Direcção de Risco, Controlo Interno e Compliance
Julho 2022
Título do Documento | Política de Controlo Interno |
Proprietário | Direcção de Risco, Controlo Interno e Compliance |
Aprovador | Conselho de Administração Unitel Money |
Classificação de Confidencialidade | Uso Interno |
Lista de Distribuição | Geral Unitel SPM |
Em vigor desde | 01-Jul-2022 |
Próxima revisão | 01-Jul-2023 |
Este documento deve ser alvo de uma monitorização contínua e sujeito a uma revisão regular que deve ocorrer pelo menos anualmente, ou sempre que existir uma alteração significativa ao contexto.
Versão | Data | Acção | Área | Responsável | Notas |
v1.0 | Abr-2021 | Criação | DRCIC | Pedro Moreira | Draft inicial |
v1.0 | 6-Maio-2021 | Aprovação | CA Unitel SPM | N/A | – |
V1.0.1 | Jun-2021 | Alteração | DRCIC | Pedro Moreira | Actualização da referência à nova Lei n.º 14/21 do Regime Geral das Instituições Financeiras (ponto 1). |
v1.0.1 | 1-Jul-2021 | Aprovação | CA Unitel SPM | N/A | – |
v1.1 | Mai-2022 | Actualização | DRCIC | Pércio Rodrigues Pedro Moreira | Revisão anual |
v1.1 | 10-Jun-2022 | Validação | CACI | N/A | – |
v1.1 | 30-Jun-2022 | Aprovação | CA Unitel SPM | N/A | – |
A presente Política de Controlo Interno (doravante denominada por “Política”) tem como propósito o desenho e estabelecimento do Sistema de Controlo Interno da UNITEL SPM adequado à natureza, dimensão e complexidade da actividade da UNITEL SPM, tal como regulado no Aviso n.º 02/20131 do Banco Nacional de Angola (BNA) que institui a obrigação de estabelecimento de um sistema de controlo que assegure a eficiente e eficaz execução das operações, o controlo dos riscos, a fiabilidade da informação e o cumprimento dos normativos legais e das directrizes internas aplicáveis.
Assim, a presente política de controlo interno, define um conjunto de princípios, estratégias, sistemas, processos, regras e procedimentos alinhados com o framework de controlo interno proposto pelo COSO – Committee of Sponsoring Organizations of the Treadway Commission com vista a garantir:
Este documento está estruturado em cinco capítulos:
A Política de ontrolo Interno é aplicada a toda a estrutura da organização, incluindo colaboradores e membros dos órgãos sociais da UNITEL SPM.
A Política de Controlo Interno corresponde ao conjunto de regras e controlos que regem a estrutura organizativa e operativa da UNITEL SPM, incluindo os processos de reporte e as Funções de Gestão dos Risco, Compliance e Auditoria Interna e segue os princípios das três linhas de defesa (3LoD).
De forma a garantir que este modelo se traduz num controlo interno adequado à actividade e objectivos estabelecidos para a UNITEL SPM, devem ser cumpridos os princípios referidos no Artigo nº 5 do Aviso n.º 02/20132 do BNA:
Segundo o Modelo de Governação de Controlo Interno implementado, é da responsabilidade do Conselho de Administração (CA) estabelecer e supervisionar a adequação e concretização do Sistema de Controlo Interno, aprovando com esse propósito as políticas, os principais mecanismos e os procedimentos de controlo interno. Após aprovação formal, deve ainda garantir os meios de comunicação a toda organização.
De acordo com o Artigo 7º do Aviso n.º 02/20133 do BNA, o Conselho de Administração deve garantir:
O Conselho Fiscal tem como principais competências a fiscalização da administração da instituição, supervisão da Lei e dos Estatutos, e verificação dos registos contabilísticos e financeiros. Ao Conselho Fiscal cabe fiscalizar, juntamente com o Conselho de Administração, os relatórios elaborados pelas Funções de Gestão de Risco, Compliance e Auditoria Interna, nomeadamente os relatórios anuais resultantes da actividade de cada Função e o relatório global sobre o sistema de controlo interno.
De acordo com a regulamentação em vigor, foi estabelecida a Comissão de Auditoria e Controlo Interno, que emana do Conselho de Administração, sendo que esta comissão tem como principais funções:
De forma a cumprir com o objectivo de definir a estrutura de Governação para a controlo interno, é necessário identificar as responsabilidades das áreas envolvidas. Neste contexto, estrutura-se o Modelo de Governação da UNITEL SPM de acordo com o modelo das três linhas de defesa conforme detalhado nos subcapítulos seguintes.
A primeira linha de defesa é constituída por unidades de estrutura comercial e unidades de suporte operacional, sendo estas áreas responsáveis por implementar o framework de Controlo Interno da Unitel SPM, devendo identificar, gerir e mitigar de forma contínua os riscos inerentes à sua actividade.
As unidades de negócio e gestão do risco devem ter em consideração o apetite pelo risco da UNITEL SPM e as suas políticas, processos e limites estabelecidos, devendo a sua actuação reflectir a cultura de risco da instituição promovida pelo Conselho de Administração.
As principais funções da área de negócio e suporte ao negócio são:
A segunda linha de defesa é constituída pela Função de Gestão do Risco e pela Função de Compliance, actuando de forma independente das unidades que controla no exercício da sua actividade. A 2ª LoD tem como objectivo identificar, medir, e definir a apetência e limites para a tomada de risco, sendo da sua responsabilidade a criação de políticas de gestão, a instituição da framework de Controlo Interno e a revisão independente da sua implementação pela 1ª LoD.
As funções da 2ª LoD são organizadas em seis categorias distintas:
A terceira linha de defesa é constituída pela Função de Auditoria Interna, a qual tem por missão, entre outros aspectos, avaliar a eficácia e eficiência do sistema de gestão de risco e sistema de controlo interno, por forma a ajudar a prevenir a materialização de riscos, por meio de uma avaliação sistémica, independente, disciplinada e objectiva.
Por conseguinte, de acordo com o modelo das três linhas de defesa, a Auditoria Interna actua como 3 ªLoD, supervisionando a actuação das 1ª e 2ª LoD, com o objectivo de proporcionar uma abordagem sistemática e disciplinada na avaliação e melhoria dos processos de gestão/controlo dos riscos. A Auditoria Interna visa:
Desta forma, o âmbito de actuação desta função inclui avaliar:
Para maior detalhe, as principais atribuições, funções e responsabilidades da Área de Auditoria Interna definidos pela UNITEL SPM estão formalizadas no Manual de Estrutura e Atribuições e no Regulamento da Área de Auditoria Interna, sendo que ambos estão disponíveis a todos os colaboradores da instituição.
De forma a poder avaliar a criticidade dos riscos na UNITEL SPM, é necessário identificar quais os riscos4 que vão impactar a instituição e a sua operação. A identificação dos riscos é feita a nível processual, através de reuniões com os interlocutores chave de cada área funcional, nomeadamente os técnicos e supervisores de todos os processos e/ou procedimentos a que estão afectos, garantindo que são identificados todos os riscos que possam impactar negativamente a organização. Para maior detalhe, o processo de identificação e avaliação encontra-se formalizado na Política Global de Gestão de Risco.
A área de Controlo Interno classifica os riscos de acordo com a Matriz de Riscos e Controlos definida pela UNITEL SPM, após a identificação e avaliação dos riscos existentes, os mesmos devem ser mitigados através de controlos de forma a minimizar a probabilidade de o risco ocorrer e reduzindo o impacto dentro da instituição.
De modo a mitigar os riscos, os controlos devem ser desenhados e definidos junto dos responsáveis pelos processos e dentro da documentação relativa à execução dos processos. Os controlos podem e devem ser actualizados durante as actividades de controlo interno, tais como na implementação de melhorias na criação de novos processos que possam afectar a mitigação do risco associado.
No âmbito da identificação dos controlos, foi definido o ciclo de vida de cada controlo, sendo este composto pelas seguintes fases:
Os controlos devem reflectir a actividade do controlo, quem realiza a actividade de controlo, o objectivo do controlo, como é realizado o controlo e quando é realizado o controlo, sendo estas características encontradas no Anexo I.
Os controlos que mitigam riscos críticos (impacto médio e alto) são classificados como controlos chave e permitem obter uma visão global do nível risco dentro da Unitel SPM. Os controlos chave contêm actividades de elevada relevância para o alcance dos objectivos, enquanto que os outros controlos são considerados controlos compensatórios.
Na fase de teste, os controlos chave identificados são testados de modo a avaliar a eficácia e eficiência do âmbito de controlo interno e determinar se os controlos mitigam devidamente os riscos associados. Após a fase teste, as irregularidades que necessitam um reajuste serão identificadas assim como as possibilidades de melhoria existentes.
Com o objectivo de assegurar a correcta implementação das funções de controlo interno, a UNITEL SPM procedeu à identificação das áreas responsáveis pela gestão (1 ªLoD) e pelo controlo (2ª LoD) de cada um dos riscos considerados materiais na sua Política Global de Gestão de Risco, estando as responsabilidades de cada área descritas no Anexo II.
O Manual de Controlo Interno (MCI) é uma ferramenta que serve de apoio à identificação, avaliação e mitigação dos riscos em todas as áreas funcionais oferecendo uma visão global e detalhada dos riscos presentes em todos os processos e/ou procedimentos da organização bem como dos controlos existentes que têm como objectivo a sua mitigação. Deste modo, a MCI relaciona os riscos com controlos para sua mitigação.
A área de Controlo Interno é responsável pela elaboração, manutenção e actualização do MCI. Os resultados produzidos pelo MCI devem ser validados pela Comissão de Auditoria e Controlo Interno aprovados pelo Conselho de Administração.
A estrutura do MCI engloba os riscos a serem considerados, os controlos, e a associação entre os riscos e os controlos respectivos. Os riscos e os controlos estão devidamente categorizados de acordo com o Dicionário de Riscos Empresariais e com cada unidade orgânica da organização.
Uma deficiência de controlo interno consiste no erro na concepção, implementação das políticas ou dos processos do sistema de controlo interno com impacto negativo nos seus objectivos e princípios. Existe uma deficiência na concepção quando:
Existe uma deficiência na utilização quando:
No âmbito das actividades de controlo, são identificadas deficiências resultantes das práticas e processos da organização, sendo emitidas recomendações para a correcção das mesmas. Assim, são estabelecidas regras e práticas por forma a reforçar a eficácia e eficiência dos processos de resolução, nomeadamente:
De modo a acompanhar o processo de correcção, foi definida uma escala qualitativa que permite identificar o estado actual do processo de resolução da deficiência, que se encontra no Anexo III.
De modo a corrigir as deficiências de controlo interno, são emitidas recomendações para a melhoria das práticas e processos da instituição, de modo a que estas deficiências sejam encerradas. Após a aprovação do Relatório de Governança Corporativa e Controlo Interno por parte do Conselho de Administração, as Funções de Controlo Interno definem Planos de Acção de forma a implementar as recomendações.
A implementação e planeamento destas recomendações é fundamental de forma a assegurar uma melhoria no processo de controlo interno e proporcionar uma gestão do risco mais eficiente, cabendo à Área de Risco, Controlo Interno e Compliance a responsabilidade de conduzir o processo, reportando à Comissão de Auditoria e Controlo Interno.
A duração da implementação depende da natureza e complexidade da iniciativa a ser implementada. No entanto, deve-se procurar optimizar o período de implementação da iniciativa, pois quanto maior foi o tempo de implementação, mais tempo a instituição está exposta ao risco. Assim, o Plano de Acção deve conter as seguintes informações:
O Plano de Acção deverá definir quais as áreas que devem planear a implementação de melhorias, assim como estipular os prazos a serem cumpridos. No entanto, sempre que necessário, as respectivas áreas deverão consultar a Área de Risco, Controlo Interno e Compliance ou a Área de Auditoria para solicitar apoio ou reportar possíveis situações de atraso, caso se verifiquem. Sempre que termine um processo de implementação de melhoria, as diversas Áreas envolvidas deverão realizar actividades de controlo de acordo com o Manual de Controlo Interno, de forma a verificar a eficácia do controlo.
Durante o decorrer do processo de melhoria, a Área de Risco, Controlo Interno e Compliance deverá efectuar vistorias para assegurar que o Plano de Acção está a ser cumprido e deve organizar a informação obtida num Relatório de Acompanhamento. Posteriormente, o relatório deverá ser enviado à Auditoria de forma a dar conhecimento do estado de cada iniciativa. O Relatório de Acompanhamento deve conter as seguintes informações:
A frequência das vistorias de acompanhamento varia de acordo com a duração e complexidade da melhoria a ser implementada, sendo que esta deve ser decidida pela Área de Risco, Controlo Interno e Compliance em parceria com a Comissão de Auditoria e Controlo Interno.
De acordo com o Aviso n.º 02/20135 do BNA, as Funções de Gestão de Risco, Compliance e Auditoria Interna devem elaborar relatórios globais anuais sobre as suas Funções e reportá-los ao Conselho de Administração, com o conhecimento do Conselho Fiscal.
A Função de Gestão de Risco deve elaborar um relatório sobre o sistema de gestão de risco, identificando e avaliando as categorias de risco mais relevantes, os resultados da análise sobre a sua adequação e eficácia no sistema de gestão de risco ao nível dos processos em vigor, e as recomendações para melhoria do sistema de gestão de risco.
Para a Função de Compliance, o relatório anual deve incluir uma descrição sumária das actividades da Função relativas ao ano transacto, reportando as conclusões das análises efectuadas (incumprimentos observados e acções adoptadas), e recomendações para melhoria da função.
No caso da Auditoria Interna, o relatório deve reflectir uma avaliação global ao sistema de controlo interno, reportando as conclusões dos exames efectuados, as deficiências e as acções adoptadas, e a opinião sobre as deficiências detectadas e ainda não regularizadas.
O Relatório de Governança Corporativa e Controlo Interno é um documento elaborado anualmente, que sintetiza as acções realizadas durante o ano, comparando-as com o plano definido, incorporando uma análise à qualidade das mesmas. Este relatório deve ser remetido ao BNA, até 31 Dezembro, reflectindo os relatórios da Função de Gestão de Risco, da Função de Compliance e da Função de Auditoria Interna.
O Relatório deverá conter os seguintes elementos:
O relatório deve ser acompanhado por um parecer do Conselho Fiscal quanto à veracidade e adequação do relatório e à suficiência das políticas e processos em vigor nas matérias de controlo interno. Adicionalmente, este deve ser acompanhado por um parecer do auditor externo quanto à veracidade e adequação do relatório.
A Política de Controlo Interno da UNITEL SPM foi revista e aprovada pelo Conselho de Administração, de acordo com as obrigações estatuárias de aprovação definidas na Política da UNITEL SPM. Adicionalmente, quaisquer alterações relevantes ao documento devem ser sujeitas a aprovação por parte do Conselho de Administração. No entanto, de forma a garantir a adopção de medidas correctivas com a agilidade necessária, quaisquer correcções meramente tipográficas ou linguísticas, assim como aquelas que afectem apenas os anexos, devem ser aprovadas pelo Comissão de Auditoria e Controlo Interno da UNITEL SPM.
No processo de revisão, deve ser garantido o controlo de versões e a alteração ou revisão da Política de Controlo Interno poderá dever-se às seguintes situações:
A revisão anual da Política de Controlo Interno é da responsabilidade da Área de Risco, Controlo Interno.
Anexo I – Classificação dos Controlos
Os controlos são classificados de acordo com as seguintes categorias:
Anexo II – Áreas responsáveis pela gestão e controlo dos riscos
1ª Linha de Defesa | 2ª Linha de Defesa | |
---|---|---|
Risco | Unidades de Negócio e de Suporte | Gestão e Controlo dos Riscos |
Risco Operacional Risco Legal Risco de Sistemas de Informação | DJU DOT DNFM DFI | DRCIC |
Risco de Compliance | DNFM DFI DJU | DRCIC |
Risco de Negócio | DNFM DFI | DRCIC |
Risco Reputacional | DNFM | DRCIC |
Risco de Mercado | Área Financeira | DRCIC |
Risco de Liquidez | Área Financeira | DRCIC |
Anexo III – Processo de resolução das deficiências
Escala | Descrição |
---|---|
Não resolvido | Quando a deficiência é identificada e ainda não foi implementado um plano de acção. |
Planeado | Quando já existe um plano de acção, mas este ainda não começou a ser executado. |
Em execução | Quando o plano de acção já começou a ser executado. |
Resolvido | Quando o plano de acção é concluído. |
Efectivo | Quando a deficiência é dada como resolvida, avaliando a eficácia da acção implementada para mitigar o risco. |