Plano de Prevenção de Riscos de Corrupção e Infrações Conexas

INTRODUÇÃO

Na sequência da aprovação da Estratégia Nacional Anticorrupção 2020-2024, foi instituído, através do Decreto-Lei n.º 109-E/2021 de 9 de dezembro, o Mecanismo Nacional Anticorrupção (“MENAC”) e o Regime Geral de Prevenção da Corrupção (“RGPC”).

Em cumprimento do referido diploma, pautando a sua atividade por elevados padrões de responsabilidade e ética profissionais, e regendo-se pelos princípios da integridade, transparência, honestidade, lealdade, rigor e boa-fé, o Ciberbit – Produções de Software, S.A. (doravante, “Ciberbit”) elaborou o presente Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (doravante designado por “PPR”), o qual abrange toda a organização e atividade da Ciberbit.

1. OBJETIVOS

O presente PPR tem como objetivo a identificação e gestão de riscos de corrupção e infrações conexas da Ciberbit e assenta nos seguintes pilares:

Identificação e sistematização dos requisitos legais e regulamentares externos e internos.
Adoção e implementação de um PPR que contenha a identificação, análise e classificação dos riscos e das situações que possam expor a Ciberbit a atos de corrupção e infrações conexas;
Planeamento e desenvolvimento de atividades de controlo e mitigação dos riscos identificados, incluindo medidas preventivas e corretivas que permitam reduzir a probabilidade de ocorrência e o impacto desses riscos;
Monitorização da execução do PPR.

A identificação e avaliação de riscos de corrupção e infrações conexas é realizada de forma periódica ou sempre que se verifiquem eventos que conduzam a alterações significativas no contexto legal e normativo ou no contexto organizacional.

A Ciberbit assegura que o PPR é do conhecimento dos seus Colaboradores, procedendo à sua publicação no seu website.

2. METODOLOGIA DE GESTÃO E AVALIAÇÃO DE RISCO

A metodologia de identificação, análise e classificação dos riscos e das situações quepossam expor a Ciberbit a atos de corrupção e infrações conexas, alinhada com os requisitos listados no Decreto-Lei n.º 109-E/2021, de 9 de dezembro, considerou:

A área de atividade da Ciberbit e o consequente risco de prática de atos de corrupção e infrações conexas;
A probabilidade de ocorrência e o impacto previsível de cada situação, de forma a permitir a graduação dos riscos;
Medidas preventivas e corretivas que permitam reduzir a probabilidade de ocorrência e o impacto dos riscos e situações identificados;
Nas situações de risco elevado ou máximo, as medidas de prevenção mais exaustivas, sendo prioritária a respetiva execução;
A designação do Responsável Geral pela Execução, para controlo e revisão do PPR, tendo, para o efeito, sido designado o Responsável pelo Cumprimento Normativo.

2.1. Área de risco
Tendo presentes os objetivos e âmbito de aplicação deste PPR, bem como a missão da Ciberbit e as atividades levadas a cabo pelos seus trabalhadores, importa compreender o grau de risco e a probabilidade de ocorrência de um evento futuro de corrupção ou infração conexa, tendo em vista a sua prevenção e mitigação.

Para tal, a construção do presente PPR seguiu a seguinte metodologia:

Identificação dos riscos;
Avaliação dos riscos;
Identificação dos controlos para a mitigação dos riscos;
Identificação dos responsáveis pela monitorização dos controlos;
Definição do plano de ação para acompanhamento dos riscos e respetivas medidas de mitigação.

No que concerne à identificação dos riscos são definidas as circunstâncias e/ou atividades suscetíveis de potenciar situações irregulares, designadamente:

Processamento de pagamentos inadequados a parceiros ou entidades
subcontratadas;
Atribuição de ofertas/ presentes/ donativos/ patrocínios relacionados com a adjudicação de um contrato ou em troca de benefício ou vantagem;
Pagamento ou faturação de um serviço fictício ou favorecimento a um fornecedor ou cliente em troca de uma vantagem indevida;
Pagamento (ou promessa de pagamento) a um agente público (ou similar) para obter tratamento preferencial;
Fraude na obtenção ou desvio de subsídio;
Aquisição/construção e/ou licenciamento de bens ou serviços que excedem as necessidades reais ou com preços sobredimensionados por contrapartida de vantagem/benefício;
No contexto de gestão de stocks, aquisição ou desvio de bens por contrapartida de vantagem/benefício;
Utilização/ divulgação de informação privilegiada e/ou confidencial por contrapartida de vantagem/benefício;
Favoritismo na contratação (de RH) em troca de uma vantagem indevida;
Processamento salarial/ de honorários indevido por contrapartida de vantagem/benefício.

Na avaliação de risco, cada uma das situações identificadas é avaliada de acordo com impacto e probabilidade de ocorrência.

2.2. Matriz de avaliação de riscos

Após a identificação do risco, o mesmo é avaliado quanto à sua probabilidade de ocorrência e ao impacto, de acordo com as tabelas seguintes:

Probabilidade de ocorrência	Baixa	Média	Alta
	1	2	3
	Reduzida probabilidade de ocorrência (inferior a 40%).	Probabilidade de ocorrência considerável (entre 40% e 90%).	Probabilidade de ocorrência superior a 90%.

Impacto	Baixo	Médio	Alto
	1	2	3
	Danos no desempenho organizacional (insatisfação de clientes, litígios), com impacto financeiro limitado.	Perda na gestão de operações (credibilidade e/ou confiança de stakeholders, de contratos, etc.) com impacto financeiro moderado.	Prejuízo na imagem e reputação, bem como na eficácia e desempenho com impacto financeiro elevado.

Assim, o nível de risco inerente é obtido através da aplicação dos níveis de probabilidade de ocorrência e impacto para cada um dos riscos identificados.

Por último, atendendo à classificação do risco elencado, avalia-se o controlo interno, de acordo com a tabela seguinte:

Avaliação do Controlo Interno

Limitado

Parcial

Total

Não tem qualquer impacto no risco identificado.

Considera-se que os controlos/ atividades de risk management atuais não são suficientes para reduzir o risco identificado para níveis aceitáveis.

Reduz o nível de risco identificado para o risco inerente.

Considera-se que os controlo/atividades de risk management atuais são parcialmente suficientes para reduzir o risco identificado para níveis aceitáveis.

Mitiga por completo o risco identificado.

Considera-se que os controlos/atividades de risk management atuais reduzem o risco identificado para níveis aceitáveis, não sendo expectável que seja necessária ação adicional para mitigar este risco.

2.3. Mecanismos de controlo

Para os riscos identificados está implementado um conjunto de medidas que visa quer a redução da probabilidade da sua ocorrência, quer o grau do seu impacto.

A par destas medidas, importa, ainda, salientar que a Ciberbit dispõe de um conjunto de mecanismos e políticas internas, nas quais estão vertidos os princípios e valores fundamentais do Grupo e que enfatizam a sua posição no combate intransigente à corrupção e infrações conexas, nomeadamente:

Código de Conduta;
Canal de Denúncias;
Normas de Utilização do Canal de Denúncias;
Programas de formação;
Entre outros.

2.4. Matriz de Riscos e Controlos
A Matriz de Riscos e Controlos (MRC) apresentada infra identifica um conjunto de riscos na atividade da Ciberbit, os quais foram analisados quanto à sua probabilidade de ocorrência e impacto. Ademais, e para cada um desses riscos, são também identificados os respetivos controlos de mitigação, as políticas de prevenção aplicáveis, bem como as medidas de mitigação existentes.

Tendo em consideração os principais processos/áreas suscetíveis de envolver a ocorrência de fenómenos de corrupção e práticas conexas e os principais fatores de risco, foi realizada a avaliação do nível de criticidade de cada risco tendo em consideração a sua classificação em termos de probabilidade de ocorrência e o seu impacto.

A avaliação foi realizada considerando:

O risco inerente (risco antes da aplicação de qualquer tipo de controlo);
O nível de controlo existente na organização (medidas preventivas, medidas corretivas, medidas de mitigação existentes); e
O risco residual (risco após aplicação dos controlos existentes na organização).

Fraude na obtenção ou desvio de subsídioBaixoBaixoBaixoTotalBaixo

Segregação de funções entre a equipa responsável pela submissão de candidaturas e as equipas de projeto que disponibilizam a informação;
Adoção de boas práticas na interação presencial com entidades públicas ou similares.

Aquisição/construção e/ou licenciamento de bens ou serviços que excedem as necessidades reais ou com preços sobredimensionados por contrapartida de vantagem/benefícioMédioMédioMédioTotalBaixo

Segregação de funções entre as equipas que propõem a localização e tipo de unidade, as equipas que concebem o projeto e as equipas que aprovam a aquisição do terreno e/ou empreitadas;
Obtenção de pareceres internos e externos
relativos à viabilidade da empreitada;
Avaliação das propostas apresentadas pelos fornecedores com base em critérios pré-definidos;
A due diligence para cada aquisição inclui o envio de um questionário anticorrupção à para preenchimento;
Revisão da due diligence e decisão sobre investigações detalhadas;
Conjunto de mecanismos de controlo implementados ao nível do processo de pagamentos e compras;
São aplicadas, caso-a-caso, cláusulas específicas anticorrupção a incluir nos contratos.

No contexto de gestão de stocks, aquisição ou desvio de bens por contrapartida de vantagem/benefícioAltaBaixoMédioParcialBaixo

Armazenamento dos fármacos de uso exclusivo hospitalar com acesso restrito a farmacêuticos.

Utilização/ divulgação de informação privilegiada e/ou confidencial por contrapartida de vantagem/benefícioMédiaMédioMédioParcialBaixo

Existência de políticas internas em matéria de cibersegurança, de classificação de informação e de utilização dos recursos tecnológicos;
Controlo de acessos a colaboradores;
Registo de incidentes relacionados com irregularidades ao nível da proteção de dados;
Registo dos incidentes de cibersegurança com impacto relevante ou substancial nos serviços prestados;
Cláusulas de confidencialidade e de proteção de dados pessoais nos contratos celebrados com os colaboradores.

Favoritismo na contratação (de RH) em troca de uma vantagem indevidaBaixoMédioMédioParcialBaixo

Segregação de funções entre a equipa que acompanha os processos de recrutamento e seleção e a que elabora os respetivos contratos de trabalho;
Criação e/ou alteração dos dados de contratação de um colaborador está restrita em sistema por meio de parametrização de perfis de utilizador;
Conjunto de mecanismos de controlo associados ao processo de recrutamento;
Revisão e aprovação do formulário de avaliação do candidato;
Análise e verificação dos resultados, revisão de antecedentes dos candidatos;
Revisão e verificação de afiliações de candidatos a clientes.

Processamento salarial/de honorários indevido por contrapartida de vantagem/benefícioBaixaMédioBaixoParcialBaixo

Validação mensal ao processamento e pagamento;
Existência de tabelas salariais e de plano de benefícios flexíveis;
Processamento automático de honorários com
base na atividade registada.

Risco	Avaliação do Risco			Avaliação do Controle Interno	Risco Residual	Medidas Preventivas e Corretivas
Risco	Probabilidade	Impacto	Risco Inerente	Avaliação do Controle Interno	Risco Residual	Medidas Preventivas e Corretivas
Processamento de pagamentos inadequados a parceiros ou entidades subcontratadas	Médio	Médio	Alto	Total	Baixo	Segregação de funções entre as equipas que propõem os pagamentos e as equipas que procedem aos mesmos; Correspondência do pagamento a documentos específicos; Limites de aprovação de documentos de fornecedores previstos nos orçamentos; Aprovação adicional de compras não previstas no orçamento; Orçamento anual aprovado para todas as direções corporativas, serviços partilhados e segmentos de negócio; Avaliação formal das propostas apresentadas pelos fornecedores e justificação superior da proposta de adjudicação; Realização de ações de formação em matéria de corrupção e realização de ações de sensibilização para os colaboradores;
Atribuição de ofertas/presentes/donativos/patrocínios relacionados com a adjudicação de um contrato ou em troca de benefício ou vantagem	Médio	Baixo	Médio	Parcial	Baixo	A atribuição de ofertas/ presentes/ donativos/ patrocínios encontra-se sujeitaaos requisitos previstos no Código de Conduta; Segregação de funções entre as equipas que analisam/aprovam a atribuição de ofertas/presentes/ donativos/ patrocínios e as que realizam o respetivo pagamento; Delegação de competências formal para a atribuição de ofertas/ presentes/donativos/patrocínios, com critérios bem definidos; São aplicadas, caso-a-caso, cláusulas específicas anticorrupção a incluir nos contratos; Existência de Canal de Denúncias.
Pagamento ou faturação de um serviço fictício ou favorecimento a um fornecedor ou cliente em troca de uma vantagem indevida	Baixo	Baixo	Baixo	Parcial	Baixo	Existência de um Código de Conduta de cumprimento obrigatório por todos os colaboradores; As regras para a emissão de notas de crédito e elegibilidade das isenções a aplicar no processo de faturação encontram-se formalmente definidas e partilhadas; Segregação de funções entre as equipas que propõem os pagamentos e as equipas que procedem aos mesmos; Correspondência do pagamento a documentos específicos; Limites de aprovação de documentos de fornecedores previstos nos orçamentos; Aprovação adicional de compras não previstas no orçamento; Circularização anual de saldos de fornecedores segundo critério definido; Os terceiros com quem se pretenda estabelecer uma relação de negócio são sujeitos a um processo de avaliação da relação de negócios através da utilização de ferramentas próprias que incluem árvores de decisão em termos de avaliação de risco. Estas ferramentas incluem a revisão e análise em termos de anticorrupção; A revisão das contas é realizada com frequência mensal por Contabilista Certificado e, anualmente, pelo auditor externo; Realização de ações de formação em matéria de corrupção e realização de ações de sensibilização para os colaboradores.

3. ACOMPANHAMENTO, AVALIAÇÃO E MONITORIZAÇÃO DO PPR

O Conselho de Administração da Ciberbit nomeou um Responsável pelo Cumprimento Normativo, com vista à monitorização e controlo da execução do Programa de Cumprimento Normativo bem como da sua revisão, sem prejuízo das competências legalmente conferidas a outros órgãos ou colaboradores da Ciberbit.

O cargo de Responsável pelo Cumprimento Normativo é exercido por um elemento da direção superior ou equiparado da Ciberbit. No âmbito das respetivas funções, o Responsável pelo Cumprimento Normativo dispõe de acesso à informação interna e aos recursos técnicos e humanos necessários, dispondo de autoridade para solicitar informações dos diversos departamentos das empresas atuando com independência e autonomia decisórias.

Neste sentido, a monitorização do PPR é assegurada através de testes periódicos aos controlos, da implementação e de registos de evidência da execução dos mesmos.

Adicionalmente, e nos termos previstos nas alíneas a) e b) do n.º 4 do artigo 6.º do Decreto-Lei n.º 109-E/2021, de 9 de dezembro, a execução do PPR está sujeita a outros controlos, designadamente:

A elaboração, no mês de outubro, de um relatório de avaliação intercalar nas situações identificadas com risco alto;
A elaboração, no mês de abril do ano seguinte a que respeita a execução, do relatório de avaliação anual, o qual deve conter, nomeadamente, a quantificação do grau de implementação das medidas preventivas e corretivas identificadas, bem como a previsão da sua plena implementação.

O PPR é revisto a cada três anos ou sempre que se opere uma alteração nas atribuições ou na estrutura orgânica ou societária da Ciberbit, que justifique a sua revisão.

4. DISPOSIÇÕES FINAIS

O PPR da Ciberbit, conforme dispõe o n.º 6 do artigo 6.º do Decreto-Lei n.º 109-E/2021 de 9 de dezembro, será disponibilizado no prazo de 10 dias contados desde a sua implementação e respetivas revisões ou elaboração.

Controlo do documento

Versão 2025
Aprovação	03/01/2025
Revisão Prevista	02/01/2028

Legal

Social