Logotipo da Unitel Money

Termos e Condições

Política de Controlo Interno

Direcção de Risco, Controlo Interno e Compliance
Julho 2022 

Controlo do documento

Título do DocumentoPolítica de Controlo Interno 
Proprietário Direcção de Risco, Controlo Interno e Compliance 
Aprovador Conselho de Administração Unitel Money 
Classificação de Confidencialidade Uso Interno 
Lista de Distribuição Geral Unitel SPM 
Em vigor desde 01-Jul-2022 
Próxima revisão 01-Jul-2023

Histórico de alterações e aprovações 

Este documento deve ser alvo de uma monitorização contínua e sujeito a uma revisão regular que deve ocorrer pelo menos anualmente, ou sempre que existir uma alteração significativa ao contexto. 

VersãoDataAcçãoÁreaResponsávelNotas
v1.0 Abr-2021 Criação DRCIC Pedro Moreira Draft inicial 
v1.0 6-Maio-2021 Aprovação CA Unitel SPM  N/A
V1.0.1 Jun-2021  Alteração DRCIC  Pedro Moreira Actualização da referência à nova Lei n.º 14/21 do Regime Geral das Instituições Financeiras (ponto 1). 
v1.0.1 1-Jul-2021 Aprovação CA Unitel SPM N/A
v1.1 Mai-2022 ActualizaçãoDRCICPércio Rodrigues Pedro Moreira Revisão anual 
v1.1 10-Jun-2022 ValidaçãoCACI N/A
v1.1 30-Jun-2022 AprovaçãoCA Unitel SPM N/A
  1. Introdução

    A presente Política de Controlo Interno (doravante denominada por “Política”) tem como propósito o desenho e estabelecimento do Sistema de Controlo Interno da UNITEL SPM adequado à natureza, dimensão e complexidade da actividade da UNITEL SPM, tal como regulado no Aviso n.º 02/20131 do Banco Nacional de Angola (BNA) que institui a obrigação de estabelecimento de um sistema de controlo que assegure a eficiente e eficaz execução das operações, o controlo dos riscos, a fiabilidade da informação e o cumprimento dos normativos legais e das directrizes internas aplicáveis. 

    Assim, a presente política de controlo interno, define um conjunto de princípios, estratégias, sistemas, processos, regras e procedimentos alinhados com o framework de controlo interno proposto pelo COSO – Committee of Sponsoring Organizations of the Treadway Commission com vista a garantir: 

    1. A continuidade do negócio e a sobrevivência das instituições através da eficiente afectação dos recursos e execução das operações, do controlo dos riscos, da prudente avaliação de activos e responsabilidades e da segurança e controlo de acessos nos sistemas de informação e comunicação; 

    2. A existência de informação contabilística e de gestão de natureza financeira e não financeira, completa, fiável e tempestiva que suporta a tomada de decisão e os processos de controlo; 

    3. A existência de uma política, processo ou outra medida preventiva para cada risco, bem como um controlo e acompanhamento sistemático para assegurar a sua aplicação e funcionamento conforme estabelecido, tentando, assim, rectificar prontamente todos e quaisquer desvios; e, 

    4. O cumprimento das disposições legais, das directrizes internas e das regras deontológicas e de conduta no relacionamento com os clientes, as contrapartes das operações, os accionistas e os supervisores. 

    Este documento está estruturado em cinco capítulos: 

    1. Princípios gerais; 

    2. Definição da Estrutura de Controlo Interno; 

    3. Metodologia; 

    4. Reporte; 

    5. Monitorização. 

    A Política de ontrolo Interno é aplicada a toda a estrutura da organização, incluindo colaboradores e membros dos órgãos sociais da UNITEL SPM. 

  2. Princípios gerais

    A Política de Controlo Interno corresponde ao conjunto de regras e controlos que regem a estrutura organizativa e operativa da UNITEL SPM, incluindo os processos de reporte e as Funções de Gestão dos Risco, Compliance e Auditoria Interna e segue os princípios das três linhas de defesa (3LoD). 

    De forma a garantir que este modelo se traduz num controlo interno adequado à actividade e objectivos estabelecidos para a UNITEL SPM, devem ser cumpridos os princípios referidos no Artigo nº 5 do Aviso n.º 02/20132 do BNA: 

    1. Proporcionalidade – o Sistema de Controlo Interno deve ser adaptado à dimensão, natureza e complexidade da actividade das instituições, ao seu perfil de risco, e grau de centralização e delegação de competências; 

    2. Formalização – o Sistema de Controlo Interno deve estar formalizado em documentos específicos, suficientemente detalhados, que considerem o ambiente de controlo, os sistemas de gestão do risco e de informação e comunicação, e o processo de monitorização; 

    3. Posicionamento na estrutura – as funções de controlo interno organicamente segregadas das actividades que monitorizam e controlam; 

    4. Recursos adequados – os recursos humanos e materiais devem ser adequados ao desempenho eficaz das funções atribuídas, incluindo o número suficiente de colaboradores qualificados; 

    5. Segregação de funções – os responsáveis pelas funções de controlo interno devem exercer as suas funções de forma independente e segregada das funções executadas na 1º LoD, pertencer à direcção de topo e não estar subordinados ao membro executivo do órgão de administração que seja responsável pela gestão das actividades que cada função de controlo interno monitoriza e controla; 

    6. Reporte – deve existir reporte directo, sem intervenção prévia de qualquer outra pessoa, a todos os membros dos Conselhos de Administração e Conselho Fiscal, bem como à Comissão de Auditoria e Controlo Interno; 

    7. Acesso a informação – as funções de controlo interno devem ter acesso total, livre e incondicionado a todas as informações, funções, actividades, instalações e colaboradores da instituição, incluindo registos contabilísticos, sistemas, bases de dados e ficheiros informáticos; e, 

    8. Remuneração – a remuneração dos colaboradores das funções de controlo interno deve depender dos objectivos associados às suas funções e não deve estar relacionada com o desempenho das actividades sujeitas ao seu controlo. 

  3. Definição da Estrutura de Controlo Interno
    1. Modelo de Governação de Controlo Interno 

      Segundo o Modelo de Governação de Controlo Interno implementado, é da responsabilidade do Conselho de Administração (CA) estabelecer e supervisionar a adequação e concretização do Sistema de Controlo Interno, aprovando com esse propósito as políticas, os principais mecanismos e os procedimentos de controlo interno. Após aprovação formal, deve ainda garantir os meios de comunicação a toda organização. 

      De acordo com o Artigo 7º do Aviso n.º 02/20133 do BNA, o Conselho de Administração deve garantir: 

      1. Uma estratégia, devidamente formalizada, focalizada na solvabilidade, a longo prazo, das instituições; 

      2. A existência de elevados valores éticos e profissionais; 

      3. Uma estrutura organizacional adequada e transparente; 

      4. O alinhamento da política de remuneração com a estratégia e perfil de risco das instituições, para, entre outros objectivos, inibir a tomada excessiva de risco; 

      5. A independência, estatuto e efectividade das funções chave do sistema de controlo interno de gestão do risco, de compliance e de auditoria interna, as quais devem ser dotadas de meios humanos e materiais suficientes para o cumprimento da sua missão; 

      6. A identificação, avaliação, acompanhamento, controlo e prestação de informação das diversas categorias de riscos, tendo em vista obter uma compreensão fundamentada da sua natureza e magnitude; 

      7. A preparação das demonstrações financeiras de acordo com políticas e processos que assegurem a sua fiabilidade, oportunidade, consistência e compreensibilidade; 

      8. A existência de processos de identificação e avaliação de transacções com partes relacionadas, de forma a garantir que estas se processem em condições idênticas às praticadas com partes não relacionadas; 

      9. A existência de recursos humanos e materiais suficientes para se atingirem os objectivos da instituição e de políticas consistentes de recrutamento, avaliação, promoção, compensação e formação dos colaboradores; 

      10. A oportuna execução das suas orientações, nomeadamente, as que visem introduzir correcções e melhorias no sistema de controlo interno; 

      11. A comunicação ao Banco Nacional de Angola da existência de operações suspeitas de actividades criminosas ou situações de fraude materiais à segurança, conduta sã e prudente e reputação da instituição; e, 

      12. A existência de processos que detectem e mitiguem a ocorrência de conflitos de interesses. 

      O Conselho Fiscal tem como principais competências a fiscalização da administração da instituição, supervisão da Lei e dos Estatutos, e verificação dos registos contabilísticos e financeiros. Ao Conselho Fiscal cabe fiscalizar, juntamente com o Conselho de Administração, os relatórios elaborados pelas Funções de Gestão de Risco, Compliance e Auditoria Interna, nomeadamente os relatórios anuais resultantes da actividade de cada Função e o relatório global sobre o sistema de controlo interno. 

      Figura 1: Modelo de Governação

      De acordo com a regulamentação em vigor, foi estabelecida a Comissão de Auditoria e Controlo Interno, que emana do Conselho de Administração, sendo que esta comissão tem como principais funções: 

      1. Aconselhar o Conselho de Administração no que respeita à estratégia de gestão do risco, supervisionar a actuação da função de gestão de risco, reforçar a independência e acompanhar as três funções de controlo interno, salvaguardando o alinhamento com as melhores práticas de corporate governance; 

      2. Acompanhar, de forma permanente, a actividade dos auditores externos, avaliar e acompanhar o sistema de controlo interno e procedimentos contabilísticos, apreciar o trabalho da auditoria interna e propor ao Conselho de Administração da UNITEL SPM a adopção de medidas ou correcções que entenda pertinentes. 

    2. Responsabilidades e Funções no Exercício do Controlo Interno 

      De forma a cumprir com o objectivo de definir a estrutura de Governação para a controlo interno, é necessário identificar as responsabilidades das áreas envolvidas. Neste contexto, estrutura-se o Modelo de Governação da UNITEL SPM de acordo com o modelo das três linhas de defesa conforme detalhado nos subcapítulos seguintes. 

      1. Primeira Linha de Defesa (1ª LoD) 

        A primeira linha de defesa é constituída por unidades de estrutura comercial e unidades de suporte operacional, sendo estas áreas responsáveis por implementar o framework de Controlo Interno da Unitel SPM, devendo identificar, gerir e mitigar de forma contínua os riscos inerentes à sua actividade. 

        As unidades de negócio e gestão do risco devem ter em consideração o apetite pelo risco da UNITEL SPM e as suas políticas, processos e limites estabelecidos, devendo a sua actuação reflectir a cultura de risco da instituição promovida pelo Conselho de Administração. 

        As principais funções da área de negócio e suporte ao negócio são: 

        1. Identificar e avaliar os riscos associados aos seus processos, incluindo os riscos emergentes; 

        2. Identificar, definir, implementar e actualizar mecanismos de controlo de primeiro nível para esses riscos e, em primeira instância, controlar a sua aplicação; 

        3. Elaborar e implementar normativos internos que desenvolvem as políticas de admissão de risco e controlar a sua aplicação; 

        4. Monitorizar e avaliar periodicamente a efectividade destes controlos; 

        5. Identificar, implementar, monitorizar e actualizar periodicamente indicadores de avaliação risco e controlo; 

        6. Identificar de forma proactiva eventuais debilidades no controlo; 

        7. Estabelecer, implementar e monitorizar planos de remediação das debilidades identificadas; e, 

        8. Informar os órgãos competentes (Direcção, Negócio e Suporte e 2ª e 3ª LoD) sobre a situação dos riscos e controlos: debilidades, planos de remediação, riscos emergentes, impactos da nova regulamentação, resultados e avaliação dos riscos e efectividade dos controlos. 

      1. Segunda Linha de Defesa (2ª LoD)

        A segunda linha de defesa é constituída pela Função de Gestão do Risco e pela Função de Compliance, actuando de forma independente das unidades que controla no exercício da sua actividade. A 2ª LoD tem como objectivo identificar, medir, e definir a apetência e limites para a tomada de risco, sendo da sua responsabilidade a criação de políticas de gestão, a instituição da framework de Controlo Interno e a revisão independente da sua implementação pela 1ª LoD. 

        As funções da 2ª LoD são organizadas em seis categorias distintas: 

        1. Âmbito Geral 

          1. Elaborar os regulamentos internos para a avaliação de risco, de forma coordenada, mas independente da 1ª LoD, assessorar e validar com visão crítica a 1 ªLoD, no exercício das suas actividades de controlo. Realizar a monitorização dos riscos, das debilidades no controlo e dos planos de remediação e avaliar a estrutura do controlo dos riscos. 

        2. Políticas 

          1. Elaborar políticas de gestão e controlo dos riscos, de forma coordenada, mas independente da 1ª LoD, e em alinhamento com a Declaração de Apetite ao Risco; e, 

          2. Validar, de forma crítica, o cumprimento dos normativos internos e o seu alinhamento com as políticas. 

        3. Riscos e Controlos 

          1. Realizar e/ou validar, com visão crítica, a identificação e avaliação dos riscos e seus controlos, incluindo riscos emergentes; 

          2. Definir a metodologia de medição e quantificação dos riscos; 

          3. Assessorar e definir os critérios para a identificação, monitorização e avaliação da efectividade dos controlos; 

          4. Assessorar e/ou definir critérios para a implementação de controlos; 

          5. Assessorar e/ou definir critérios para o cumprimento dos normativos e regulamentos internos de gestão e controlo do risco; 

          6. Realizar o seguimento periódico dos resultados da avaliação dos riscos e efectividade dos seus controlos; 

          7. Realizar o seguimento periódico dos riscos emergentes; e, 

          8. Coordenar e controlar a adequação e integridade do mapa de riscos da instituição. 

        4. Monitorização de indicadores

          1. Assessorar e/ou definir critérios para a implementação de indicadores;

          2. Validar de forma critica, a identificação de indicadores por parte da 1ª LoD e os seus critérios de medição; e,

          3. Realizar o seguimento periódico dos indicadores de 1ª LoD, assim como dos indicadores próprios da 2ª LoD, relativamente ao perfil de risco definido.

        5. Debilidades de Controlo e Planos de Remediação 

          1. Apoiar e/ou definir critérios para a produção de planos de remediação pela 1ª LoD; 

          2. Validar de forma critica, a identificação de debilidades e a definição, implementação e monitorização dos planos de remediação por parte da 1ª LoD; e, 

          3. Realizar o seguimento periódico das debilidades identificadas pelas 1ª LoD, 2ª LoD ou 3ª LoD e da implementação dos planos de remediação por parte da 1ª LoD. 

        6. Reporte 

          1. Reportar ao Conselhos de Administração e Fiscal: (i) a informação relevante sobre os riscos, (ii) as principais debilidades identificadas no controlo, (iii) o estado de implementação dos planos de remediação e, (iv) a opinião sobre a estrutura de controlo dos riscos; e, 

          2. Reportar ao supervisor, ao auditor e às restantes entidades (externas ou internas) envolvidas no controlo do risco (i) a informação relevante sobre os riscos, (ii) as principais debilidades identificadas no controlo, (iii) o estado de implementação dos planos de remediação e, (iv) a opinião sobre a estrutura de controlo dos riscos. 

      1. Terceira Linha de Defesa (3ª LoD) 

        A terceira linha de defesa é constituída pela Função de Auditoria Interna, a qual tem por missão, entre outros aspectos, avaliar a eficácia e eficiência do sistema de gestão de risco e sistema de controlo interno, por forma a ajudar a prevenir a materialização de riscos, por meio de uma avaliação sistémica, independente, disciplinada e objectiva. 

        Por conseguinte, de acordo com o modelo das três linhas de defesa, a Auditoria Interna actua como 3 ªLoD, supervisionando a actuação das 1ª e 2ª LoD, com o objectivo de proporcionar uma abordagem sistemática e disciplinada na avaliação e melhoria dos processos de gestão/controlo dos riscos. A Auditoria Interna visa: 

        1. A eficácia e eficiência do sistema de controlo interno para a mitigação dos riscos das actividades da UNITEL SPM; 

        2. Cumprimento da legislação vigente e dos requisitos regulatórios e adequada implementação da Estrutura de Controlo Interno e da Declaração de Apetite ao Risco; 

        3. Conformidade com políticas e normativos internos e alinhamento com o apetite pelo risco e as melhores práticas do sector; e, 

        4. Integridade, fiabilidade e tempestividade da informação financeira, contabilística e operacional.

        Desta forma, o âmbito de actuação desta função inclui avaliar: 

        1. A adequação, eficácia e implementação de Políticas, Regulamentos e Normativos; 

        2. A efectividade dos controlos; 

        3. A adequada mediação e monitorização dos indicadores das 1ª e 2ª LoD; 

        4. A existência e correcta implementação de Planos de Remediação para as debilidades no controlo; e, 

        5. A validação, monitorização e avaliação do controlo efectuado pela 2ª LoD. 

        Para maior detalhe, as principais atribuições, funções e responsabilidades da Área de Auditoria Interna definidos pela UNITEL SPM estão formalizadas no Manual de Estrutura e Atribuições e no Regulamento da Área de Auditoria Interna, sendo que ambos estão disponíveis a todos os colaboradores da instituição. 

  4. Metodologia
    1. Identificação dos Riscos 

      De forma a poder avaliar a criticidade dos riscos na UNITEL SPM, é necessário identificar quais os riscos4 que vão impactar a instituição e a sua operação. A identificação dos riscos é feita a nível processual, através de reuniões com os interlocutores chave de cada área funcional, nomeadamente os técnicos e supervisores de todos os processos e/ou procedimentos a que estão afectos, garantindo que são identificados todos os riscos que possam impactar negativamente a organização. Para maior detalhe, o processo de identificação e avaliação encontra-se formalizado na Política Global de Gestão de Risco. 

    2. Identificação de Controlos 

      A área de Controlo Interno classifica os riscos de acordo com a Matriz de Riscos e Controlos definida pela UNITEL SPM, após a identificação e avaliação dos riscos existentes, os mesmos devem ser mitigados através de controlos de forma a minimizar a probabilidade de o risco ocorrer e reduzindo o impacto dentro da instituição. 

      De modo a mitigar os riscos, os controlos devem ser desenhados e definidos junto dos responsáveis pelos processos e dentro da documentação relativa à execução dos processos. Os controlos podem e devem ser actualizados durante as actividades de controlo interno, tais como na implementação de melhorias na criação de novos processos que possam afectar a mitigação do risco associado. 

      Figura 2: Fases de vida do controlo 

      No âmbito da identificação dos controlos, foi definido o ciclo de vida de cada controlo, sendo este composto pelas seguintes fases: 

      1. Criação e Desenho – identificação dos controlos tendo por base as normas e políticas dos vários programas de Gestão de Risco. Para criar o controlo é necessário definir as suas características que deverão estar de acordo com as melhores práticas de controlo interno e adequadas à realidade da Unitel SPM; 

      2. Aprovação – submeter o controlo à aprovação da Comissão de Auditoria e Controlo Interno; 

      3. Implementação – o Control Owner tem um período e um plano de implementação do controlo a cumprir e/ou acompanhar; 

      4. Execução – o Control Owner inicia a execução regular do controlo, analisando e verificando a exequibilidade do mesmo e se este opera de acordo com a sua caracterização; 

      5. Monitorização – realização de testes aos controlos e reportadas todas as situações e/ou excepções identificadas; 

      6. Plano de Acção e Follow Up – definição dos planos de acção para os controlos com excepções e efectuar o follow up da resolução das situações identificadas. Aquando da definição dos planos de acção é identificada, se aplicável, a necessidade de desactivação de controlos. 

      Os controlos devem reflectir a actividade do controlo, quem realiza a actividade de controlo, o objectivo do controlo, como é realizado o controlo e quando é realizado o controlo, sendo estas características encontradas no Anexo I. 

      1. Selecção dos Controlos Chave 

        Os controlos que mitigam riscos críticos (impacto médio e alto) são classificados como controlos chave e permitem obter uma visão global do nível risco dentro da Unitel SPM. Os controlos chave contêm actividades de elevada relevância para o alcance dos objectivos, enquanto que os outros controlos são considerados controlos compensatórios. 

        Na fase de teste, os controlos chave identificados são testados de modo a avaliar a eficácia e eficiência do âmbito de controlo interno e determinar se os controlos mitigam devidamente os riscos associados. Após a fase teste, as irregularidades que necessitam um reajuste serão identificadas assim como as possibilidades de melhoria existentes. 

        Com o objectivo de assegurar a correcta implementação das funções de controlo interno, a UNITEL SPM procedeu à identificação das áreas responsáveis pela gestão (1 ªLoD) e pelo controlo (2ª LoD) de cada um dos riscos considerados materiais na sua Política Global de Gestão de Risco, estando as responsabilidades de cada área descritas no Anexo II. 

    3. Manual de Controlo Interno 

      O Manual de Controlo Interno (MCI) é uma ferramenta que serve de apoio à identificação, avaliação e mitigação dos riscos em todas as áreas funcionais oferecendo uma visão global e detalhada dos riscos presentes em todos os processos e/ou procedimentos da organização bem como dos controlos existentes que têm como objectivo a sua mitigação. Deste modo, a MCI relaciona os riscos com controlos para sua mitigação. 

      A área de Controlo Interno é responsável pela elaboração, manutenção e actualização do MCI. Os resultados produzidos pelo MCI devem ser validados pela Comissão de Auditoria e Controlo Interno aprovados pelo Conselho de Administração. 

      A estrutura do MCI engloba os riscos a serem considerados, os controlos, e a associação entre os riscos e os controlos respectivos. Os riscos e os controlos estão devidamente categorizados de acordo com o Dicionário de Riscos Empresariais e com cada unidade orgânica da organização. 

    4. Tratamento das Deficiências de Controlo Interno 

      Uma deficiência de controlo interno consiste no erro na concepção, implementação das políticas ou dos processos do sistema de controlo interno com impacto negativo nos seus objectivos e princípios. Existe uma deficiência na concepção quando: 

      1. Um controlo necessário para atingir o objectivo não foi implementado, ou 

      2. Um controlo existente não é correctamente desenhado de forma a que, mesmo que funcione como desenho, o objectivo não é conseguido. 

      Existe uma deficiência na utilização quando: 

      1. Um controlo devidamente desenhado não funciona como esperado, ou 

      2. A pessoa que o executa não possui a necessária autoridade ou experiência para tal. 

      No âmbito das actividades de controlo, são identificadas deficiências resultantes das práticas e processos da organização, sendo emitidas recomendações para a correcção das mesmas. Assim, são estabelecidas regras e práticas por forma a reforçar a eficácia e eficiência dos processos de resolução, nomeadamente: 

      1. O reforço dos principais controlos, de modo a minimizar a identificação de novas deficiências, resultantes da inexistência ou ineficácia de controlos; 

      2. A melhoria do grau de resolução e fecho das deficiências; 

      3. A revisão dos objectivos e metas aprovadas pela Comissão de Auditoria e Controlo Interno. 

      De modo a acompanhar o processo de correcção, foi definida uma escala qualitativa que permite identificar o estado actual do processo de resolução da deficiência, que se encontra no Anexo III. 

      1. Planos de Acção 

        De modo a corrigir as deficiências de controlo interno, são emitidas recomendações para a melhoria das práticas e processos da instituição, de modo a que estas deficiências sejam encerradas. Após a aprovação do Relatório de Governança Corporativa e Controlo Interno por parte do Conselho de Administração, as Funções de Controlo Interno definem Planos de Acção de forma a implementar as recomendações. 

        A implementação e planeamento destas recomendações é fundamental de forma a assegurar uma melhoria no processo de controlo interno e proporcionar uma gestão do risco mais eficiente, cabendo à Área de Risco, Controlo Interno e Compliance a responsabilidade de conduzir o processo, reportando à Comissão de Auditoria e Controlo Interno. 

        A duração da implementação depende da natureza e complexidade da iniciativa a ser implementada. No entanto, deve-se procurar optimizar o período de implementação da iniciativa, pois quanto maior foi o tempo de implementação, mais tempo a instituição está exposta ao risco. Assim, o Plano de Acção deve conter as seguintes informações: 

        1. Risco e controlo alvo/Melhoria identificada; 

        2. Processo e/ou procedimento em que se enquadra; 

        3. Objectivo(s) da implementação; 

        4. Responsáveis e intervenientes na implementação; 

        5. Recursos necessários (humanos, tecnológicos, etc.); 

        6. Duração e calendário da implementação; 

        7. Procedimentos em caso de não cumprimento da implementação; e, 

        8. Procedimentos em caso de falha aos pontos de situação. 

        O Plano de Acção deverá definir quais as áreas que devem planear a implementação de melhorias, assim como estipular os prazos a serem cumpridos. No entanto, sempre que necessário, as respectivas áreas deverão consultar a Área de Risco, Controlo Interno e Compliance ou a Área de Auditoria para solicitar apoio ou reportar possíveis situações de atraso, caso se verifiquem. Sempre que termine um processo de implementação de melhoria, as diversas Áreas envolvidas deverão realizar actividades de controlo de acordo com o Manual de Controlo Interno, de forma a verificar a eficácia do controlo. 

        Durante o decorrer do processo de melhoria, a Área de Risco, Controlo Interno e Compliance deverá efectuar vistorias para assegurar que o Plano de Acção está a ser cumprido e deve organizar a informação obtida num Relatório de Acompanhamento. Posteriormente, o relatório deverá ser enviado à Auditoria de forma a dar conhecimento do estado de cada iniciativa. O Relatório de Acompanhamento deve conter as seguintes informações: 

        1. Todas as datas relativas ao processo de implementação de cada melhoria; 

        2. Indicação do estado actual de cada implementação; 

        3. Excepções encontradas e acções realizadas; e, 

        4. Campo de observações – alterações de processo, melhorias em prática e evolução da implementação do controlo. 

        A frequência das vistorias de acompanhamento varia de acordo com a duração e complexidade da melhoria a ser implementada, sendo que esta deve ser decidida pela Área de Risco, Controlo Interno e Compliance em parceria com a Comissão de Auditoria e Controlo Interno. 

  5. Reporte
    1. Relatórios das Funções de Controlo 

      De acordo com o Aviso n.º 02/20135 do BNA, as Funções de Gestão de Risco, Compliance e Auditoria Interna devem elaborar relatórios globais anuais sobre as suas Funções e reportá-los ao Conselho de Administração, com o conhecimento do Conselho Fiscal. 

      A Função de Gestão de Risco deve elaborar um relatório sobre o sistema de gestão de risco, identificando e avaliando as categorias de risco mais relevantes, os resultados da análise sobre a sua adequação e eficácia no sistema de gestão de risco ao nível dos processos em vigor, e as recomendações para melhoria do sistema de gestão de risco.

      Para a Função de Compliance, o relatório anual deve incluir uma descrição sumária das actividades da Função relativas ao ano transacto, reportando as conclusões das análises efectuadas (incumprimentos observados e acções adoptadas), e recomendações para melhoria da função. 

      No caso da Auditoria Interna, o relatório deve reflectir uma avaliação global ao sistema de controlo interno, reportando as conclusões dos exames efectuados, as deficiências e as acções adoptadas, e a opinião sobre as deficiências detectadas e ainda não regularizadas. 

    2. Relatório de Governança Corporativa e Controlo Interno 

      O Relatório de Governança Corporativa e Controlo Interno é um documento elaborado anualmente, que sintetiza as acções realizadas durante o ano, comparando-as com o plano definido, incorporando uma análise à qualidade das mesmas. Este relatório deve ser remetido ao BNA, até 31 Dezembro, reflectindo os relatórios da Função de Gestão de Risco, da Função de Compliance e da Função de Auditoria Interna. 

      O Relatório deverá conter os seguintes elementos: 

      1. Factos relevantes que ocorreram durante o período, contendo os meses do ano e os factos a reportar no mês do seu acontecimento; 

      2. Actividades iniciadas no âmbito da melhoria e fortalecimento do Controlo Interno, evidenciando as diferenças (caso existam) face ao estipulado no plano de trabalho e a respectiva justificação para as mesmas; 

      3. Dados (data de início, data de fim, percentagem de conclusão, Áreas e entidades externas envolvidas) para cada uma das acções levadas a cabo pela equipa de controlo interno: apoio às funções de negócio no âmbito do Controlo Interno, testes à eficiência dos controlos, implementações iniciadas/a decorrer, etc.; 

      4. Medidas e procedimentos tomados para colmatar eventuais desvios em relação ao plano, bem como as expectativas futuras; e, 

      5. Perspectivas para o futuro, onde são explicitadas as perspectivas da equipa de Controlo Interno de médio- longo prazo, identificando as acções que irão decorrer no âmbito do fortalecimento do ambiente de controlo interno. As implementações de melhorias que já foram iniciadas, mas que continuarão no período subsequente devem ser mencionadas, referindo também os intervenientes que estarão envolvidos nas mesmas. 

      O relatório deve ser acompanhado por um parecer do Conselho Fiscal quanto à veracidade e adequação do relatório e à suficiência das políticas e processos em vigor nas matérias de controlo interno. Adicionalmente, este deve ser acompanhado por um parecer do auditor externo quanto à veracidade e adequação do relatório. 

  6. Disposições Finais

    A Política de Controlo Interno da UNITEL SPM foi revista e aprovada pelo Conselho de Administração, de acordo com as obrigações estatuárias de aprovação definidas na Política da UNITEL SPM. Adicionalmente, quaisquer alterações relevantes ao documento devem ser sujeitas a aprovação por parte do Conselho de Administração. No entanto, de forma a garantir a adopção de medidas correctivas com a agilidade necessária, quaisquer correcções meramente tipográficas ou linguísticas, assim como aquelas que afectem apenas os anexos, devem ser aprovadas pelo Comissão de Auditoria e Controlo Interno da UNITEL SPM. 

    No processo de revisão, deve ser garantido o controlo de versões e a alteração ou revisão da Política de Controlo Interno poderá dever-se às seguintes situações: 

    1. Alterações no processo de seguimento e controlo; 

    2. Alterações dos objectivos e estratégia de negócio; 

    3. Novas políticas ou alteração das existentes; 

    4. Alteração da estrutura organizativa; 

    5. Alterações da regulamentação; e, 

    6. Alterações nos processos ou procedimentos. 

    A revisão anual da Política de Controlo Interno é da responsabilidade da Área de Risco, Controlo Interno. 

Anexos

Anexo I – Classificação dos Controlos 

Os controlos são classificados de acordo com as seguintes categorias: 

  1. Periodicidade – Os controlos podem ter uma periodicidade de ocorrência: 

    1. Diária;

    2. Semanal;

    3. Mensal;

    4. Anual;

    5. Trianual;

    6. Por evento (se existir uma determinada ocorrência não definida no tempo). 

  2. Relevância 

    1. Controlos Key – considerados mais relevantes e/ou críticos para a organização dado que o impacto de uma potencial falha dos mesmos afectaria significativamente a organização e, por isso, são tipicamente testados no âmbito das auditorias;

    2. Controlos Non-Key – detêm uma menor importância e peso na mitigação do risco. 

  3. Control Owner – Identificação do responsável por garantir a implementação e efectividade do controlo. No caso controlo não ser efectivo, o dono do controlo é responsável por elaborar o plano de acção correctivo e monitorizar a sua implementação.  

  4. Natureza – Tipologia de controlo  

    1. Exclusivamente manual – ocorre quando a actividade é executada por intervenção humana; 

    2. Exclusivamente Automática – ocorre quando a actividade é executada unicamente por um sistema ou uma aplicação. 

    3. Semiautomática – ocorre quando a actividade é executada por intervenção de um sistema ou aplicação despoletado por intervenção humana; 

  5. Tipo 

    1. Preventivo – A actividade do controlo desenhada para prevenir a ocorrência de um efeito decorrente de um evento com impacto material nos objectivos da organização;

    2. Detectivo – Actividade do controlo desenhada para detectar e corrigir atempadamente um evento, erro ou irregularidade com impacto material no alcance dos objectivos da organização; 

    3. Correctivo – Actividade de controlo desenhada para um erro ou irregularidade com impacto material no alcance dos objectivos da organização. 

  6. Status  

    1. Não implementado – Controlo desenhado, mas não implementado; 

    2. Em desenvolvimento – Controlo em fase de implementação; 

    3. Implementado – Controlo desenhado e implementado; 

    4. Desactivado – Controlo que já esteve activo mas que foi desactivado. 

  7. Sistemas   

    1. Indicação, sempre que se justifique, da(s) plataforma(s)/ferramenta(s) utilizada(s) pela empresa na realização do controlo, se aplicável. 

Anexo II – Áreas responsáveis pela gestão e controlo dos riscos 

1ª Linha de Defesa 2ª Linha de Defesa 
RiscoUnidades de Negócio e de Suporte Gestão e Controlo dos Riscos 
Risco Operacional

Risco Legal 

Risco de Sistemas de Informação 
DJU
DOT
DNFM
DFI 
DRCIC 
 
Risco de Compliance 
DNFM
DFI 
DJU 
DRCIC 
Risco de Negócio DNFM
DFI 
DRCIC 
Risco Reputacional DNFMDRCIC 
Risco de Mercado Área Financeira DRCIC 
Risco de Liquidez Área Financeira DRCIC 
Tabela 1: Afectação dos riscos materiais às Áreas responsáveis 

Anexo III – Processo de resolução das deficiências 

EscalaDescrição
Não resolvidoQuando a deficiência é identificada e ainda não foi implementado um plano de acção. 
PlaneadoQuando já existe um plano de acção, mas este ainda não começou a ser executado. 
Em execuçãoQuando o plano de acção já começou a ser executado. 
ResolvidoQuando o plano de acção é concluído. 
EfectivoQuando a deficiência é dada como resolvida, avaliando a eficácia da acção implementada para mitigar o risco. 
Tabela 2: Tabela de estados da resolução das deficiências