Plano de Prevenção de Riscos e Infrações Conexas
1. Introdução e Objetivo
Na sequência da aprovação da Estratégia Nacional Anticorrupção 2020-2024, foi publicado em Diário da República, no dia 9 de dezembro de 2021, o Decreto-Lei n.º 109-E/2021, que vem criar o Mecanismo Nacional Anticorrupção (“MENAC”) e aprovar o Regime Geral de Prevenção da Corrupção (“RGPC”).
Com a finalidade de prevenir, detetar e sancionar atos de corrupção e infrações conexas, o RGPC vem estabelecer para as entidades obrigadas ao respetivo cumprimento, de natureza pública e privada, a obrigação de adotar e implementar um Programa de Cumprimento Normativo que deverá incluir, pelo menos, os seguintes elementos: (i) um plano de prevenção de riscos de corrupção e infrações conexas; (ii) um código de conduta;(iii) um canal de denúncias; e (iv) um programa de formação.
O presente Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (PPR), vem dar resposta às obrigações previstas no RGPC, refletindo também o trabalho desenvolvido no âmbito da identificação e classificação dos fatores que podem expor a Esri Portugal – sistemas e informação geográfica, SA (doravante “Esri Portugal” ou “Sociedade”) a atos de corrupção e infrações conexas, assim como os mecanismos de controlo existentes para mitigar esses riscos.
2. Caraterização da Esri Portugal
A Esri Portugal é uma sociedade de capital privado, constituída em 1987 com o propósito de operar como ator especializado no fornecimento e no desenvolvimento de sistemas de informação baseados em tecnologia SIG (“Sistemas de Informação Geográfica”) – ou GIS (do acrónimo inglês “Geographic Information Systems”).
A Esri Portugal é a distribuidora oficial – na qualidade de distribuidor único para os mercados de Portugal Continental, arquipélagos da Madeira e Açores, Cabo Verde, S. Tomé e Príncipe e, ainda, Guiné-Bissau – de uma tecnologia assente num conjunto de sistemas de processamento de informação georreferenciada, comercializados sob a denominação comercial “ArcGIS” e desenvolvidos pela empresa norte-americana Esri - Environmental Systems Research Institute, Incorporated (doravante, abreviadamente referida por “Esri Incorporated”), que é líder mundial destacado neste segmento de mercado.
A Empresa conta presentemente com mais de meio milhar de Clientes distribuídos pelos mais diversos setores de atividade, pertencentes quer ao setor público, quer ao setor privado da economia.
3. Corrupção e Infrações conexas
O Código Penal português prevê o crime de corrupção no quadro do exercício de funções públicas (artigos 372.º a 374.º-A), distinguindo se a ação ou omissão é praticada pela pessoa que corrompe ou pela pessoa que se deixa corromper. Além da corrupção no setor público, encontra-se também previsto em legislação avulsa o regime de responsabilidade penal por crimes de corrupção cometidos no comércio internacional e na atividade privada.
Associados à corrupção, encontram-se também previstos na legislação penal outros crimes prejudiciais ao bom funcionamento das instituições e dos mercados.
Sem prejuízo da definição técnica de corrupção e infrações conexas acima identificados, importa reter que genericamente fala-se em corrupção quando uma pessoa, que ocupa uma posição dominante, aceita receber uma vantagem indevida em troca da prestação de um serviço, ou alguém tenta aliciar a pessoa que ocupa a posição dominante a aceitar uma vantagem indevida em troca da prestação de um serviço. O crime de corrupção implica a conjugação dos seguintes quatro elementos: (i) uma ação ou omissão; (ii) a prática de um ato lícito ou ilícito; (iii) a contrapartida de uma vantagem indevida; (iv) para o próprio ou para terceiro.
4. Sistema de controlo interno
A Esri implementou um sistema de controlo interno que que tem por base modelos de gestão dos riscos, de gestão de informação e de comunicação, em todas as áreas da sociedade.
O sistema de controlo interno engloba, nomeadamente, o plano de organização da sociedade (organograma com definição de objetivos e responsabilidades), o Código de Conduta, um Plano de formação, um Canal de denúncias, políticas, métodos, procedimentos e boas práticas de controlo definidos pelos responsáveis das várias áreas, que contribuem para assegurar o desenvolvimento das atividades de forma ordenada, eficiente e transparente.
Com este sistema de controlo interno, a Esri Portugal visa garantir, designadamente:
a) O cumprimento e a legalidade das deliberações e decisões dos titulares dos respetivos órgãos;
b) O respeito pelas políticas e objetivos definidos;
c) O cumprimento das disposições legais e regulamentares;
d) A adequada gestão e mitigação de riscos, tendo em atenção o PPR;
e) O respeito pelos princípios e valores previstos no código de conduta;
f) A prevenção e deteção de situações de ilegalidade, corrupção, fraude e erro;
g) A salvaguarda dos ativos;
h) A qualidade, tempestividade, integridade e fiabilidade da informação;
i) A prevenção do favorecimento ou práticas discriminatórias e
j) Os adequados mecanismos de planeamento, execução, revisão, controlo e aprovação das operações;
A Esri Portugal promove o acompanhamento regular da implementação do sistema de controlo interno, designadamente através da realização de auditorias aleatórias anuais, numa base de risk aproach, cujos resultados e eventuais condicionantes, são avaliadas pela administração determinando sempre que necessário a implementação de medidas corretivas ou de aperfeiçoamento.
5. Metodologia de Identificação e avaliação de risco
A metodologia utilizada pela Esri Portugal para gestão e avaliação de risco passou pela análise de toda a atividade da sociedade, incluindo áreas de administração, de direção, operacionais ou de suporte, finalidades e objetivos, e consequente identificação:
a) Das áreas de atividade /departamentos da entidade com risco de prática de atos de corrupção e infrações conexas, considerando a realidade do setor e as áreas geográficas em que a entidade atua;
b) Dos riscos e as situações que possam expor a Esri Portugal a atos de corrupção e infrações conexas, considerando a tipologia de crimes e infrações conexas;
c) Da probabilidade de ocorrência e o impacto previsível de cada situação, de forma a permitir a graduação dos riscos, classificando os riscos segundo uma escala de risco em função do grau de probabilidade de ocorrência, gravidade e reversibilidade;
d) Das medidas preventivas e corretivas que permitam reduzir a probabilidade de ocorrência e o impacto dos riscos e situações identificados;
e) Das medidas de prevenção mais exaustivas nas situações de risco elevado ou máximo, sendo prioritária a respetiva execução.
Na identificação dos riscos teve-se em conta os crimes pelos quais as pessoas coletivas do setor privado poderão ser penalmente responsabilizáveis, e os fatores de risco que correspondem às condições ou circunstâncias que potenciam a concretização desses crimes no âmbito de cada uma das áreas de atividade.
Como fatores de risco associados às atividades da Esri Portugal suscetíveis de comportar risco de corrupção e infrações conexas, foram identificados os seguintes fatores:
- Relacionamento com agentes públicos e/ou pessoas politicamente expostas;
- Envolvimento com terceiros associados a situações de corrupção / riscos de integridade
- Atribuição de patrocínios e donativos;
- Aceitação de ofertas e de convites para eventos;
- Atribuição de ofertas e de convites para eventos;
- Acesso a fundos;
- Envolvimento com países sancionados;
- Relações de negócio com pessoas singulares ou coletivas de países com elevado índice de corrupção;
- Negociação / Contratação de entidades terceiras privadas (conflitos de interesses);
- Acesso a informação comercialmente sensível / informação confidencial; eFavorecimento de colaboradores (conflitos de interesses).
O risco identificado foi avaliado de acordo com a probabilidade da sua ocorrência e gravidade do seu impacto, tendo o nível de risco considerado resultado da conjugação da frequência e gravidade conforme matriz que consta do Anexo Dois.
6. Mecanismos de Controlo
Para todos os riscos de corrupção e infrações conexas identificados e avaliados, foram implementadas medidas preventivas para reduzir a respetiva probabilidade de ocorrência e o grau de impacto.
Foram estabelecidas medidas e controlos globais (código, normas, políticas e outros mecanismos transversais) e medidas e controlos específicos ao nível operacional (ex. procedimentos relativos a ofertas, donativos e patrocínios). Todas as medidas e controlos, quer globais quer específicos estão identificadas na Política de Prevenção de Risco de Corrupção, ainda que sejam objeto de Regulamentação autónoma.
Entre as medidas e controlos globais são de destacar os seguintes: Código de Conduta; Plano de Formação; Canal de Comunicação de Irregularidades (Whistleblowing).
Para cada um dos fatores de risco considerados foram previstos mecanismos de mitigação e controlo que se encontram identificados no Anexo Um do presente documento.
Nessa avaliação ponderaram-se, por um lado, os atributos desses controlos, assim como a avaliação da eficácia dos mesmos. Se o resultado da última avaliação realizada implicar que algum dos controlos não é adequado/efetivo, estes não serão considerados para efeitos de mitigação de risco e, consequentemente, na avaliação de risco residual, isto é, no risco que persiste após a implementação de controlos com o objetivo de mitigação.
7. Resultados de avaliação de risco após definição de medidas de mitigação
Na sequência da identificação e implementação de medidas preventivas foi avaliado o nível de risco que persiste após a implementação de controlos com o objetivo de mitigação.
Com a implementação dos mecanismos de controlo, foi possível reduzir a avaliação dos diferentes fatores de risco para níveis considerados aceitáveis, conforme Anexo Um ao presente documento.
8. Monitorização
A monitorização do Sistema de Controlo Interno com vista à prevenção e combate à corrupção é efetuado através de:
I. Revisão periódica do Código de Conduta, da Política de Prevenção da Corrupção, e de análise ao respetivo cumprimento;
II. Auditorias anuais numa base de “risk approach” aos controlos, políticas e procedimentos de prevenção de riscos de corrupção;
III. Avaliação periódica da existência e implementação de oportunidades de melhoria. Nessa avaliação ponderaram-se, por um lado, os atributos desses controlos, assim como a avaliação da eficácia dos mesmos. Se o resultado da última avaliação realizada implicar que algum dos controlos não é adequado/efetivo, estes não serão considerados para efeitos de mitigação de risco e, consequentemente, na avaliação de risco residual, isto é, no risco que persiste após a implementação de controlos com o objetivo de mitigação.
Adicionalmente, a execução do PPR está sujeita a controlo, efetuado nos seguintes termos:
I. Elaboração, no mês de outubro, de relatório de avaliação intercalar nas situações identificadas de risco elevado ou máximo;
II. Elaboração, no mês de abril do ano seguinte a que respeita a execução, de relatório de avaliação anual, contendo nomeadamente o estado de evolução das medidas preventivas e corretivas identificadas, bem como os resultados da monitorização da sua efetiva operacionalização
O PPR é revisto a cada três anos ou sempre que se opere uma alteração nas atribuições ou na estrutura orgânica ou societária da entidade que justifique a revisão de algum dos seus elementos.