(incluindo os riscos de corrupção e infrações conexas) | 2019 · 2019-12-30 · devem designar...

Plano de Prevenção de

Riscos de Gestão

(incluindo os riscos de corrupção e infrações conexas)

| 2019

Plano de Prevenção de Riscos de Gestão | 2019

© eSPap | Entidade de Serviços Partilhados da Administração Pública, I. P. 2 | 53

2

índice

i enquadramento ..................................................................................... 3

ii caracterização organizacional ................................................................ 4

a. caracterização .............................................................................................................. 4

b. missão, visão e valores ............................................................................................... 4

c. atribuições .................................................................................................................... 5

d. estrutura orgânica e responsáveis ............................................................................ 5

e. compromisso ético .................................................................................................... 12

iii metodologia ........................................................................................ 13

a. definição de risco e de gestão do risco .................................................................. 13

b. fatores de risco .......................................................................................................... 15

iv riscos de corrupção e infrações conexas | instrumentos e medidas

preventivas ............................................................................................... 16

v definição, execução e monitorização do plano ...................................... 45

a. execução do plano e monitorização ........................................................................ 45

b. revisão e atualização do plano ................................................................................. 45

c. funções e responsabilidades.................................................................................... 46

vi instrumentos ....................................................................................... 47

vii glossário .............................................................................................. 51



3

i enquadramento

A Lei n.º 54/2008, de 4 de setembro, criou o Conselho de Prevenção da Corrupção (CPC) como

entidade administrativa independente, que funciona junto do Tribunal de Contas (TC), a qual

desenvolve uma atividade de âmbito nacional no domínio da prevenção da corrupção e infrações

conexas.

Nos termos da recomendação do CPC de 1 de julho de 20091, “Os órgãos dirigentes máximos

das entidades gestoras de dinheiros, valores ou patrimónios públicos, seja qual for a sua

natureza, devem elaborar Planos de Gestão de Riscos de Corrupção e Infrações Conexas”

(PGRCIC), os quais deverão incluir, nomeadamente, a “Elaboração de um Relatório Anual da

Execução do referido plano”.

Tendo o CPC concluído que os planos que lhe foram remetidos não cobriam exaustivamente os

riscos, carecendo de maior aprofundamento relativamente à adoção e execução das medidas

preventivas, emitiu a recomendação de 1 de julho de 20152. Esta recomendação veio estabelecer

que o plano deve identificar de modo exaustivo os riscos de gestão relativamente às funções,

ações e procedimentos realizados por todas as unidades orgânicas (UO), incluindo os de

corrupção, bem como as correspondentes medidas preventivas. Indica ainda que os planos

devem designar responsáveis setoriais e um responsável geral pela sua execução e

monitorização, bem como pela elaboração dos relatórios anuais.

O presente Plano de Prevenção de Riscos de Gestão tem como propósito corresponder à

recomendação de 1 de julho de 2015, identificando de forma exaustiva os riscos de gestão,

incluindo os de corrupção e respetivas medidas de prevenção e dissuasão, compreendendo a

seguinte estrutura:

» caracterização organizacional;

» metodologia;

» riscos de corrupção e infrações conexas | instrumentos e medidas preventivas;

» definição, execução e monitorização do plano.

Cumpre ainda dar cumprimento ao teor da recomendação do CPC de 2 de outubro de 20193 que

manteve o teor da recomendação do CPC de 7 de janeiro de 20154, revisitando-a à luz das mais

1 http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20090701.pdf 2 http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20150701_2.pdf 3 http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20191002.pdf 4 http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20150107.pdf

http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20090701.pdf

http://www.cpc.tcontas.pt/documentos/recomendacoes/recomendacao_cpc_20150701_2.pdf





4

recentes alterações introduzidas ao Código dos Contratos Públicos, na sequência de novas

Diretivas europeias em matéria de contratação pública.

Por último, é de relembrar que, conforme decorre das recomendações emanadas pelo CPC, a

definição, implementação, e avaliação do Plano de Prevenção de Riscos de Gestão constituem

uma responsabilidade do Conselho Diretivo (CD) e de todos os colaboradores com funções

dirigentes.

ii caracterização organizacional

a. caracterização

A Entidade de Serviços Partilhados da Administração Pública, I. P. (eSPap) foi criada no âmbito

do Plano de Redução e Melhoria da Administração Central (PREMAC)5, visando a utilização

racional e eficiente dos recursos públicos, bem como a redução da despesa pública, e tendo

como objetivo a extensão do modelo de serviços partilhados a toda a Administração Pública.

A eSPap, cuja criação foi concretizada através do Decreto-Lei n.º 117-A/2012, de 14 de junho,

rege-se pela Portaria n.º 256/2018, de 10 de setembro6, a qual define a sua organização interna

e os seus estatutos, e pelo Regulamento Interno7 aprovado em reunião do CD da eSPap de

22/07/2014, objeto de alteração por deliberações de 09/09/2014, 19/03/2015, 07/08/2018,

06/11/2018 e 10/10/2019.

b. missão, visão e valores

A missão da eSPap é assegurar a obtenção de ganhos de eficácia e eficiência, através da

utilização racional de recursos públicos comuns e da prestação de serviços partilhados,

contribuindo para um Estado mais ágil e direcionado para o desenvolvimento sustentável do país.

A visão da eSPap é ser a opção de referência para a Administração Pública na utilização de

recursos públicos comuns e na prestação de serviços partilhados.

5 resultante da fusão por extinção do Instituto de Informática, Empresa de Gestão Partilhada de Recursos da Administração Pública, E. P. E. (GeRAP) e Agência Nacional de Compras Públicas, E. P. E. (ANCP) 6 revogou a Portaria n.º 275/2012, de 10 de setembro 7 https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/Regulamento_Interno_10_10_2019_CD.pdf

https://dre.pt/application/conteudo/411608


https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/2018_Regulamento_Interno.pdf

https://dre.pt/pesquisa/-/search/176016/details/maximized

https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/Regulamento_Interno_10_10_2019_CD.pdf



5

Os valores fundamentais que pautam a atividade da eSPap são:

c. atribuições

A eSPap tem por missão assegurar o desenvolvimento e a prestação de serviços partilhados no

âmbito da Administração Pública (AP) , bem como conceber, gerir e avaliar o Sistema Nacional

de Compras Públicas (SNCP) e assegurar a gestão do Parque de Veículos do Estado (PVE),

apoiando a definição de políticas estratégicas nas áreas de tecnologias de informação e

comunicação (TIC) das Finanças, garantindo o planeamento, conceção, execução e avaliação

das iniciativas de informação tecnológica dos respetivos serviços e organismos. As suas

atribuições encontram-se explicitadas no artigo 3.º do Decreto-Lei n.º 117-A/2012, de 14 de

junho.

d. estrutura orgânica e responsáveis

A eSPap é dirigida por um Conselho Diretivo (CD), constituído por um Presidente, uma Vice-

Presidente e dois Vogais. O Ministro das Finanças procede à nomeação do CD da eSPap para

um mandato de cinco anos, renovável por igual período.

É igualmente órgão de gestão o Fiscal Único (FU), nomeado pelo Ministro das Finanças, por um

período de cinco anos, podendo ser renovado por uma única vez.

A eSPap está organizada por UO e estruturada por funções, com foco nas funções de negócio:

» as funções de negócio - Serviços Partilhados de Compras Públicas, Finanças e

Recursos Humanos – que concebem, desenvolvem e operacionalizam os serviços e

soluções/produtos, consoante a área de atividade a que respeitam;




6

» as funções corporativas, que apoiam o CD e as funções de negócio em áreas

fundamentais como o planeamento, controlo e funcionamento da organização;

» os Sistemas de Informação e Infraestrutura de Tecnologias de Informação e

Comunicação (TIC) assumem um duplo papel:

› função corporativa, enquanto prestador de serviços internos, que assegura serviços

essenciais às restantes funções de negócio;

› função de negócio, enquanto prestador de serviços externos, com a prestação de

serviços de sistemas e tecnologias de informação, para o Ministério das Finanças,

bem como os de utilização comum pela AP.

A atual estrutura orgânica da eSPap é a que consta do seguinte organograma:



7

As competências da eSPap8 estão organizadas da seguinte forma:

» Conselho Diretivo (CD)

Compete ao CD assegurar a representação da eSPap, nas comissões, grupos de trabalho ou

atividades de organismos nacionais e estrangeiros, bem como, assegurar as relações da com

os outros serviços ou organismos do Estado e com outras entidades nacionais, públicas ou

privadas;

Submeter à aprovação do membro do Governo da Tutela os projetos de regulamentação

necessários à atividade e que não possam ser por si aprovados e elaborar as propostas de

tipologias de serviços a prestar pela eSPap, podendo associar-lhes um preço, e submetê-las

à aprovação do membro do Governo da Tutela;

Negociar e celebrar contratos-programa, acordos de níveis de serviço, acordos quadro e

outros contratos, públicos e privados, necessários ao desenvolvimento das atividades da

eSPap e proceder à definição de parcerias estratégicas com entidades públicas ou privadas

e celebrar os respetivos protocolos;

Promover a necessária articulação com os serviços e organismos da Administração Pública

que, no âmbito das respetivas atribuições de natureza normativa e de coordenação, prestam

apoio técnico na fixação dos requisitos dos processos desenvolvidos pela eSPap.

Autorizar, aprovar e homologar no âmbito de competências especificas em matéria de

compras públicas e do PVE, delegadas pelo Ministro das Finanças, conforme Despacho n.º

4220/2018, de 26 de abril;

Delegar competências que lhe são cometidas, conforme Deliberação n.º 290/2019, de 15 de

março, designadamente em matérias de compras públicas, PVE, gestão orçamental,

financeira, recursos humanos e administrativa.

Presidente: César Pestana

Vice-Presidente: Teresa Girbal

Vogal: Eugénio Antunes

Vogal: Tiago Joanaz de Melo

8 Abrange outras estruturas funcionais da eSPap ou por si coordenadas






8

» Direção de Planeamento Estratégico e Controlo de Gestão (DPG)

Compete à DPG apoiar o CD no planeamento estratégico e controlo da sua execução,

assegurar o alinhamento da organização aos objetivos definidos e monitorizar o

desenvolvimento organizacional, bem como coordenar a implementação de programas

estratégicos e ou transversais;

Compete assegurar, em articulação com as unidades de negócio, o desenvolvimento e

implementação de programas de inovação, qualidade e melhoria contínua, bem como a

coordenação e suporte metodológico à gestão de projetos;

Compete ainda à DPG, nos termos do Regulamento Interno, apoiar o CD na definição e

implementação da estratégia de comunicação e gestão da marca, bem como assegurar a

gestão dos canais de comunicação internos e externos.

Diretor: Pedro Engrácia

» Direção Jurídica e de Administração Geral (DJA)

Compete à DJA assegurar o apoio administrativo ao CD, bem como assegurar as atividades

transversais de apoio administrativo geral, a gestão financeira, patrimonial, de recursos

humanos, logísticos e de aprovisionamento necessários ao funcionamento da organização;

Compete ainda à DJA prestar apoio jurídico ao CD e a todas as unidades orgânicas, instruir

e acompanhar os procedimentos de contratação pública e intervir nos processos judiciais em

que a eSPap seja parte.

Diretora: Rita Rosa-Limpo

» Direção de Serviços Partilhados de Compras Públicas (DCP)

Compete à DCP desenvolver, gerir e operar o ciclo de vida dos serviços de compras públicas,

mediante disponibilização de instrumentos de suporte e execução de atividades de apoio

técnico ou administrativo;

Compete ainda à DCP desenvolver, gerir e operar o ciclo de vida dos serviços de logística e

de gestão do parque de veículos do Estado, mediante disponibilização de instrumentos de

suporte e execução de atividades de apoio técnico ou administrativo.

Diretor: João Barroso



9

» Direção de Serviços Partilhados de Finanças (DSPF)

Compete à DSPF desenvolver, gerir e operar o ciclo de vida dos serviços partilhados no

âmbito da gestão orçamental, financeira e contabilística, mediante disponibilização de

instrumentos de suporte e execução de atividades de apoio técnico ou administrativo.

Diretora: Sandra Dias

» Direção de Serviços Partilhados de Recursos Humanos (DSPRH)

Compete à DSPRH desenvolver, gerir e operar o ciclo de vida dos serviços partilhados no

âmbito da gestão de recursos humanos, mediante disponibilização de instrumentos de

suporte e execução de atividades de apoio técnico ou administrativo.

Diretora: Elisabete Cardoso

» Direção de Sistemas de Informação (DSI)

Compete à DSI a prestação de serviços partilhados de desenvolvimento e manutenção de

sistemas de informação para o Ministério das Finanças, bem como os de utilização comum

pela AP que lhe sejam cometidos.

Diretor: Joel Silva

» Direção de Infraestruturas de Tecnologias de Informação e Comunicação (DITIC)

Compete à DITIC a prestação de serviços partilhados de infraestruturas das tecnologias de

informação e comunicação para o Ministério das Finanças, bem como os de utilização comum

pela AP que lhe sejam cometidos.

Diretora: Fátima Santos

Existem ainda outras estruturas funcionais da eSPap ou por si coordenadas:

» Encarregado de Proteção de Dados | Data Protection Officer (DPO)

Compete ao DPO o controlo da conformidade com o Regulamento Geral de Proteção de

Dados (RGPD), nomeadamente recolher informações para identificar as atividades de

tratamento de dados pessoais, analisar e verificar a conformidade dessas atividades, prestar



10

informações e aconselhamento e formular recomendações ao responsável pelo tratamento

ou ao subcontratante.

DPO: Pedro Engrácia

» Comissão Interministerial de Compras (CIC)

Compete à CIC pronunciar-se sobre as linhas gerais da política de aquisições públicas e

respetivo aperfeiçoamento do quadro legal e regulamentar;

Assegurar a ligação entre a eSPap e os ministérios, no âmbito do sistema de aquisições

públicas, promovendo a permuta de informação entre serviços e organismos;

Dar parecer sobre assuntos relacionados com as aquisições públicas.

Presidência: Presidente do Conselho Diretivo, César Pestana

Adicionalmente existem seis estruturas complementares que a eSPap criou para o

acompanhamento das atividades:

» Comité de Planeamento e Operações (CPO)

Reúne mensalmente o CD e os diretores, para planeamento e acompanhamento global da

atividade e do desempenho da organização, em termos estratégicos, financeiros, de recursos

humanos e outras matérias de relevância.

» Comité Consultivo de Alterações | Change Advisory Board (CAB)

Reúne semanalmente o membro do CD responsável pelo pelouro das TIC, os dirigentes das

UO TIC e representante da DPG, para aprovar/rejeitar os pedidos de alteração, em matérias

de infraestruturas TIC e desenvolvimento/manutenção de sistema de informação, e priorizá-

los.

» Comité de Segurança e Privacidade de Informação (CSPI)

Este comité é coordenado pelo membro do CD responsável pelo pelouro da Segurança da

Informação, sendo ainda composto pelo Encarregado de Proteção de Dados, e os

representantes da DJA (competências jurídicas, de gestão de recursos humanos e de gestão

do edifício), da DITIC (competência de segurança informática), da DSI (competência de

engenharia de software) e da DPG (competências de planeamento estratégico, auditoria,



11

PMO e comunicação). Este Comité visa o planeamento das ações conducentes à

implementação da Política de Segurança da Informação, a gestão do risco, a definição das

métricas de avaliação do sucesso, a execução das ações planeadas, o acompanhamento dos

resultados e a decisão sobre ações de mitigação a implementar.

» Programme Management Office (PMO)

Reúne mensalmente o CD, dirigentes e gestores de projeto, para promover a gestão integrada

do portefólio de projetos que integram os programas setoriais, otimizando a afetação de

recursos humanos, financeiros e tecnológicos à missão e estratégia da organização.

» Equipa de Suporte ao DPO

Reúne periodicamente o DPO, representante do PMO, dirigentes das UO TIC e representante

da DJA, com o objetivo de promover a adequada e atempada resposta às exigências do

RGPD, nomeadamente no que concerne à gestão de riscos e à identificação de tarefas e

projetos necessários à sua consecução.

A atividade da eSPap é controlada externamente pelos seguintes organismos:

» Controlos de natureza especial, financeira e de legalidade:

Tutela (Ministro das Finanças e Ministra da Modernização do Estado e da

Administração Pública)

Aprova o plano de atividades, orçamento, relatório de atividades e as contas da eSPap;

Nomeia os membros do CD;

Autoriza previamente outros atos previstos na lei ou nos estatutos da eSPap.

Direção-Geral do Orçamento

Analisa, acompanha e controla a execução do programa orçamental, em colaboração

com os respetivos coordenadores, nomeadamente a Secretaria Geral do Ministério das

Finanças, através dos reportes de informação efetuados pela eSPap mensal, trimestral

e anualmente.

Fiscal Único

Controla o cumprimento das leis, a execução orçamental, a situação económica, financeira e patrimonial da eSPap e analisa as suas contas;



12

Dá parecer sobre o orçamento, relatório de gestão e contas de gerência, emitindo a Certificação Legal de Contas (CLC);

Pronuncia-se sobre os assuntos que lhe sejam submetidos pelo CD, pelo TC e pelas entidades que integrem o controlo estratégico do sistema de controlo interno da administração financeira do Estado.

Tribunal de Contas

Fiscaliza a legalidade e regularidade das receitas e despesas da eSPap, de forma prévia,

concomitante e sucessiva ou a posteriori;

Realiza auditorias como método de controlo financeiro.

Inspeção-Geral das Finanças

Assegura o controlo estratégico da administração financeira do Estado através do

controlo da legalidade e da auditoria financeira e de gestão.

Gabinete de Planeamento, Estratégia, Avaliação e Relações Internacionais

(GPEARI),

Acompanha e avalia a execução de políticas e dos instrumentos de gestão da eSPap.

e. compromisso ético

A eSPap desenvolve uma atividade que se consubstancia num serviço de interesse público geral,

o que reforça a sua dimensão socioeconómica e a necessidade de se afirmar como uma

organização socialmente responsável, vinculada ao interesse geral e a princípios de crescimento

sustentável. Deste modo, torna-se ainda mais premente a exigência do mais absoluto rigor e

transparência na sua atuação, conferindo a todos os que nela trabalham, ou que com ela se

relacionam, uma responsabilidade acrescida no seu desempenho e na sua conduta.

Os princípios e os valores que pautam a atuação da eSPap, bem como as normas de conduta a

que os seus trabalhadores se encontram sujeitos, e assumem como intrinsecamente suas, e que

a organização pretende ver reconhecidos pela Tutela, fornecedores, parceiros e sociedade em

geral, encontram-se estabelecidos no Código de Ética9.

9 https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/codigo_de_etica.pdf

https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/codigo_de_etica.pdf

https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/codigo_de_etica.pdf



13

iii metodologia

a. definição de risco e de gestão do risco

A norma de Gestão de Riscos (ISO/IEC Guia 73) apresenta o risco como a combinação da probabilidade de um evento e das suas consequências. Geralmente, o termo “risco” é utilizado apenas quando há, pelo menos, a possibilidade de consequências negativas. Em alguns casos, o risco decorre da possibilidade de desvio em relação ao evento ou resultado esperado.

A Gestão de Riscos consiste num conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos, tornando-se assim parte de processos mais amplos da gestão das organizações. Cada vez mais as organizações utilizam os processos de gestão de risco para otimizar a gestão de potenciais oportunidades, uma vez que o simples facto de existir atividade abre a possibilidade para a ocorrência de eventos ou situações cujos impactos podem constituir vantagens ou ameaças ao sucesso.

A gestão global do risco na eSPap é da competência do CD que promove a análise e identificação sistemática dos riscos a que a organização se encontra exposta, incluindo os riscos de corrupção e infrações conexas, que assumem especial criticidade considerando a sua missão e atribuições.



14

A Gestão de Riscos implica uma metodologia dividida em várias fases:

i Identificação e definição do risco – reconhecer e classificar os factos cuja probabilidade de ocorrência, e respetiva gravidade de consequência, configurem riscos de gestão, incluindo riscos de corrupção e de natureza similar;

ii Análise do risco - classificar o risco, segundo critérios de probabilidade de ocorrência e de gravidade de consequência, e conforme conjuntos de critérios, medidas e ações estabelecidos;

iii Avaliação e classificação do risco – a cada risco identificado deve ser atribuída uma classificação, segundo uma escala de risco elevado(RE), moderado(RM) ou fraco(RF), em função da probabilidade de ocorrência e gravidade da consequência. No caso do presente plano a aferição da gravidade da consequência considera a detetabilidade e a reversibilidade do evento como fatores ponderados.

Probabilidade de Ocorrência

Fraca (F) (possibilidade de

ocorrência, mas com

hipóteses de prevenir o

evento com o controlo

existente para o tratar)

Moderada (M) (possibilidade de

ocorrência, mas com

hipóteses de prevenir o

evento através de

decisões e ações

adicionais)

Elevada (E) (forte possibilidade de

ocorrência e escassez

de hipóteses de prevenir

o evento mesmo com

decisões e ações

adicionais)

Gra

vid

ade

da

Co

nse

qu

ên

cia

Elevada (E) (prejuízo na imagem e

reputação de integridade

institucional, bem como

na eficácia e

desempenho da sua

missão)

Risco

Moderado

Risco

Elevado

Risco

Elevado

Moderada (M) (perda na gestão das

operações, requerendo

a redistribuição de

recursos em tempo e em

custos)

Risco

Fraco

Risco

Moderado

Risco

Elevado

Fraca (F) (dano na otimização do

desempenho organizaci

onal, exigindo a recalen-

darização das atividades

ou projetos)

Risco

Fraco

Risco

Fraco

Risco

Moderado



15

As medidas corretivas a tomar são:

› evitar o risco, eliminando a causa;

› prevenir o risco, procurando minimizar a probabilidade de ocorrência do risco ou do

seu impacto negativo;

› aceitar o risco e os seus efeitos;

› transferir o risco para terceiros, em caso de existir quem esteja melhor capacitado e

recetivo a assumi-lo.

Conforme o grau de risco, deverão ser tomadas as seguintes medidas corretivas:

› risco fraco – aceitar, prevenir;

› risco moderado – transferir, prevenir;

› risco elevado – evitar, transferir.

iv Tratamento e controlo do risco – após a identificação e avaliação do risco é necessário reduzir/controlar as probabilidades e consequências da ocorrência, e tomar decisões não só quanto à continuação da atividade geradora de risco, como também quanto à aceitação do risco face ao custo/benefício a que está associado;

v Acompanhamento, revisão e atualização do Plano – deverá ser definida uma periodicidade para o acompanhamento de cada risco constante no plano, abrangendo características como a probabilidade de ocorrência, a gravidade da consequência e a efetividade das medidas de mitigação equacionadas. O exercício deverá também contemplar a identificação de novos riscos emergentes;

vi Comunicação e consulta – é definido o método de comunicação de riscos supervenientes à DPG, assim como a forma de disponibilização da informação constante, ou a constar, no plano aos seus diferentes stakeholders.

b. fatores de risco

Os fatores que levam a que o desenvolvimento de uma atividade implique um maior ou menor risco de gestão são vários, entre eles salientam-se os seguintes:

› qualidade da governação;

› integridade das operações e dos processos;

› qualidade do sistema de controlo interno;

› motivação e formação dos colaboradores;

› comunicação.



16

iv riscos de corrupção e infrações conexas | instrumentos

e medidas preventivas

A redução do risco de práticas conducentes à corrupção na atividade dos organismos públicos é fundamental para o fortalecimento da democracia e para a promoção das relações entre os cidadãos e a AP.

A corrupção pode manifestar-se de diferentes formas mas, independentemente do formato que possa assumir, tem “(…) como elemento comum na sua essência o exercício de funções públicas ou a titularidade de poderes públicos”10.

A corrupção surge associada ao abuso de poder, suborno, peculato, tráfico de influência e participação económica em negócio, situações graves e que prejudicam não só o bom funcionamento das instituições, mas também abalam a confiança dos cidadãos. Todas estas constituem crimes conexos verificando-se que, comum a todos eles, existe a obtenção de uma vantagem ou de uma compensação que não é devida.

A identificação dos riscos terá por base, as competências definidas no Regulamento Interno, e os processos internos definidos, sendo construída pela DPG uma matriz, para cada UO, onde consta a identificação, classificação e medidas de mitigação propostas para cada risco.

As medidas de prevenção de riscos estão associadas a duas tipologias de risco:

» Transversais (RT) - relacionados por exemplo com o ambiente externo, com a gestão

estratégica ou com atividades partilhadas entre várias UO;

» Específicos (RE) - retativos à atividade de cada uma das UO.

10 “Guia de Boas Práticas para a Prevenção e o Combate à Corrupção na Administração Pública”, 2011, disponível em

http://www.cpc.tcontas.pt/documentos/outros/guia_cplp.pdf

https://www.espap.gov.pt/Documents/quem_somos/instrumentos_gestao/2018_Regulamento_Interno.pdf

http://www.cpc.tcontas.pt/documentos/outros/guia_cplp.pdf



17

Riscos Transversais (RT)

Atividades Identificação dos Riscos

Classificação dos Riscos

Instrumentos Medidas preventivas

PO GC GR

Contratação pública e outras relações contratuais

Favorecimento de fornecedores de bens e/ou serviços para obtenção de benefícios próprios ou para terceiros

F E RM

Acordo de Confidencialidade Código de Ética Declaração de Inexistência de Conflito de Interesses Minutas de Suporte à Contratação Pública

Acompanhamento e supervisão dos desenvolvimentos negociais por parte das unidades orgânicas responsáveis pela condução dos processos de aquisição de bens e serviços:

Segregação de funções no processo de avaliação e decisão da aquisição (hierarquia de decisão);

Presença preferencial de dois colaboradores em reuniões com representante(s) de empresas;

Privilegiar a adoção de procedimentos concorrenciais em detrimento de procedimentos fechados.

Favorecimento de parceiros e associados para obtenção de benefícios próprios ou para terceiros

F M RF

Acordo de Confidencialidade Código de Ética Politica de Prevenção e Gestão de Conflito de Interesses

Existência de conflitos de interesses que ponham em causa a transparência dos procedimentos

F E RM

Acordo de Confidencialidade Código de Ética Minutas de Suporte à Contratação Pública Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno

Acompanhamento e supervisão dos desenvolvimentos negociais por parte das unidades orgânicas responsáveis pela condução dos processos de aquisição de bens e serviços:

Segregação de funções no processo de avaliação e decisão da aquisição (hierarquia de decisão);



18




PO GC GR


Privilegiar a adoção de procedimentos concorrenciais em detrimento de procedimentos fechados.

Situações de conluio entre empresas concorrentes nos processos de Contratação Pública

M E RE

Checklist para deteção e controlo de situações de conluio11 Guia de Boas Práticas da Autoridade da Concorrência: “Combate ao Conluio na Contratação Publica”12

Aquisição de bens e serviços sem correspondência a necessidades reais, para benefício próprio e/ou de outrem

F F RF

Código de Ética Minutas de Suporte à Contratação Pública Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno

Fundamentação das aquisições de bens e serviços no âmbito da missão e atribuições da eSPap Dupla verificação

Ausência de isenção no processo de aquisição/contratação, por exemplo por escolha incorreta do procedimento contratual

F E RM

Código de Ética Minutas de Suporte à Contratação Pública Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno

Fundamentação do preço base do procedimento Fundamentação da escolha do procedimento, principalmente quando se opta por procedimentos não concorrenciais Especificações técnicas independentes do produto, serviço,

11 http://www.concorrencia.pt/combateaoconluionacontratacaopublica/files/Checklist%20-%20Combate%20ao%20Conluio%20na%20Contratacao%20Publica.pdf 12 http://www.concorrencia.pt/combateaoconluionacontratacaopublica/files/Guia%20de%20Boas%20Praticas%20-%20Combate%20ao%20Conluio%20na%20Contratacao%20Publica.pdf

http://www.concorrencia.pt/combateaoconluionacontratacaopublica/files/Checklist%20-%20Combate%20ao%20Conluio%20na%20Contratacao%20Publica.pdf

http://www.concorrencia.pt/combateaoconluionacontratacaopublica/files/Guia%20de%20Boas%20Praticas%20-%20Combate%20ao%20Conluio%20na%20Contratacao%20Publica.pdf



19




PO GC GR

marca, denominações comerciais ou fornecedor

Assunção de despesas sem autorização prévia

F E RM

Código de Ética Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno

Segregação de funções

Acumulação e/ou indefinição das responsabilidades dos intervenientes com inexistência de segregação de funções nas diversas fases de execução contratual

F E RE

Código de Ética Política de Prevenção e Gestão de Conflitos de Interesses

Monitorização do processo interno de gestão de contrato

Roubo de propriedade intelectual

F F RF


Registo da propriedade intelectual Proteção contratual dos produtos resultantes de contratação externa

Financiamento

Utilização de financiamento para um fim diferente do objetivo do Programa/Candidatura

M E RE Plano Anual de Auditoria Interna Regulamento Interno


Normas de conduta Fuga de informação, violação de segredo, quebra de confidencialidade ou utilização indevida de informação sigilosa

M M RM Acordo de Confidencialidade Código de Ética



20




PO GC GR

com eventual obtenção de vantagens pessoais

Acumulação ilegítima de funções

F F RF


Acesso indevido a dados (inserção, consulta, apropriação, alteração e eliminação)

M E RE

Código de Ética Manual de Desenvolvimento de Software e do ciclo de vida dos sistemas de TI Política de Segurança da Informação

Violação do dever de zelo (incumprimento dos procedimentos), do dever de imparcialidade e de isenção

F E RM

Código de Ética Declaração de Inexistência de Conflito de Interesses Política de Prevenção e Gestão de Conflitos de Interesses Regulamento Interno

Segregação de Funções Dupla verificação

Exercício de ato para o qual não detém competência

F E RM

Código de Ética Regulamento Interno Repositório de todas as delegações e subdelegações, vigentes, revogadas e caducadas

Publicação em Diário da República e divulgação na intranet de todas as delegações e subdelegações de competências vigentes Parecer jurídico prévio por parte da DJA dos atos praticados pelo CD,



21




PO GC GR

pelos seus membros e pelos diretores

Violação de segredo profissional

F E RM Código de Ética Regulamento Interno

Planeamento, organização e comunicação

Deficiente transferência de conhecimentos

M E RE

Código de Ética Plano de Gestão de Conhecimento Plano de Retenção de Talento

Divulgação de informação imprecisa ou através de canal inapropriado

M M RM

Código de Ética Política de Comunicação Empresarial

Interrupção da prestação de serviço por défice de planeamento ou omissão de manutenção

M E RE Plano de Continuidade de Serviço Plano de intervenções críticas

Divulgação de interrupções planeadas junto dos clientes

Incumprimento dos prazos na elaboração dos Instrumentos de Planeamento e Gestão Estratégica e/ou deficiência na monitorização dos instrumentos de gestão

M M RM Manual de Monitorização dos Instrumentos de Gestão



22




PO GC GR

Imprecisão na monitorização do QUAR, do Plano de Atividades e SIADAP

F M RF Código de Ética Plano de Atividades Anual

Segregação de Funções Dupla verificação

Falta de transparência e /ou assertividade da informação de gestão

F M RF

Código de Ética Estatutos da eSPap Manual de Monitorização dos Instrumentos de Gestão Manual do Sistema de Controlo Interno Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno Relatório de Gestão

Publicitação dos instrumentos de gestão no site institucional

Desalinhamento entre as orientações de gestão da Tutela, o QUAR e o Plano de Atividades Anual

F E RM

Código de Ética Estatutos da eSPap Manual de Monitorização dos Instrumentos de Gestão Manual do Sistema de Controlo Interno Política de Prevenção e Gestão de Conflitos de Interesses Regulamento Interno

Publicitação dos instrumentos de gestão no site institucional



23




PO GC GR

Falhas no desenvolvimento, execução e acompanhamento do Plano de Prevenção de Riscos de Gestão

F E RM

Código de Ética Plano de Prevenção de Riscos de Gestão Política de Prevenção e Gestão de Conflitos de Interesses



24

Riscos Específicos (RE) Conselho Diretivo




PO GC GR

a) Assegurar a representação da ESPAP, I. P., nas comissões, grupos de trabalho ou atividades de organismos nacionais e estrangeiros; b) Assegurar as relações da ESPAP, I. P., com os outros serviços ou organismos do Estado e com outras entidades nacionais, públicas ou privadas; c) Submeter à aprovação do membro do Governo da Tutela os projetos de regulamentação necessários à atividade da ESPAP, I. P., e que não possam ser por si aprovados; d) Elaborar as propostas de tipologias de serviços a prestar pela ESPAP, I. P., podendo associar -lhes um preço, e submetê-las à aprovação do membro do Governo da Tutela; e) Negociar e celebrar contratos-programa, acordos de níveis de serviço, acordos quadro e outros contratos, públicos e privados, necessários ao desenvolvimento das atividades da ESPAP, I. P.;

Permeabilidade da atuação do CD a pressões externas

F E RM

Código de Ética Estatutos da eSPap Manual do Sistema de Controlo Interno Política de Prevenção e Gestão de Conflito de Interesses

Colegialidade das decisões

Utilização das atribuições ou recursos da organização para favorecimento próprio ou de terceiros

F E RM

Código de Ética Política de Prevenção e Gestão de Conflito de Interesses Regulamento Interno


Utilização de informação privilegiada para benefício próprio ou de terceiros

F E RM


Aceitação de favorecimentos em troca da concessão de vantagens e/ou benefícios

F E RM

Código de Ética Política de Prevenção e Gestão de Conflito de Interesses




25




PO GC GR

f) Proceder à definição de parcerias estratégicas com entidades públicas ou privadas e celebrar os respetivos protocolos; g) Promover a necessária articulação com os serviços e organismos da Administração Pública que, no âmbito das respetivas atribuições de natureza normativa e de coordenação, prestam apoio técnico na fixação dos requisitos dos processos desenvolvidos pela ESPAP, I. P.

Ausência de independência nas decisões em função de outros interesses

F E RM

Código de Ética Estatutos da ESPAP Política de Prevenção e Gestão de Conflito de Interesses




26

DCP - Direção de Serviços Partilhados de Compras Públicas




PO GC GR

a) Compete à DCP, desenvolver, gerir e operar o

ciclo de vida dos serviços de compras públicas,

mediante disponibilização de instrumentos de

suporte e execução de atividades de apoio

técnico ou administrativo;

b) Compete ainda à DCP, desenvolver, gerir e operar o ciclo de vida dos serviços de logística e de gestão do PVE, mediante disponibilização de instrumentos de suporte e execução de atividades de apoio técnico ou administrativo; c) Em especial, compete à DCP:

1. Propor políticas e linhas de orientação para as compras públicas;

2. Elaborar propostas de legislação, de procedimentos e de adoção de sistemas de informação de suporte relacionados com as compras públicas, em articulação com a DJA e a DSI;

3. Elaborar propostas e projetos de regulamentação, políticas de frota e orientações necessárias à adequada gestão e utilização dos veículos que integram o PVE, em articulação com a DJA;

4. Desenvolver e implementar estratégias de compra e negociação para as

Favorecimento de prestadores de serviço no âmbito do processo de alienação de veículos, incluindo o transporte e a peritagem

F E RM

Código de Ética Política de Prevenção e Gestão de Conflito de Interesses

Acompanhamento e supervisão dos desenvolvimentos negociais por parte das unidades orgânicas responsáveis pela condução dos processos de aquisição de bens e serviços: Segregação de funções no

processo de avaliação e decisão da aquisição (hierarquia de decisão);


Privilegiar a adoção de procedimentos concorrenciais em detrimento de procedimentos fechados;

Credenciação de desmanteladores com habilitação legal para o efeito.

Potencial incorreção na avaliação crítica do pedido de contratação de novos veículos

F E RM

Plano Anual de Auditoria Interna Política de Prevenção e Gestão de Conflito de Interesses

Segregação de funções no processo de avaliação e decisão da aquisição

Inexistência de concorrência por deficiente definição dos critérios de aquisição estabelecidos em sede de Concurso Público ou Acordo Quadro

M E RE

Plano Anual de Auditoria Interna

Acompanhamento permanente do mercado de forma a que os critérios técnicos e financeiros não restrinjam a concorrência Consulta Pública



27

aquisições centralizadas, preservando e incrementando os níveis de concorrência nos setores de atividade;

5. Negociar e celebrar acordos quadro ou outros contratos públicos de fornecimento de bens e serviços destinados às entidades públicas adjudicantes;

6. Negociar e celebrar acordos quadro ou outros contratos públicos de fornecimento de bens e serviços destinados às entidades públicas adjudicantes;

7. Coordenar e apoiar as entidades públicas e respetivos fornecedores na adoção das normas e procedimentos definidos para o aprovisionamento público;

8. Acompanhar e apoiar as UMC nas negociações dos contratos públicos a celebrar ao nível ministerial;

9. Assegurar o desenvolvimento de uma solução centralizada que permita gradualmente suportar o ciclo integral de compras, promovendo a desmaterialização;

10. Assegurar a evolução das soluções centralizadas de suporte ao Sistema de Compras Públicas Eletrónicas, em articulação com a DSI;

11. Promover a adoção de procedimentos de natureza normativa relativos à aquisição e utilização de sistemas informáticos de suporte ao aprovisionamento público;

12. Adotar práticas e privilegiar a aquisição de bens e serviços que promovam o equilíbrio adequado entre a eficiência financeira e a proteção do ambiente;

13. Agregar e tratar a informação relativa às compras públicas;

14. Avaliar permanentemente o desempenho do SNCP, designadamente, mediante a promoção da realização de auditorias pelos serviços de inspeção e controlo competentes para o efeito;

Imprecisão dos relatórios de faturação submetidos através do SRVI pelos cocontratantes

E E RE Declaração do Cocontratante (TOC ou ROC)

Validação da informação contida nos relatórios de faturação Rastreabilidade pelo sistema informático

Aquisições realizadas sem recurso aos Acordos Quadro

M M RM Base de dados de conhecimento sobre pedidos de exceção

Segregação de funções no processo de avaliação e decisão

Potencial distorção da concorrência pela não cobrança dos fees associados aos AQ

M E RE

Processo de emissão e cobrança de receita Inclusão de obrigações e sanções nos Cadernos de encargos dos AQ Rastreabilidade pelo sistema informático



28

15. Avaliar o desempenho do modelo centralizado de gestão do PVE com vista à melhoria contínua e assegurar o apuramento de indicadores que permitam aferir o nível de eficiência na gestão e utilização de veículos;

16. Assegurar a gestão do relacionamento com entidades cliente no âmbito das suas atribuições.



29

DPG – Direção de Planeamento Estratégico e Controlo de Gestão




PO GC GR

a) Apoiar o Conselho Diretivo no planeamento estratégico, assegurando as necessárias atividades de suporte; b) Elaborar os instrumentos previsionais e de prestação de contas, designadamente, o plano estratégico, o plano de atividades e o relatório de atividades; c) Coordenar o sistema de indicadores de desempenho organizacional e avaliar a sua execução, assegurando a articulação com os objetivos estratégicos; d) Coordenar e monitorizar programas estratégicos e ou transversais; e) Desenvolver o plano de gestão de riscos de corrupção e infrações conexas e monitorizar a sua execução; f) Desenvolver os processos e procedimentos internos, promovendo a eficiência e melhoria contínua; g) Desenvolver o sistema de qualidade e coordenar a sua implementação; h) Desenvolver e monitorizar o sistema de controlo interno; i) Promover e coordenar a certificação e acreditação de processos e serviços;

Ausência de independência e neutralidade na emissão dos pareceres de auditorias internas em função de outros interesses e/ou em conivência com os auditados

F E RM

Código de Ética Manual de Procedimentos de Auditoria Interna Política de Prevenção e Gestão de Conflitos de Interesses

Deficiente acompanhamento das recomendações aprovadas em sede de relatórios de auditoria

F M RF

Manual de Procedimentos de Auditoria Interna Plano Anual de Auditoria Interna



30




PO GC GR

j) Promover a partilha de conhecimento e a implementação de boas práticas na organização, tendo como objetivo a inovação e eficiência de processos e serviços; k) Promover, planear e coordenar a realização de auditorias internas e a implementação de ações corretivas e melhorias identificadas; l) Coordenar e suportar metodologicamente a gestão de benefícios, a gestão de portefólio, de programas e projetos, assegurando a monitorização de progresso e execução, bem como a consolidação e reporte de informação; m) Apoiar a gestão de projetos transversais da ESPAP, nomeadamente através da promoção da evolução do quadro metodológico e do aumento do grau de maturidade da ESPAP em gestão de projetos; n) Disponibilizar os meios e promover a partilha de conhecimento no que se refere à disciplina de gestão de projetos; o) Controlar a conformidade com o RGPD, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados e as auditorias correspondentes; p) Assegurar a gestão e evolução das plataformas de utilização corporativa, nomeadamente, de comunicação, de gestão de projetos e de gestão estratégica; q) Apoiar o Conselho Diretivo na definição e



31




PO GC GR

implementação da estratégia de comunicação e gestão da marca; r) Assegurar a gestão dos canais de comunicação internos e externos; s) Desenvolver e implementar o normativo da marca e comunicação, promovendo e apoiando a sua aplicação com as unidades orgânicas; t) Promover a divulgação da missão, visão, valores e objetivos da organização; u) Promover iniciativas conducentes à construção e fortalecimento da cultura organizacional; v) Gerir a relação com fornecedores e parceiros no âmbito das suas atribuições, assegurando a monitorização dos contratos e a coordenação da execução dos serviços.



32

DJA – Direção Jurídica e de Administração Geral



Instrumentos Medidas Preventivas

PO GC GR

a) Elaborar estudos jurídicos, informações e emitir pareceres que lhe sejam solicitados; b) Apoiar as unidades orgânicas na aplicação de normas legais, regulamentares, processuais e procedimentais; c) Definir procedimentos a adotar na condução de matérias com relevância jurídica; d) Instruir e acompanhar os procedimentos de contratação pública; e) Assegurar a satisfação das necessidades de aprovisionamento da ESPAP, em articulação com as Unidades Orgânicas; f) Assegurar o patrocínio judiciário da ESPAP, dos titulares dos seus órgãos e trabalhadores, por atos legitimamente praticados no exercício de funções, no interesse daquela; g) Apoiar o Conselho Diretivo no desenvolvimento e implementação de políticas e estratégias de gestão orçamental, financeira, contabilística, patrimonial e de gestão de recursos humanos;

Insuficiente densificação, normativa e/ou técnica, nas minutas dos cadernos de encargos na contratação pública

F M RF Política de Prevenção e Gestão de Conflito de Interesses

Promoção da adequação permanente das minutas de contratação pública à evolução do enquadramento vigente e/ou das necessidades da entidade

Insuficiente justificação do tipo de procedimento adotado

F E RM Política de Prevenção e Gestão de Conflito de Interesses

Promoção da adoção de procedimentos concorrenciais em detrimento de procedimentos limitativos da concorrência e obrigatoriedade de fundamentação objetiva e de facto da escolha do procedimento (em especial quando a escolha recaia sobre procedimentos restritivos da concorrência

Fragilidades na monitorização da execução contratual e avaliação de fornecedores deficiente ou inexistente

F E RM Sistema de avaliação de fornecedores

Utilização indevida do Fundo de Maneio

F F RF

Manual do Sistema de Controlo Interno Plano Anual de Auditoria Interna




33

h) Coordenar o desenvolvimento de estudos e projetos económico-financeiros de suporte à atividade da entidade; i) Promover estudos e iniciativas de desenvolvimento pessoal e profissional dos trabalhadores, com vista ao alinhamento de capacidades às necessidades da entidade, numa perspetiva de aumento da eficiência e racionalidade da gestão de recursos humanos; j) Coordenar o sistema de controlo de gestão e a produção de indicadores de suporte à tomada de decisão, designadamente, na gestão orçamental, financeira, contabilística, patrimonial e de gestão de recursos humanos; K) Assegurar a gestão do centro de contacto, coordenando a gestão do sistema de reclamações e sugestões em 1.ª linha, bem como a implementação de melhorias e ações corretivas identificadas, em articulação com as restantes unidades orgânicas, em especial com a DSPF e com a DCP.

Assunção de despesas sem prévio cabimento na dotação orçamental

F M RF


Segregação de funções Dupla verificação

Erros/lacunas ao nível da inventariação e valorização dos bens

F M RF Manual do Sistema de Controlo Interno

Verificação periódica, e por amostragem, da conformidade do inventário de bens móveis

Prestação deficiente de informação pelos operadores do centro de contacto

F M RF Plano de Formação

Incumprimento, por dolo ou negligência, das obrigações fiscais

F E RM Sistema de monitorização e controlo

Arbitrariedade e discricionariedade no tratamento e encaminhamento dos contactos recebidos através do centro de contacto

F M RF Plano de Formação Segregação de funções

Fragilidades na monitorização da execução contratual e avaliação de fornecedores deficiente ou inexistente

F E RM Sistema de avaliação de fornecedores



34

Violação, por dolo ou negligência, do cumprimento da legislação relativa ao reporte de informação

F E RM Sistema de monitorização e controlo

Segregação de funções Dupla verificação

Desconformidade dos documentos internos face à realidade organizacional

M M RM Modelo de Governação de Processos

Revisão exaustiva e periódica dos documentos internos com vista à identificação de desconformidades com a realidade organizacional

Irregularidades/falhas no processamento de abonos e vencimentos dos trabalhadores

F E RM Código de Ética Segregação de funções

Violação de correspondência por dolo ou negligência

F E RM Código de Ética

Desadequação do plano de formação às necessidades da organização ou não execução atempada do mesmo

M M RM Revisão da metodologia de elaboração do Plano de Formação

Incumprimento das regras relativas à Higiene, Segurança e Saúde no Trabalho

F M RF Plano Anual de Higiene, Segurança e Saúde no Trabalho

Reforço das garantias contratuais



35

Favorecimento no âmbito de processos de recrutamento

F M RF


Eventuais deficiências no processo de controlo interno destinado a verificar e certificar os procedimentos pré-contratuais

F E RM Formação em Contratação Pública

Incumprimento, por dolo ou negligência, das regras de envio de correspondência

F M RF Regras respeitantes ao envio de correspondência




36

DSPF – Direção de Serviços Partilhados de Finanças




PO GC GR

a) Coordenar o desenvolvimento e implementação dos serviços partilhados de finanças, bem como dos processos e soluções de suporte, designadamente, nas seguintes áreas: i. Financeira: a. Contabilidade orçamental; b. Contabilidade geral; c. Contabilidade de gestão / analítica; d. Contas a receber; e. Contas a pagar; f. Tesouraria; g. Ativos / Imobilizado; h. Gestão de contratos. ii. Logística: a. Gestão da aquisição de bens e serviços; b. Gestão de inventários / existências em armazém; c. Vendas e distribuição. b) Desenvolver a oferta de novas soluções e de serviços partilhados de recursos financeiros, tendo como objetivo a promoção da normalização de processos, e da economia, da eficácia e da eficiência, através da partilha de recursos; c) Propor a divulgação do catálogo de serviços e soluções, no âmbito das suas atribuições; d) Propor políticas e estratégias de gestão de clientes, e coordenar a expansão de serviços e

Interrupção de serviço F M RF Plano de intervenções críticas Divulgação das intervenções junto dos clientes

Favorecimento de clientes no tratamento dos pedidos

F M RF

Política de priorização de pedidos de clientes

Governance com vários níveis de intervenção assegurando a segregação de funções: - Team Leader - Gestor Operacional (GOP) - Gestor de Produto e Serviço (GPS) - Coordenadoras (CSPF e NESF) - Direção Controlo diário/semanal/mensal de pedidos recebidos/concluídos com análise de SLA Registo dos pedidos em plataforma eletróncia Organização das equipas do Centro de Serviços Partilhados, com controlo por team leaders



37




PO GC GR

clientes, a gestão do relacionamento com clientes, a gestão de contratos com clientes, a contratualização de serviços, a definição de níveis de serviço e o modelo de pricing, no âmbito das suas atribuições; e) Avaliar permanentemente o desempenho dos serviços partilhados de finanças e a satisfação das entidades cliente, implementando as medidas necessárias para a promoção da eficiência dos processos e da excelência dos serviços prestados; f) Assegurar a gestão do centro de contacto, coordenando a gestão do sistema de reclamações e sugestões em 2.ª linha, bem como a implementação de melhorias e ações corretivas identificadas.



38

DSPRH – Direção de Serviços Partilhados de Recursos Humanos




PO GC GR

a) Coordenar o desenvolvimento e implementação dos serviços partilhados de recursos humanos, bem como dos respetivos processos de negócio e soluções de suporte; b) Desenvolver a oferta de novas soluções e de serviços partilhados de recursos humanos, tendo como objetivo a promoção da normalização de processos, e da economia, da eficácia e da eficiência, através da partilha de recursos; c) Assegurar a evolução das soluções de suporte aos serviços partilhados de recursos humanos, no estrito cumprimento dos normativos legais e administrativos e na adoção das medidas necessárias para a promoção da melhoria contínua; d) Propor o desenvolvimento da carteira de entidades cliente e expansão dos serviços; e) Propor políticas e estratégias de gestão de clientes, coordenar a expansão de serviços e clientes, a gestão do relacionamento com clientes, a gestão de contratos com clientes, a contratualização de serviços, a definição de níveis de serviço e o modelo de pricing, no âmbito das suas atribuições; f) Avaliar permanentemente o desempenho dos serviços partilhados de recursos humanos e a satisfação das entidades cliente, numa perspetiva de melhoria contínua.

Interrupção de serviço F M RF Plano de continuidade de serviço Plano de intervenções críticas

Divulgação das intervenções junto dos clientes

Inexistência de critérios para priorização dos pedidos de clientes

F M RF Política de priorização dos pedidos de clientes

Segregação de funções Controlo periódico de pedidos



39

DSI – Direção de Sistemas de Informação




PO GC GR

a) Promover a racionalização, em articulação com outras entidades, do modelo de governação das TIC, no âmbito do desenvolvimento de sistemas de informação, e propor políticas e estratégias garantindo o alinhamento com as restantes Direções da ESPAP; b) Assegurar a definição e evolução da arquitetura de sistemas de informação, promovendo a integração entre soluções e a eficiência dos recursos afetos; c) Assegurar o desenvolvimento e suporte aos sistemas de informação que promovam a racionalização e reutilização de recursos tecnológicos, dando cumprimento às definições estratégicas e às necessidades das restantes Direções da ESPAP e das entidades cliente; d) Garantir, em articulação com a DITIC, a gestão do portefólio de SI/TI e o desenvolvimento de serviços e produtos de acordo com as definições estratégicas e as necessidades das entidades cliente; e) Garantir a gestão do relacionamento com clientes, internos ou externos, no âmbito das suas atribuições; f) Garantir a estratégia e implementação dos sistemas de informação da ESPAP, do MF e globais, de utilização comum pela AP, que lhe sejam cometidas;

Objetivos da solução informática prejudicados por deficiente especificação

M M RM

Manual de Desenvolvimento de Software e do ciclo de vida dos sistemas de TI Manual de Gestão de Projetos

Menor robustez da solução informática por incumprimento das boas práticas de desenvolvimento de Software

M M RM

Manual de Desenvolvimento de Software e do ciclo de vida dos sistemas de TI

Menor robustez da solução informática por incumprimento das boas práticas de realização de testes sobre os sistemas ou funcionalidades desenvolvidas

M M RM

Manual de Desenvolvimento de Software e do ciclo de vida dos sistemas de TI

Suporte interno e externo que não obedece às prioridades definidas

F E RM SLA diferenciados e alinhados com as prioridades de negócio



40

g) Monitorizar os níveis de serviço, bem como de indicadores de desempenho, com vista à eficácia e eficiência, implementando as medidas necessárias para a promoção da melhoria contínua.



41

DITIC – Direção de Infraestruturas de Tecnologias de Informação e Comunicação




PO GC GR

a) Promover a racionalização e a evolução do modelo de governação das TIC, no âmbito da gestão de arquiteturas e infraestruturas tecnológicas, de acordo com os objetivos estratégicos estabelecidos, e propor políticas e estratégias que garantam o alinhamento com as restantes Direções da ESPAP e a eficiência dos recursos afetos; b) Garantir a disponibilização, gestão e operação de sistemas e infraestruturas tecnológicas TIC, dando cumprimento às definições estratégicas e às necessidades das restantes Direções da ESPAP e das entidades cliente; c) Assegurar o desenvolvimento e a gestão do portefólio de serviços de TIC de acordo com as definições estratégicas e as necessidades das restantes Direções da ESPAP e das entidades cliente; d) Assegurar a gestão de serviços, garantindo o planeamento, a transição, o controlo da configuração, operação, e respetivo suporte, com foco na relação com as entidades cliente; e) Monitorizar os níveis de serviço, bem como os indicadores de desempenho, implementando as medidas necessárias para a promoção da melhoria contínua na prestação dos serviços aos clientes externos;

Interrupção de serviço M E RE Plano de intervenções críticas Plano de continuidade de serviço

Divulgação das intervenções junto dos clientes

Menor robustez da arquitetura de suporte à solução informática

F E RM Manual de Desenvolvimento de Software e do ciclo de vida dos sistemas de TI

Análise exaustiva de características técnicas dos serviços

Deficiente definição dos níveis de serviço (internos e externos)

F E RM SLA diferenciados e alinhados com as prioridades de negócio

Acesso Indevido, Perda, modificação ou adulteração de informação por intrusão nos sistemas de informação

M E RE

Manual de Procedimentos de Auditoria Interna Plano Anual de Auditoria Interna Política de Segurança de Informação

Reforço das garantias contratuais

Desadequada gestão do parque informático e Software

F M RF

Código de Ética Manual do Sistema de Controlo Interno Política de Segurança da Informação



42




PO GC GR

f) Planear e coordenar a implementação de mecanismos de controlo, nomeadamente os decorrentes de requisitos legais e regulamentares, em articulação com a DJA e a DPG, que tenham impacto na segurança de informação, aplicações e tecnologias; g) Assegurar o desenvolvimento da carteira de entidades cliente e a expansão dos serviços de acordo com o catálogo de serviços e soluções; h) Assegurar a gestão do relacionamento com entidades cliente, no âmbito das suas atribuições.

Regulamento Interno

Desadequada gestão de inventário de equipamentos informáticos

F M RF

Código de Ética Manual do Sistema de Controlo Interno Política de Segurança da Informação Regulamento Interno

Perda de informação F E RM Política de Segurança da

Informação



43

Encarregado de Proteção de Dados | Data Protection Officer (DPO)




PO GC GR

a) Informar o CA e os colaboradores sobre os regulamentos de proteção de dados; b) Propor ao CA e UO políticas e instrumentos de controlo de conformidade com o regime de proteção de dados; c) Controlar a conformidade dos processos da organização com o RGPD; d) Prestar aconselhamento sobre avaliações de impacto de proteção de dados; e) Gerir as relações com as autoridades relevantes no âmbito do regime de proteção de dados, nomeadamente com a autoridade de controlo nacional; f) Dar resposta aos pedidos que lhe forem dirigidos com origem em entidades externas; g) Prestar aconselhamento e os esclarecimentos que internamente lhe forem solicitados.

Incumprimento dos prazos de resposta a pedidos remetidos por entidades externas (Titular dos Dados, Autoridade de Controlo, Clientes e Fornecedores)

F E RM

Processos (Registo de incidentes comunicados ao DPO, Processo de Tratamento de Pedidos ao DPO) Sistema de alertas relativo à tramitação dos processos

Segregação de funções no seio da equipa de apoio ao DPO

Inexistência de registo de todas as comunicações dirigidas ao Encarregado de Proteção de Dados

F M RF Registo de todas as comunicações dirigidas ao DPO

Deficiente/insuficiente/desajustado aconselhamento sobre as avaliações de impacto na proteção de dados

M M RM

Escrutínio no seio da equipa de apoio ao EPD do aconselhamento prestado referente a avaliações de impacto Benchmark com entidades congéneres Capacitação da equipa de suporte ao DPO

Revelação ou divulgação de dados pessoais

M E RE Código de Ética

Incumprimento da obrigação de comunicação à CNPD e ao Titular

dos Dados de situações de violação de dados pessoais

F E RM

Plano de ação com sessões dinamizadas pelo DPO Processos ( Registo de incidentes comunicados ao DPO, Processo de Tratamento de Pedidos ao DPO)

Monitorização das obrigações e respetivos prazos pela equipa de suporte ao DPO Envolvimento do CD



44

Incumprimento do dever de

promover a sensibilização interna sobre a temática do RGPD

F M RF

Envolvimento da equipa de suporte ao DPO



45

v definição, execução e monitorização do plano

a. execução do plano e monitorização

Em cumprimento do Plano Anual de Auditoria, a DPG procede a auditorias periódicas no sentido de verificar se o presente Plano se encontra a ser cumprido e quais os seus efeitos práticos.

A DPG elabora um relatório anual onde são revistos os riscos, a sua classificação e respetivas medidas de mitigação. Neste relatório constam também os resultados das auditorias feitas, assim como das monitorizações realizadas e, caso estejam contemplados, projetos de evolução.

O acompanhamento anual do Plano baseia-se nas informações prestadas pelas UO envolvidas, através de formulários e outras ações complementares que, para o efeito, sejam preparadas pela DPG.

O processo de acompanhamento deve garantir que são implementados os mecanismos de controlo adequados para as atividades da organização, e que os procedimentos são compreendidos e seguidos em todos os níveis.

Sem prejuízo da periodicidade das revisões e atualizações acima indicadas, os dirigentes devem informar a DPG sempre que sejam identificados novos riscos de grau moderado ou elevado, ou quando os já constantes no plano evoluam no sentido de maior probabilidade de ocorrência ou potenciar consequências mais gravosas.

b. revisão e atualização do plano

A DPG deve, no Relatório Anual de Execução do Plano e em articulação com as restantes UO, recomendar ao CD as atualizações tidas como pertinentes, em função da informação coligida referente ao período findo.



46

c. funções e responsabilidades

O quadro seguinte identifica os intervenientes, com indicação das respetivas funções e responsabilidades, no presente Plano de Prevenção de Riscos de Gestão.

Gestão de Riscos

Decisor Função e Responsabilidades

CD

Responsável pelo plano e pela aprovação anual da sua revisão.

DPG

É o gestor do Plano;

Estabelece a arquitetura e a estratégia da gestão de riscos e da implementação do respetivo processo de gestão, cuidando da sua revisão;

Acompanha a execução das medidas previstas no Plano e elabora relatórios de acompanhamento periódicos, assim como o Relatório Anual;

Desenvolve o acompanhamento através de inquéritos ou outras ações específicas;

Recebe informação relativa à ocorrência dos riscos de cada UO e promove a comunicação da informação, pertinente aos restantes stakeholders envolvidos, assim como a tomada das medidas previstas no presente plano.

Dirigentes das UO

Responsáveis pela identificação dos riscos das respetivas UO, assim como das propostas de mitigação a implementar;

Responsabilizam-se pela adequação das medidas de controlo de risco na sua esfera de atuação;

São os responsáveis pela aplicação e acompanhamento do Plano relativo à respetiva UO, assim como por contribuir ativamente para a manutenção do registo dos riscos transversais;

Identificam, recolhem e comunicam à DPG qualquer risco superveniente ou que se tenha concretizado no ínterim, sem prejuízo do cumprimento de outros processos e regulamentos em vigor.



47

vi instrumentos

Acordo de Confidencialidade - é um contrato, ou adenda, legal que defende os direitos de uma determinada pessoa, singular ou coletiva, pública ou privada, nas situações em que algumas das suas informações confidenciais relativas a transações, projetos, produtos, serviços, ideias ou informações, têm de ser reveladas a outra parte no decurso normal do negócio.

Base de Dados de conhecimento sobre pedidos de exceção – repositório dinâmico de informação estruturada onde pode ser consultado o histórico dos pedidos de exceção dirigidos à Direção de Compras Públicas, mediante a utilização de filtros de pesquisa: “Acordo Quadro”, “data”, “entidade adquirente”, “natureza da aquisição”, “motivo invocado”, “estado do pedido” e “montante”.

Checklist para deteção e controlo de situações de conluio – lista que integra o Guia de Boas Práticas da AdC de “Combate ao Conluio na Contratação Pública” e que permite detetar indícios que permitem alertar para a possibilidade de conluio nos procedimentos.

Código de Ética - constitui uma ferramenta na qual se inscrevem os princípios e os valores que pautam a atuação da eSPap, bem como as normas de conduta a que os seus colaboradores se encontram sujeitos e assumem como intrinsecamente suas e que a organização pretende ver reconhecidos pelo sua Tutela, fornecedores, parceiros e sociedade em geral.

Declaração de Inexistência de Conflito de Interesses – documento através do qual o colaborador da eSPap declara que o seu envolvimento em determinado procedimento não se encontra condicionado por eventual conflito de interesses.

Declaração do Cocontratante (TOC ou ROC) – declaração emitida por um Revisor Oficial de Contas ou pela entidade fiscalizadora das contas da empresa, na qual se certifiquem os valores comunicados nos relatórios de faturação entregues, relativos aos procedimentos realizados ao abrigo do acordo quadro.

Estatutos da eSPap – descrevem a estrutura interna da eSPap, assim como as competências de cada um dos seus serviços.

Guia de Boas Práticas da Autoridade da Concorrência: “Combate ao Conluio na Contratação Publica” – publicação da AdC, inserida no âmbito da campanha com o mesmo nome, que permite às entidades adjudicantes conhecer os principais sinais de alerta de conluio nos procedimentos de contratação pública e saber como prevenir este tipo de comportamentos.

Manual de Desenvolvimento de Software e do Ciclo de Vida dos Sistemas de TI – descreve o conjunto de atividades, boas práticas e controlos previstos para a obtenção um produto de software ou implementação de um sistema de informação.

Manual de Gestão de Projetos – documento que tem por objetivo apoiar a organização e em especial os gestores de projeto na execução dos diferentes processos que medeiam entre a identificação da necessidade e a validação da concretização dos benefícios que justificaram o investimento.



48

Manual de Monitorização dos Instrumentos de Gestão – ferramenta que define as regras para a monitorização e controlo dos diversos instrumentos de gestão existentes na eSPap.

Manual de Procedimentos de Auditoria Interna – instrumento que tem por objeto o estabelecimento de um conjunto de linhas orientadoras da função de auditoria interna, através de uma abordagem sistemática que contribua para a melhoria da eficácia dos processos de governação, gestão de risco e controlo.

Manual do Sistema de Controlo Interno – documento que tem por objeto o estabelecimento de um conjunto de regras que definem os princípios e procedimentos de controlo interno adotados pela eSPap, com o objetivo de apoiar a gestão dos recursos públicos de acordo com os critérios da legalidade, economia, eficiência e eficácia.

Minutas de Suporte à Contratação Pública – modelos pré-formatados que contêm o conteúdo mínimo que deve constar quer, nas peças dos procedimentos de suporte à contratação pública quer, na informação interna que acompanha o Caderno de Encargos e onde constam, entre outros, a proposta e a fundamentação da necessidade de contratar.

Modelo de Governação de Processos – encontra-se consubstanciado no documento “Processo de Governação de Processos” o qual, estrutura a forma como a eSPap identifica, gere e melhora os processos em vigor na eSPap.

Plano Anual de Auditoria Interna – documento através do qual, o Diretor da DPG submete à aprovação do Conselho Diretivo de forma instanciada as ações de auditoria a levar a cabo no ano seguinte. Pode simplesmente conter a enunciação dos critérios a utilizar na identificação de quais os processos e atividades que serão objeto de auditoria.

Plano Anual de Higiene, Segurança e Saúde no Trabalho - implementa e controla um processo dinâmico e de melhoria contínua nas áreas de Segurança, Higiene e Saúde no Trabalho com o intuito de monitorizar e minimizar os riscos ocupacionais a que os colaboradores e outras partes interessadas possam estar expostas e a doenças ocupacionais associadas às suas atividades, dando maior ênfase à prevenção do que às ações corretivas, promovendo a formação, sensibilização e envolvimento de todos.

Plano de ação com sessões dinamizadas pelo DPO – plano que contém as sessões de trabalho promovidas pelo DPO com vista ao cumprimento de uma das funções que, no âmbito do RGPD se lhe encontram atribuídas, designadamente, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados.

Plano de Atividades Anual – documento elaborado anualmente pela eSPap que estabelece as principais de atuação por área de intervenção.

Plano de Continuidade de Serviço – desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da organização dentro do contexto do negócio do qual faz parte.

Plano de Formação – documento que contém uma breve descrição das ações de formação internas e externas, agrupadas por área de conhecimento, previstas para um horizonte temporal de um ano, datas de realização e destinatários alvo.



49

Plano de Gestão de Conhecimento – conjunto de processos de criação, uso e disseminação de conhecimentos na organização. A gestão de conhecimento abrange não somente os conhecimentos explícitos - isto é, aqueles que estão registados nalgum meio (físico ou digital) e disponíveis para acesso pelos demais membros da organização - como também os conhecimentos tácitos, ou seja, o conjunto de informações, experiências e insights que não estão registados em lugar algum, residindo apenas na memória individual de cada membro da organização.

Plano de Intervenções Críticas – é constituído pelo calendário das intervenções críticas, a cargo da DITIC nas plataformas e sistemas da eSPap.

Plano de Prevenção de Riscos de Gestão - tem como propósito identificar de forma exaustiva os riscos de gestão, incluindo os de corrupção e respetivas medidas de prevenção e dissuasão.

Plano de Retenção de Talento – iniciativa corporativa dinamizada pela DPG, que integra 17 medidas fruto de um processo participativo alargado, que alicerçadas e com fundamento num “programa de atração e retenção de talento”, visam a criação de um ambiente propício ao bem-estar e à motivação dos colaboradores.

Política de Comunicação Empresarial – documento que estabelece o processo de comunicação que acontece no contexto de uma organização, seja esta pública ou privada. Fazem parte deste documento o conhecimento e o estudo dos stakeholders da organização, o planeamento de práticas de comunicação nos âmbitos interno (comunicação interna) e externo (comunicação externa), sendo igualmente definidos os meios utilizados, a sua implementação e a sua contínua avaliação.

Politica de Prevenção e Gestão de Conflito de Interesses – ferramenta que estabelece as linhas orientadoras para a atuação dos colaboradores da eSPap em matéria de prevenção e gestão de conflitos de interesse, de acordo com o quadro legal aplicável.

Política de priorização de pedidos de clientes – documento que descreve os critérios utilizados na ordenação e tratamento dos pedidos de clientes, tendo em atenção as diversas atividades que compõem o ciclo do pedido.

Política de Segurança de Informação (rever) – documento onde se encontram descritas as regras para o tratamento de toda a informação existente na organização, as quais se aplicam não só a todos os colaboradores, mas também a todas a entidades públicas ou privadas que interajam com a informação recolhida, gerada ou tratada pela organização.

Processo de cobrança de receita – é um processo no qual são elencadas todas as atividades e regras inerentes à cobrança de receita.

Processos (Registo de incidentes comunicados ao DPO, Processo de Tratamento de Pedidos ao DPO) – processos que, no âmbito do cumprimento do RGPD, visam, respetivamente, estabelecer as atribuições e responsabilidades dos agentes envolvidos no registo de incidentes comunicados ao DPO e no tratamento dos pedidos dirigidos ao DPO, quer pelos titulares dos dados, quer por qualquer unidade orgânica da eSPap.



50

Regras respeitantes ao envio de correspondência – conjunto de procedimentos a observar no âmbito do tratamento de correspondência (receção e expedição) por todos os colaboradores afetos a unidades orgânicas com essa responsabilidade funcional.

Regulamento Interno - define as orientações, princípios e regras a observar na organização e funcionamento da eSPap, na organização e disciplina da relação de trabalho, no desenvolvimento profissional dos seus colaboradores, na constituição das relações jurídico-laborais dos colaboradores com CIT, e define ainda as competências e a organização interna das unidades orgânicas da eSPap.

Relatório de Gestão – instrumento de gestão com elaboração anual que permite apresentar os resultados alcançados com a execução das atividades previstas para o ano em questão.

Repositório de todas as delegações e subdelegações, vigentes, revogadas e caducadas – base de dados cujo conteúdo compreende todas as delegações e subdelegações de competências relativas à eSPap envolvendo todos os níveis de responsabilidade.

Sistema de avaliação de fornecedores – instrumento que permite de uma forma permanente e sistemática proceder à avaliação dos fornecedores contemplando as dimensões prazo x especificações, para além de outros aspetos de natureza contratual, como sejam: a taxa de rotação dos recursos, a diligência, a proatividade, a prontidão na resposta a solicitações, a disponibilidade para ações de monitorização do contrato, etc.

Sistema de monitorização e controlo – compreende o Manual do Sistema de Controlo Interno, bem como os procedimentos que em cada momento sejam considerados pertinentes com vista à mitigação do risco de incumprimento de obrigações legais, como por exemplo a redundância de funções e a dupla verificação.



51

vii glossário

ANCP Agência Nacional de Compras Públicas, E.P.E.

AP Administração Pública

CAB Change Advisory Board

CD Conselho Diretivo

CIC Comissão Interministerial de Compras

CLC Certificação Legal de Contas

CPC Conselho de Prevenção da Corrupção

CPO Comité de Planeamento e Operações

CRESAP Comissão de Recrutamento e Seleção para a Administração Pública

CSI Comité de Segurança de Informação

DCP Direção de Compras Públicas

DJA Direção Jurídica e de Administração Geral

DITIC Direção de Infraestruturas de Tecnologias de Informação e Comunicação

DPG Direção de Planeamento Estratégico e Controlo de Gestão

DPO Data Protection Officer

DSI Direção de Sistemas de Informação

DSPF Direção de Serviços Partilhados de Finanças

DSPRH Direção de Serviços Partilhados de Recursos Humanos

E-CAB Emergency Change Advisory Board

FU Fiscal Único

GERAP Empresa de Gestão Partilhada da Administração Pública, E.P.E.

GPEARI Gabinete de Planeamento, Estratégia, Avaliação e Relações Internacionais

II Instituto de Informática

PA Plano de Atividades

PGRCIC Plano de Gestão de Riscos de Corrupção e Infrações Conexas

PMO Programme Management Office



52

PREMAC Plano de Redução e Melhoria da Administração Central

PVE Parque de Veículos do Estado

QUAR Quadro de Avaliação de Responsabilidades

RA Relatório de Atividades

RE Risco Específico

RGPD Regime Geral de Proteção de Dados

RT Risco Transversal

SGSI Sistema de Gestão de Segurança de Informação

SNCP Sistema Nacional de Compras Públicas

TC Tribunal de Contas

TIC Tecnologias da Informação e Comunicação

UO Unidades Orgânicas

Juntos, partilhamos eficiência

Plano de Prevenção de Riscos de Gestão | dezembro 2019

eSPap | Entidade de Serviços Partilhados da Administração Pública, I. P.

Av. Leite de Vasconcelos, 2 Alfragide

2614-502 AMADORA PORTUGAL

Tel.: (+351) 214 723 100

Fax: (+351) 214 723 103

[email protected]

www.espap.pt