Plano de Prevenção de Riscos de Corrupção e Infrações Conexas
Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (2024-2027)
Versão do documento: XP.PT.35.01
Introdução
Em 9 de dezembro de 2021, foi publicado em Diário da República o Decreto-Lei n.º 109-E/2021. Esta legislação cria o Mecanismo Nacional Anticorrupção (MENAC) e aprova o Regime Geral de Prevenção da Corrupção (RGCP).
Através da criação do MENAC e do RGPC, o Decreto-Lei visa prevenir, detetar, reprimir e sancionar atos de corrupção e infrações conexas. Neste contexto, as entidades abrangidas pelo RGPC são obrigadas a adotar e implementar um programa de compliance, que deve incluir um Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (doravante designado por PPR ou Plano), um código de ética e conduta, um canal de denúncia e um plano de formação, entre outras medidas específicas aplicáveis tanto ao setor público como ao privado.
O RGPC, que entrou em vigor em junho de 2022, aplica-se às pessoas coletivas sediadas em Portugal que empreguem 50 ou mais trabalhadores, bem como às sucursais localizadas em território português de pessoas coletivas sediadas fora de Portugal que empreguem 50 ou mais trabalhadores.
Considerando este âmbito, o presente PPR refere-se à Xpand Solutions – Informática e Novas Tecnologias Lda, com sede em Portugal, abrangendo todos os seus escritórios em território português, doravante designada por Xpand IT.
Nesse sentido, este Plano procura dar cumprimento às obrigações previstas no RGPC, nomeadamente no Artigo 6.º, bem como promover uma cultura de integridade e transparência que a Xpand IT valoriza preza.
O Plano resulta de uma extensa análise de toda a organização da Xpand IT, na qual foram identificados os riscos associados a cada área de atividade, a par das medidas preventivas e corretivas para mitigar esses riscos.
Com a implementação deste Plano, a Xpand IT pretende reafirmar o seu compromisso com a prevenção e mitigação dos riscos de corrupção e infrações conexas, definindo os seguintes elementos e medidas de prevenção, entre os quais se destacam:
- Este documento, o PPR (Plano de Prevenção de Riscos de Corrupção e Infrações Conexas);
- Um Código de Ética e Conduta, que estabelece uma série de princípios, valores e regras de conduta para todos os gestores e colaboradores da Xpand IT em matéria de ética profissional, tendo em conta as normas criminais relacionadas com corrupção e infrações associadas e a exposição da empresa a tais riscos;
- Um programa de formação interno, para todos os gestores e colaboradores, para garantir que estes compreendem as políticas e procedimentos de prevenção à corrupção em vigor;
- Um Canal de Denúncias, regido por regulamentos, através do qual podem ser denunciados atos de corrupção e delitos relacionados. Este canal pode ser acedido através da Intranet pelos colaboradores e no site da Xpand IT.
Adicionalmente, a Xpand IT nomeou a Equipa de Governance, Risks & Compliance como Responsável pela Conformidade Regulatória (RCN) responsável por assegurar e supervisionar a implementação do Programa de Compliance. Estes indivíduos exercem as suas funções de forma independente, permanente e com autonomia de decisão, tendo acesso à informação interna e aos recursos humanos e técnicos necessários ao bom desempenho das suas funções.
Juntamente com a divulgação de regras internas e procedimentos e do Código de Ética e Conduta, o Plano de Prevenção forma o quadro normativo, baseado nos valores da empresa, que orienta a conduta diária de todos os colaboradores, órgãos da empresa, prestadores de serviços, fornecedores e terceiros com uma ligação relevante à Xpand IT, informando-os dos procedimentos em vigor e das suas responsabilidades.
Xpand IT
A Xpand IT foi fundada no final de 2003 por dois empreendedores experientes em tecnologia. A sua visão era criar uma grande empresa com uma equipa altamente especializada em áreas e tecnologias de software de ponta, capaz de inspirar outros a alcançar resultados surpreendentes.
Com uma equipa altamente especializada e uma abordagem disruptiva em comparação com os tradicionais Consultores de TI e Integradores de Sistemas, a Xpand IT tem apoiado empresas e equipas em todo o mundo na concretização de projetos de TI notáveis.
A empresa opera sempre com base na sua cultura, valores e princípios:
Excelência
Procuramos constantemente a inovação e investimos no domínio da tecnologia para gerar valor em tudo o que fazemos.
Pessoas
Priorizamos o bem-estar de todos, dentro e fora da empresa.
Integridade
Somos genuínos, transparentes e construímos relações de confiança.
Colaboração
Promovemos o contributo de todos para o sucesso comum através do feedback e cooperação.
No desempenho das suas funções e no exercício das suas competências, a conduta da Xpand IT, da sua Administração e dos seus colaboradores está vinculada ao estrito cumprimento da Lei e a elevados padrões éticos.
Organograma
A empresa está comprometida em oferecer soluções inovadoras e de alta qualidade para atender às necessidades de seus clientes em um mundo digital em constante evolução. Seu modelo de gestão reflete seu compromisso com a excelência, colaboração e agilidade.
De referir que a Xpand IT reforça o seu compromisso com a implementação de medidas preventivas contra a corrupção e infrações conexas. Este compromisso pode ser verificado através do site oficial da empresa, acessível em: https://xpand-it.com/pt-pt/legal/
Através deste website, os interessados podem obter informação detalhada sobre as políticas e práticas de compliance e prevenção de riscos da Xpand IT, bem como sobre os procedimentos estabelecidos para garantir a integridade e ética nos negócios. A Xpand IT está empenhada em manter os mais elevados padrões de conduta empresarial, garantindo transparência e conformidade em todas as suas atividades.
A atual estrutura organizacional da Xpand IT está representada no seguinte gráfico:
O modelo de gestão da Xpand IT assenta numa estrutura orgânica e circular, como mostra a Figura 1. Abaixo estão as principais responsabilidades de cada área:
Área | Responsabilidade |
Gestão | Composto por dois sócios-gerentes responsáveis pela estratégia de negócio e decisões-chave. |
Comissão Executiva | Composto por sete membros que lideram a estratégia geral da empresa e supervisionam todas as operações. |
Unidades de Negócio | Manter relações positivas com os clientes, impulsionar as vendas, adquirir e reter clientes, expandir a quota de mercado e contribuir para o sucesso da empresa. |
Comercialização | Promova a marca, os produtos e os serviços. Manter relações positivas com clientes e outras partes interessadas. |
Gestão de Talentos & Cultura da Empresa | Atrair e recrutar os melhores talentos para as necessidades de contratação da empresa. Garantir o alinhamento dos talentos com os valores e objetivos da empresa. |
Governança, Risco e Compliance (GRC) e Logística | Assegurar operações éticas em conformidade com as leis e regulamentos aplicáveis, apoiar o Conselho de Administração e a Comissão Executiva na tomada de decisões seguras e sustentáveis. Também responsável pela gestão da logística de escritório e recursos para garantir um local de trabalho confortável e funcional. |
Finanças e Folha de Pagamento & Benefícios | Lidar com operações financeiras e remuneração e benefícios de funcionários. |
Contabilidade | Gerir os processos contabilísticos da empresa. |
Operações de TI e Desenvolvimento de TI | Garanta um desempenho confiável do sistema e da rede e proteja os sistemas e os dados contra ameaças. |
Identificação de Áreas de Risco
São vários os fatores que contribuem para um maior ou menor risco em cada atividade. Como medida estrutural de prevenção da corrupção e infrações conexas, a Xpand IT realizou um inquérito às áreas organizacionais que, devido à natureza das suas funções e dos processos que gerem, estão mais expostas à corrupção e aos cenários de risco relacionados:
Área de Risco | Departamento / Equipa |
Gestão | Conselho de Administração, Comissão Executiva |
Vendas | Unidades de Negócio |
Contratação Pública | Unidades de Negócio, GRC (Governança, Risco e Conformidade) |
Fornecedores | Logística |
Faturação | Contabilidade, Unidades de Negócio |
Gestão Financeira | Finanças |
Pessoas | Folha de Pagamento & Benefícios, Gestão de Talentos e Cultura da Empresa |
Comercialização | Comercialização |
Sistemas de Informação | Operações de TI e Desenvolvimento de TI |
Controlo Interno | Finanças, GRC |
Avisos legais | Descentralizado em terceiros subcontratados / GRC |
Responsável pela Implementação do Plano
O Responsável pela Conformidade Regulatória (RCN) detém a principal responsabilidade funcional de garantir a implementação consistente e adequada dos instrumentos do Programa de Conformidade. Nos termos do artigo 5.º do Regime Geral da Corrupção (RGCP), este inclui a
coordenação independente e autónoma de todos os trabalhos envolvidos no desenvolvimento (quando ainda não existam), o acompanhamento da implementação e eficácia das medidas definidas, e a sua atualização sempre que necessário ou legalmente exigido.
Estas condições são essenciais para garantir que a execução deste importante papel é desempenhada de forma adequada e, acima de tudo, com vista à melhoria contínua, à promoção e reforço da cultura de integridade da organização, ao apoio e confiança de todos os que a servem, à melhoria dos padrões de qualidade no cumprimento da missão da organização e à manutenção da credibilidade reputacional no seu contexto operacional e na sociedade como um todo.
Em cumprimento do artigo 6.º, n.º 5, do Decreto-Lei n.º 109-E/2021, de 9 de dezembro, o Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Xpand IT será revisto de três em três anos ou sempre que se verifique uma alteração de funções ou de estrutura organizacional.
No que diz respeito ao acompanhamento, é elaborado um relatório anual em abril do ano seguinte ao da implementação. Se forem identificados riscos elevados ou máximos, será igualmente elaborado um relatório intercalar em outubro do mesmo ano, centrado apenas nas medidas preventivas adotadas em resposta a esses riscos.
O Departamento de Governance, Risks & Compliance é responsável por essa monitorização e por propor revisões.
A execução de medidas de mitigação relacionadas com cada risco identificado é da responsabilidade do departamento ou área a que a medida diz respeito.
No que comcerne aos responsáveis pela implementação e monitorização do plano, importa referir que a gestão de riscos deve fazer parte das atividades diárias e ser partilhada por todos os colaboradores. Os colaboradores devem estar cientes dos riscos na sua área e geri-los de acordo com as políticas, regulamentos e procedimentos estabelecidos pela Xpand IT.
Código de Ética e Conduta
A Xpand IT está atenta e atua de acordo com os princípios e valores estabelecidos na legislação nacional e internacional em matéria de Direitos Humanos e Sociais. Assim, a Xpand IT está empenhada em operar em linha com os princípios do Pacto Global das Nações Unidas, refletindo o nosso compromisso com os valores universais.
No domínio dos direitos humanos, asseguramos que todas as nossas operações respeitam e promovem os direitos fundamentais, eliminando todas as formas de discriminação e promovendo a igualdade de oportunidades.
Em termos de direitos laborais, garantimos condições de trabalho seguras e saudáveis aos nossos colaboradores, respeitando os direitos laborais, incluindo a liberdade de associação e a negociação coletiva.
Em relação à corrupção, mantemos rigorosos padrões éticos, promovendo transparência e integridade em todas as nossas interações comerciais.
Cumprimos integralmente todas as obrigações legais, independentemente da geografia em que operamos, contando com entidades especializadas. Rejeitamos comportamentos ambíguos, agimos com integridade, evitamos conflitos de interesse e não oferecemos nem aceitamos qualquer forma de suborno.
Para tal, as nossas ações são orientadas por um Código de Ética e Conduta aprovado.
O Código de Ética e Conduta da Xpand IT pode ser consultado aqui.
Corrupção e Crimes Conexos
A corrupção e os crimes conexos podem surgir de várias motivações, tais como:
- Interesses económicos
- Dívidas e património
- Ganho pessoal
- Atividades competitivas
- Filiação política
- Interesses familiares
- Ligações com os decisores
- Negociações para o emprego futuro
Recentemente, a visão tradicional da corrupção como um fenômeno limitado ao setor público foi abandonada. É hoje amplamente reconhecido que a corrupção também ocorre no setor privado, onde prejudica o investimento privado, perturba a concorrência leal no mercado e prejudica a credibilidade das empresas.
Por que a prevenção é importante no setor privado
A prevenção da corrupção no setor privado é essencial para assegurar o bom funcionamento do mercado. É uma forma de controlo da corrupção que procura proteger a integridade das relações comerciais.
Tabela de Crimes no âmbito do Regime Geral de Prevenção da Corrupção
Conforme previsto no artigo 3.º do Decreto-Lei n.º 109-E/2021, de 9 de dezembro, remetendo também para o Código Penal (Decreto-Lei n.º 48/95, de 15 de março) e para o Decreto-Lei n.º 28/84, de 20 de janeiro (na redação que lhe foi dada).
Tipo | Definição | Exemplos práticos | Penalidade |
Corrupção passiva e ativa (Artigos 373.º e 374.º) | Funcionários públicos ou privados que solicitem, aceitem, ofereçam ou prometam vantagens indevidas (monetárias ou não) em violação de seus deveres. | Um funcionário da empresa solicita ou aceita um suborno para tomar uma decisão favorável. | Passivo: Até 5 anos de prisão ou multa (600 dias). Ativo: Até 3 anos (ou 5 em casos graves), ou multa (600 dias). |
Tráfico de influência (Artigo 335.o) | Solicitar ou aceitar uma vantagem para abusar de influência (real ou presumida) junto de uma entidade pública ou estrangeira. | Receber dinheiro para influenciar a decisão de um funcionário público. | 1 a 5 anos de prisão. |
Branqueamento de capitais (Artigo 368.º-A) | Ocultar a origem ou a propriedade de produtos ilícitos para os fazer parecer legais. | Ocultar intencionalmente a origem ilícita de bens ou fundos. | Até 12 anos de prisão. |
Desvio de fundos (Artigo 375.o) | Apropriação indevida de dinheiro ou bens confiados a funcionário público ou privado. | Um funcionário se apropria indevidamente de fundos ou propriedades da empresa. | 1 a 8 anos de prisão. |
Uso indevido da propriedade (Art. 376) | Utilização de bens para fins diferentes dos legalmente previstos. | Um funcionário usa equipamentos da empresa para benefício pessoal. | Até 1 ano de prisão ou multa (120 dias). |
Recebimento ilegal ou oferta de vantagem (art. 372) | Oferecer ou receber benefícios indevidos devido à sua posição. | Um gestor aceita presentes que comprometem a sua imparcialidade. | Recebimento: Até 5 anos ou multa (600 dias). Oferta: Até 3 anos ou multa (360 dias). |
Participação Económica Ilícita (Art.º 377.º) | Usar a sua posição para tomar decisões que beneficiem a si próprio ou a terceiros. | Um gestor concede contratos à empresa de um amigo, prejudicando a organização. | Até 5 anos de prisão. Em alguns casos: até 6 meses ou multa (60 dias). |
Extorsão (concussão) (Art. 379) | Receber fundos indevidos enganando ou explorando o erro da vítima. | Um funcionário público cobra taxas excessivas induzindo os cidadãos em erro. | Até 2 anos de prisão ou multa (240 dias). |
Abuso de Poder (Art. 382) | Abusar da posição de alguém para obter benefícios ou causar danos. | Um gestor explora a sua autoridade para favorecer terceiros. | Até 3 anos de prisão ou multa. |
Má conduta no exercício do cargo (art.º 369.º) | Tomar conscientemente decisões ilegais durante processos legais ou disciplinares. | Um gestor está ciente da corrupção interna, mas não faz nada para impedi-la. | Até 2 anos de prisão ou multa (120 dias). |
Subvenção/Fraude ao crédito (artigos 36.º e 38.º) | Obtenção de subsídios ou crédito através de informações ou documentos falsos. | Envio de dados fraudulentos para receber fundos públicos. | 2 a 8 anos de prisão e multa. |
Conflito de interesses | (Conforme definido pelo Conselho Português de Prevenção da Corrupção) | Qualquer conflito (real, aparente ou potencial) que comprometa a imparcialidade. | Os funcionários devem lidar com todos os assuntos de forma imparcial e evitar influências indevidas. |
Plano de Prevenção de Riscos de Corrupção e Infrações Conexas
A elaboração deste PLANO teve em conta o disposto no Decreto-Lei n.º 109-E/2021, de 9 de dezembro, as recomendações do Conselho Português de Prevenção da Corrupção, e as melhores práticas da indústria a nível nacional e internacional, incluindo os requisitos e recomendações da ISO 31000 (Gestão de Riscos).
Âmbito de aplicação
Este Plano abrange todas as áreas de atividade da Xpand IT e respetivos colaboradores.
Objetivos
Na elaboração deste Plano foram estabelecidos os seguintes objetivos:
- Identificar, analisar e classificar riscos e situações que possam expor a organização a atos de corrupção e infrações conexas, incluindo os associados às funções dos órgãos de administração e executivos, considerando o setor e as áreas geográficas de atuação da empresa;
- Implementar medidas preventivas e corretivas que reduzam a probabilidade e o impacto dos riscos e situações identificados;
- Designar os responsáveis pela monitorização e acompanhamento do presente Plano.
Este Plano abrange todas as áreas de atividade da Xpand IT e respetivos colaboradores.
Definições
- Risco: O efeito da incerteza sobre os objetivos da organização, muitas vezes expresso como uma combinação das consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de sua ocorrência.
- Risco residual: O nível de risco remanescente após a aplicação de ações de mitigação de riscos, como atividades de controle.
- Gestão de Riscos: Processo pelo qual as organizações analisam sistematicamente os riscos inerentes às suas atividades, visando vantagens sustentadas nos processos empresariais individuais e coletivos.
- Probabilidade (P): A frequência com que um evento de risco pode ocorrer em um processo ou negócio.
- Impacto (I): As consequências que um evento de risco pode ter nas operações da organização.
- Evento de Risco de Corrupção e Crime Conexo: Fato que dá origem a um ato de corrupção ou delito relacionado.
- Nível de Risco (RL): O produto da Probabilidade e do Impacto.
- Mitigação: Ação tomada para prevenir a ocorrência e/ou o impacto de um evento de risco.
Metodologia
A Xpand IT adotou uma metodologia baseada na ISO 31000:2018 – Risk Management – Guidelines, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente a gestão de riscos.
O processo de cartografia e avaliação dos riscos consiste nas seguintes etapas:
- Identificar as áreas de risco dentro da organização e os responsáveis. Os riscos foram identificados através de reuniões com líderes de área.
- Compreender os riscos envolvidos, incluindo as suas causas, fontes, consequências (positivas e negativas) e a probabilidade de essas consequências ocorrerem.
- Analisar riscos com base nos critérios de impacto (I) e probabilidade (P) definidos.
- Avaliar e priorizar riscos, permitindo a definição de cenários potenciais.
- Identificar medidas de controlo interno e prevenção e definir métodos de monitorização e avaliação anuais.
- Reavaliar os riscos, uma vez que as áreas de risco podem evoluir ou podem surgir riscos novos/emergentes. Este é um processo contínuo.
Identificação de riscos associados à atividade da Xpand IT
De acordo com a metodologia definida, a empresa identificou potenciais riscos de corrupção e infrações relacionadas que poderiam surgir devido à natureza específica das atividades desenvolvidas em cada área da Xpand IT.
Classificação de Risco
Uma vez identificados e caracterizados por área, os riscos foram classificados com base em:
- Critérios de Avaliação de Probabilidades, e
- Critérios de avaliação de impacto.
Probabilidade
De acordo com a metodologia da Xpand IT, existem três níveis de probabilidade, baseados na adequação dos controlos de mitigação e na ocorrência de eventos de risco nos últimos três anos:
Nível | Definição | Processos |
Baixo (1) | O risco surge apenas em circunstâncias excecionais | 0 ou 1 caso nos últimos 3 anos |
Médio (2) | O risco surge de um processo esporádico que se espera que ocorra ocasionalmente. Os controlos existem, mas são insuficientes | 2 a 3 casos nos últimos 3 anos |
Alto (3) | O risco surge de um processo frequente e contínuo. Os controlos estão ausentes ou são insuficientes | Mais de 3 casos nos últimos 3 anos |
Impacto
Também avaliado em três níveis, com base em perdas financeiras, danos à reputação e questões legais:
Nível | Definição | Processos |
Baixo (1) | Perda financeira mínima ou nenhuma. Nenhum dano significativo à reputação ou às operações | Perda < €10k, impacto reputacional local / interno |
Médio (2) | Perdas financeiras e perturbações operacionais | € 10k – €100k, danos à reputação, potenciais problemas legais |
Alto (3) | Perdas financeiras significativas e violação grave dos princípios de interesse público, prejudicando a credibilidade da Xpand IT | >100k€ de perda, sanções regulamentares, ação judicial ou exclusão |
Nível de Risco = Probabilidade × Impacto
Usando as pontuações acima, um nível de risco é calculado para cada caso usando a seguinte matriz:
Baixo impacto (1) | Impacto médio (2) | Alto impacto (3) | |
Baixa probabilidade (1) | Baixo | Baixo | Média |
Probabilidade média (2) | Baixo | Média | Alto |
Alta probabilidade (3) | Média | Alto | Alto |
Quadro de decisão baseado no nível de risco
Nível de Risco | Localização | Decisão |
Baixo | Baixa probabilidade e baixo impacto nas finanças ou reputação | Risco aceitável |
Média | Pode causar perdas financeiras ou danos à reputação | Risco sob avaliação – deve decidir se aceita ou reforça a prevenção |
Alto | Alta probabilidade e alto impacto, incluindo sérias consequências legais ou reputacionais | Risco inaceitável – implementar medidas de mitigação novas e mais fortes |
Identificação de medidas de mitigação
Monitorização e Revisão de Eventos de Risco
Após a avaliação e priorização dos riscos, devem ser identificadas medidas de mitigação para cada risco, juntamente com uma avaliação da sua adequação.
Classificação | Descrição |
Adequado | As medidas de mitigação implementadas são eficazes na redução dos riscos identificados. |
Fraco | As medidas de atenuação existentes devem ser reforçadas. |
Inadequado | As medidas existentes devem ser substituídas ou complementadas por novas estratégias de atenuação. |
A Xpand IT monitoriza cuidadosamente a exposição a cada risco de corrupção e infração relacionado, implementando um processo de controlo de risco. A frequência da monitorização é ajustada com base no nível de risco.
Nível de Risco | Frequência de monitorização |
Baixo | De 3 em 3 anos (trienal) |
Média | Anualmente – Revisão do plano |
Alto | Trimestral – Relatórios de revisão e avaliação do plano |
Os objetivos do acompanhamento são os seguintes:
- Assegurar a eficácia e a eficiência dos controlos em vigor, especialmente através da análise da frequência com que os eventos de risco podem ter ocorrido.
- Detetar alterações nos eventos de risco que possam aumentar a sua probabilidade ou impacto.
- Verifique se as ações de mitigação foram implementadas dentro do cronograma e avalie se alguma medida ou cronograma precisa ser revisto.
- Identificar riscos emergentes que possam não ter sido previamente considerados.
Resultados do desempenho da gestão de riscos
Os resultados do desempenho da gestão de risco são comunicados ao Conselho de Administração e à Comissão Executiva e a outras partes interessadas relevantes de acordo com o plano de comunicação estabelecido internamente, especificamente em dois momentos distintos: em outubro, através da emissão do Relatório de Avaliação Intercalar (RAI), e em abril, através da emissão do Relatório de Avaliação Anual (RAA).
Em linha com a metodologia delineada, a operacionalização do PPR visa assegurar a aplicação efetiva destes procedimentos, suportando assim a execução robusta de medidas de tratamento definidas internamente para gerir os riscos inerentes à organização.
Assim, reconhecendo que o processo de gestão de risco na Xpand IT é contínuo e dinâmico, e após uma revisão abrangente da informação produzida com o contributo de todas as Unidades Organizacionais, apresentamos os resultados dos esforços de gestão de risco da empresa.
Em 2024, foram identificados um total de 14 riscos . Após sua avaliação, os riscos foram classificados e as correspondentes estratégias de tratamento estabelecidas, compreendendo 7 riscos baixos, 5 médios e 2 altos riscos.
Os riscos elevados constituem 14% dos riscos identificados.
Os riscos distribuem-se pelas Unidades Organizacionais da seguinte forma:
No total, foram definidas 27 medidas de mitigação de riscos, que serão sujeitas a monitorização de acordo com os procedimentos acima referidos.
