SONAE RELATÓRIO DO GOVERNO DA SOCIEDADE 2012 || 070
CONTROLO
DOS RISCOS
7.1. Objetivos da Gestão de Risco
A Gestão de Risco é uma das componentes da cultura da Sonae e um pilar do Governo da Sociedade, estando presente em todos os processos de gestão, sendo uma responsabilidade de todos os colaboradores do Grupo, nos diferentes níveis da organização.
A Gestão de Risco é desenvolvida tendo como objetivo a criação de valor, através da gestão e controlo das opor- tunidades e ameaças que podem afetar os objetivos de negócio e das empresas da Sonae, numa perspetiva de continuidade dos negócios. A par da Gestão Ambiental e da Responsabilidade Social, a Gestão de Risco é uma das componentes do desenvolvimento sustentável das em- presas, uma vez que contribui para um desenvolvimento continuado dos negócios, através de um maior conhecimento e de uma gestão mais efetiva dos riscos que podem afetar as organizações.
7.2. Os processos de Gestão de Risco
Como abordagem estruturada e disciplinada que alinha estratégia, processos, pessoas, tecnologias e conhecimento, a Gestão de Risco está integrada em todo o processo de planeamento da Sonae. O seu objetivo é identificar, avaliar e gerir as incertezas e ameaças que os negócios da Sonae enfrentam na prossecução dos seus objetivos de criação de valor.A gestão e monitorização pela Sonae dos seus principais riscos é alcançada através de diferentes abordagens, entre as quais:
(i) No âmbito do planeamento estratégico, são identificados e avaliados os riscos do portfólio de negócios existente, bem como do desenvolvimento de novos negócios e dos projetos mais relevantes, e definidas as estratégias de gestão desses riscos;
(ii) No plano operacional, são identificados e avaliados os riscos de gestão dos objetivos de negócio e planeadas ações de gestão desses riscos, que são incluídas e moni- torizadas no âmbito dos planos das unidades de negócio e das unidades funcionais;
(iii) Nos riscos de natureza mais transversal, nomeadamente em grandes projetos de mudança da organização, nos planos de contingência e de continuidade dos negócios, são desenvolvidos programas estruturados de gestão de risco com a participação dos responsáveis das unidades e funções envolvidas;
(iv) No que diz respeito aos riscos de segurança dos ativos tangíveis e das pessoas (riscos “técnico-operacionais”), são realizadas auditorias às unidades principais e implemen- tadas ações preventivas e corretivas dos riscos identi- ficados. Regularmente, é reavaliada a cobertura financeira dos riscos seguráveis;
(v) A gestão dos riscos financeiros é efetuada e monitorizada no âmbito das funções financeiras da Sociedade e dos negócios, cuja atividade é reportada, coordenada e acompanhada em sede da Comissão de Finanças da Sonae e da Comissão de Auditoria e Finanças do Conselho de Administração;
(vi) A gestão dos riscos jurídicos é efetuada e monitorizada no âmbito das assessorias legais e fiscais.
O processo de gestão de risco é apoiado por uma metodologia uniforme e sistemática, tendo por base um padrão inter- nacional1 que compreende nomeadamente o seguinte: (I) Definição e agrupamento dos riscos (dicionário de riscos, definição e matriz de risco do negócio);
(II) Identificação e sistematização dos riscos que podem afetar a organização (“linguagem comum”);
1 Enterprise Risk Management Integrated Framework do COSO (Committee of Sponsoring Organizations of the Treadway Commission)
(III) Avaliação e atribuição de grau de criticidade e prioridade aos riscos, em função do impacto nos objetivos dos negócios e da probabilidade de ocorrência;
(IV) Identificação das causas dos riscos mais importantes; (V) Avaliação das estratégias de gestão de risco (p.e., aceitar, evitar, mitigar, transferir);
(VI) Desenvolvimento de um plano de ação de gestão de risco e sua integração nos processos de planeamento e de gestão das unidades e das funções da Sonae;
(VII) Monitorização e reporte do progresso de implementação do plano de ações e da evolução dos riscos.
7.3. A Organização da Gestão de Risco
A atividade de Gestão de Risco é da responsabilidade de todos os gestores e colaboradores da Sonae, e é apoiada e suportada pelas funções de Gestão de Risco, Auditoria Interna e Planeamento e Controlo de Gestão, tanto ao nível da Sociedade como dos negócios, através de equipas especializadas que reportam hierarquicamente aos res- petivos Conselhos de Administração.A função de Gestão de Risco tem por missão apoiar as empresas a atingirem os seus objetivos de negócio através de uma abordagem sistemática e estruturada de identificação e gestão dos riscos e das oportunidades.
A função de Auditoria Interna tem por missão identificar e avaliar a eficácia e eficiência da gestão e do controlo dos riscos dos processos de negócio e dos sistemas de infor- mação, reportando funcionalmente ao Conselho Fiscal. A função de Planeamento e Controlo de Gestão promove e apoia a integração da gestão de risco no processo de planea- mento e controlo de gestão das empresas.
De salientar que os riscos de fiabilidade e integridade da informação contabilística e financeira são igualmente avalia- dos e reportdos pela atividade de Auditoria Externa.
O Conselho Fiscal e o Conselho de Administração, através da sua Comissão de Auditoria e Finanças, monitorizam as atividades da Auditoria Interna e da Gestão de Risco.
7.4. Formação e desenvolvimento em
Gestão de Risco e Auditoria Interna
1. No que respeita ao desenvolvimento da função de Auditoria Interna, em 2012 a Sonae continuou a patrocinar alguns colaboradores que se candidataram à certificação interna- cional em programas promovidos pelo IIA (The Institute of Internal Auditors) – o Certified Internal Auditor (CIA) e o Certification in Control Self Assessment (CCSA). Em 2012 foi obtida uma nova certificação, também promovida pelo IIA, o Certification in Risk Management Assurance (CRMA). Verifica-se ainda a existência de outras certificações em Auditoria Interna, entre as quais o Certified Information System Auditor (CISA), Certified Information Security Management (CISM), Certified Information System Security Professional (CISSP), ISO/IEC 27001: 2005, ISO 27001 Lead Implementer, Certified Fraud Examiner (CFE), Security Certified Network Professional (SCNP), CEH (Certified Ethical Hacker), Cisco Certified Network Association (CCNA) e CRISC- Certified in Risk and Information Systems Control. 2. Considerando a importância da formação continua e a existência de recursos internos certificados com conhe- cimentos e competências para promover ações de formação (alguns dos quais participam regularmente como formadores em formações externas), foi criada a Academia de Auditoria Interna, assente nos seguintes vetores principais: elaboração de descritivos funcionais; portefólio de competências por função (técnicas e comportamentais); e percursos formativos por função.3. No que respeita ao desenvolvimento da função de Gestão de Risco, em 2012 a Sonae continuou a patrocinar os seus colaboradores que se candidataram à certificação inter- nacional em programas promovidos pelo IIA (The Institute of Internal Auditors) – o Certified Risk Management Assurance (CRMA) e pelo IRM (Institute of Risk Management) – Certification in Risk Management. Presentemente, o Grupo Sonae tem ainda colaboradores com as seguintes certificações: Management of Risk Foundation & Practitioner (MoR), Associated Business Continuity Professional (ABCP), Certified by Business Continuity Institute (CBCI), Certified Continuity Manager (CCM), BS 25999 Business Continuity Management
A Sonae é uma das organizações com maior número de colaboradores certificados em auditoria interna e gestão de risco em Portugal. Em 2013, a Sonae continuará a patrocinar este importante programa de formação, desenvolvimento e certificação internacional dos seus colaboradores de auditoria interna e gestão de risco, de acordo com as melhores práticas internacionais
CONTROLO DOS RISCOS
7.5. Ações implementadas em 2012
Em 2012 os Grupos de Acompanhamento de Risco (GAR) formados por membros das Comissões Executivas dos vários negócios de Retalho (Sonae MC, Sonae SR e Sonae RP), deram seguimento ao processo anual de Enterprise Wide Risk Management, que tem por base as atividades a seguir descritas:
Outputs