complementar aos mapas de risco existentes na seleção e priorização de revisões de auditoria interna.

• Revisão do Manual de Auditoria Interna com o objetivo de reforçar as salvaguardas exigidas pelo Regulamento

Europeu de Proteção de Dados Pessoais na execução de auditorias internas onde seja requerido o tratamento de

dados dessa natureza.

• Continuação do desenvolvimento de uma iniciativa de auditoria contínua em matéria de tesouraria.

6.2. SISTEMA DE CONTROLO INTERNO DO RELATO FINANCEIRO

O Plano de Atividades do Sistema de Controlo Interno do Relato Financeiro do Grupo EDP, foi estruturado tendo por

base o conjunto de atividades inerentes à manutenção, monitorização e avaliação do ciclo SCIRF 2018, bem como o

conjunto de temas adicionais que contribuem para a melhoria continua e robustez do sistema.

O contrato de avaliação com o AE- Auditor Externo, PwC, prevê a emissão de um Relatório Independente de Avaliação

do Sistema de Controlo Interno do Relato Financeiro do Grupo, bem como a emissão de Relatórios Independentes stand

alone da EDP Espanha, EDP Renováveis e EDP Brasil, em linha com os compromissos assumidos perante o mercado e

disponibilizados nos respetivos Relatórios e Contas.

A contratação do novo AE vai exigir um esforço adicional de adaptação, articulação e coordenação entre equipas, do

qual resultará, certamente, a criação de valor para as entidades envolvidas.

Os trabalhos de migração e implementação da nova ferramenta eGRC de apoio ao SCIRF e Compliance, parametrizada

no exercício de 2017, devem ser concluídos e implementados no decurso do ano.

De acordo com o plano de atividades previsto para o ano de 2018, relativos à Gestão do ciclo SCIRF,

destacam-se os seguintes temas:

• Identificação do âmbito do SCIRF 2018 com base nas demonstrações financeiras de 31 de dezembro de 2017 (Grupo

e stand alone).

• Apoio às UE/UN na documentação/revisão dos controlos.

• Apoio e acompanhamento da avaliação do ciclo SCIRF 2018, promovida pelo AE.

• Lançamento da auto-certificação dos controlos.

• Monitorização do grau de resolução das Não Conformidades.

• Monitorização da emissão ISAE 3402, relativa aos prestadores de serviços.

53


Relativamente à componente de organização, métodos, processos, metodologias e ferramentas de suporte

destacamos:

• Apoio decorrente da implementação do projeto JUMP.

• Apoio ao projeto de reestruturação da EDP Soluções Comerciais.

• Implementação da ferramenta eGRC em todas as Geografias.

• Revisão do manual de utilizador e modelo de responsabilidades.

• Revisão do manual de formação em articulação com a Universidade EDP.

• Análise ao ambiente de controlo da Fundação EDP.

6.3. COMPLIANCE

Durante o ano de 2018, a área de Compliance, na sua esfera de atuação, continuará a promover / assessorar as

diferentes áreas envolvidas, nomeadamente no que diz respeito aos âmbitos normativos mais relevantes, com especial

destaque para o tema da proteção de dados pessoais, colaborando, entre outros aspetos, na realização de análises de

risco e na identificação e documentação de procedimentos e controlos mitigantes.

Adicionalmente, ao longo do ano de 2018, está prevista a definição e implementação de novos elementos estruturais do

Programa Global de Compliance com vista ao seu reforço e sistematização, no que respeita nomeadamente à:

• Definição e implementação de políticas e normas de caráter transversal relativas a Compliance (e.g. Política de

Compliance).

• Sistematização do processo de monitorização de alterações legais e regulamentares.

• Sistematização de mecanismos de monitorização e alinhamento das atividades desenvolvidas nas várias empresas

/ geografias.

• Realização de ações de formação e sensibilização transversais sobre os modelos de prevenção de responsabilidade

penal das pessoas jurídicas e sobre o PEC de Proteção de Dados Pessoais.

• Desenvolvimento de conteúdos (referenciais, guias, documentos de sensibilização, etc.) para a página da área de

Compliance na intranet EDP.

Adicionalmente, a área de Compliance continuará a apoiar as diferentes UE/UN no acompanhamento dos trabalhos de

auditorias externas regulatórias, assim como no seguimento de eventuais planos de implementação de recomendações

e continuará também a assegurar um papel de “assessor interno” para temas de Compliance de caráter geral

(metodologia, ferramentas, procedimentos transversais, etc.).

6.4. OUTRAS ATIVIDADES

Adicionalmente às atividades referidas destaca-se ainda a manutenção do programa de monitorização de estágios

profissionais a licenciados, no âmbito da participação do Grupo no programa de responsabilidade social.


54

UIC

55


Edição

EDP – Energias de Portugal, S.A. DAIC – Direção de Auditoria Interna e Compliance Gabinete de Qualidade e Melhoria Contínua Av. 24 de Julho,12 1249-300 Lisboa

Conceito

HAVAS, Design Portugal, Lda. Paginação EDP – Energias de Portugal, S.A. Fotografia MAAT

FG+SG


56

Documents

THE LIVING ENERGY BOOK - edp.com · A execução e monitorização do Plano de Atividades das ... SAP e às bases de dados SQL Server e ... a projetos específicos de manutenção