Conformare la Codul controlului intern managerial

Conformare la Codul controlului intern managerial

Prezentare generală

Conform Ordinului Secretarului General al Guvernului nr. 600/2018 pentru aprobarea Codului controlului intern managerial al entităţilor publice, controlul intern managerial este definit ca reprezentând ansamblul formelor de control exercitate la nivelul entităţii publice, inclusiv auditul intern, stabilite de conducere în concordanţă cu obiectivele acesteia şi cu reglementările legale, în vederea asigurării administrării fondurilor în mod economic, eficient şi eficace; acesta include, de asemenea, structurile organizatorice, metodele şi procedurile.

Sintagma „control intern managerial“ subliniază responsabilitatea tuturor nivelurilor ierarhice pentru ţinerea sub control a tuturor proceselor interne desfăşurate pentru realizarea obiectivelor generale şi a celor specifice.

Controlul intern managerial este în responsabilitatea conducătorilor entităţilor publice, care au obligaţia proiectării, implementării şi dezvoltării continue a acestuia. Încredinţarea unor terţi a realizării activităţilor privind implementarea şi dezvoltarea sistemului de control intern managerial al entităţii publice presupune că, în această situaţie, conducătorul entităţii publice nu îşi îndeplineşte propriile atribuţii cu bune rezultate.

Sistemul de control intern managerial al oricărei entităţi publice operează cu o diversitate de procedee, mijloace, acţiuni, dispoziţii, care privesc toate aspectele legate de activităţile entităţii, fiind stabilite şi implementate de conducerea entităţii pentru a−i permite deţinerea unui bun control asupra funcţionării entităţii în ansamblul ei, precum şi a fiecărei activităţi/operaţiuni în parte.

Construirea unui sistem de control intern managerial solid este un proces de durată care necesită eforturi importante din partea întregului personal al entităţii şi, în mod deosebit, din partea personalului cu funcţii de conducere.

Activităţile specifice sistemului de control intern managerial fac parte integrantă din procesul orientat spre realizarea obiectivelor stabilite şi includ o gamă diversă de politici şi proceduri privind: autorizarea şi aprobarea, separarea atribuţiilor, accesul la resurse şi documente, verificarea, analiza performanţei, revizuirea proceselor şi activităţilor, supravegherea.

Standardele de control intern managerial definesc un minimum de cerinţe generale de management pe care toate entităţile publice trebuie să le urmeze.

Scopul acestor standarde de control este de a crea un model de control intern managerial uniform şi coerent care să permită comparaţii între entităţi de acelaşi fel sau în cadrul aceleiaşi entităţi, la momente diferite, şi să facă posibilă evidenţierea rezultatelor entităţii şi a evoluţiei sale.

Dezvoltarea Sistemului de Control Intern Managerial

Comisia de monitorizare a implementării şi dezvoltării sistemului de control intern managerial din cadrul APAVITAL S.A. (numită în continuare Comisia de monitorizare), constituită prin decizie a directorului general, cuprinde pe conducătorii unităţilor ierarhice, aşa cum apar aceste structuri în organigrama societăţii.

Anual, după o consultare a tuturor membrilor Comisiei de monitorizare, este avizat de către preşedintele comisiei şi aprobat de către directorul general programul de dezvoltare a sistemului de control intern managerial al APAVITAL S.A., document de bază pentru întreaga activitate a membrilor comisiei.

Pe scurt, prezentăm ce anume se realizează pentru fiecare standard în parte:

• Standardul 1 - Etica şi integritatea

Conducerea şi salariaţii societăţii cunosc şi susţin valorile etice şi valorile entității, respectă şi aplică reglementările cu privire la etică, integritate, evitarea conflictelor de interese, prevenirea şi raportarea fraudelor, actelor de corupţie şi semnalarea neregulilor. Conducerea societăţii comerciale sprijină şi promovează, prin deciziile sale şi prin puterea exemplului personal, valorile etice, integritatea personală şi profesională a salariaţilor.

Consiliul de administraţie al societăţii a aprobat documentul intitulat Cod de Conduită Etică, ce contribuie la crearea unui climat organizaţional etic şi prezintă principiile etice şi de conduită profesională la care salariaţii aderă şi pe care se obligă să le respecte. De asemenea, directorul general a aprobat şi o procedură dedicată ce vizează, în principal, asigurarea protejării persoanelor care, cu bună credinţă, au semnalat neregularităţi. Aceste documente sunt prelucrate anual în cadrul fiecărei unităţi ierarhice a societăţii comerciale.

Printr−o decizie a directorului general, în anul 2016 a fost aprobată Declaraţia de aderare la valorile fundamentale, principiile, obiectivele şi mecanismul de monitorizare a Strategiei Naţionale Anticorupţie şi a fost constituit Grupul de lucru dedicat acestei acţiuni, iar printr−o altă decizie a directorului general a fost aprobat Planul de integritate privind implementarea Strategiei Naţionale Anticorupţie. În paginile revistei InfoApa (care este distribuită tuturor angajaţilor societăţii) sunt publicate materiale privind aspecte de etică şi anticorupţie.

Conducerea societăţii înlesneşte comunicarea deschisă, de către salariaţi, a preocupărilor acestora în materie de etică şi integritate, prin desemnarea unui consilier de etică, persoană ce acordă consultanţă şi asistenţă cu privire la respectarea normelor de conduită tehnică, monitorizează aplicarea prevederilor Codului de Conduită Etică şi aplicarea măsurilor stabilite în cazul încălcării normelor de conduită şi popularizează cazurile de încălcare ale acestor norme.

Modalitatea de raportare și gestionare a încălcărilor legii prin intermediul canalelor interne (line telefonică şi adresă de e−mail dedicate, cutii poştale amplasate în afara ariilor de supraveghere video, spaţiu de birou care să asigure confidenţialitatea raportării) şi anume primirea, examinarea și soluționarea raportărilor sunt stabilite printr−o procedură dedicată. Procedura include obligațiile APAVITAL S.A.în legătură cu raportările care fac referire la activitatea sau personalul acesteia transmise prin canalele externe sau divulgate public și măsurile de protecție ale avertizorilor în interes public după cum sunt stabilite prin Legea nr. 361/2022, cu modificările și completările ulterioare.

De asemenea, procedura vizează asigurarea protejării persoanelor care, cu bună credinţă, au semnalat neregularităţi. Până în prezent nu au fost semnalate cazuri de încălcare a normelor etice.

• Standardul 2 - Atribuţii, funcţii, sarcini

Conducerea APAVITAL S.A. asigură întocmirea şi actualizarea permanentă a documentului privind misiunea societăţii, a regulamentelor interne şi a fişelor posturilor, pe care le comunică angajaţilor.

Misiunea şi obiectivele sunt postate pe pagina de Internet a societăţii şi sunt dezvoltate în Regulamentul de organizare şi funcţionare (ROF), aprobat printr−o decizie a Consiliului de Administraţie. ROF−ul mai conţine descrierea subdiviziunilor manageriale şi de execuţie, atribuţiile generale posturilor de conducere şi de execuţie, precum şi subordonarea unităţilor ierarhice funcţionale şi de producţie. De asemenea, la nivelul organizaţiei a fost elaborat (şi este revizuit ori de câte ori se impune) un Regulament intern (RI), ce conţine informaţii despre organizarea societăţii, drepturile şi obligaţiile angajatorului şi ale angajaţilor, timpul de muncă şi timpul de odihnă, salarizarea, sănătatea şi securitatea în muncă, controlul intern, abaterile şi procedura disciplinară, evaluarea profesională a salariaţilor etc. Ambele documente (ROF şi RI) sunt prelucrate anual (cu semnătură de luare la cunoştinţă) în fiecare dintre unităţile ierarhice ale societăţii.

Au fost elaborate şi sunt actualizate conform modelului standard fişele postului pentru întregul personal, semnate de luare la cunoştinţă de fiecare titular. În prezent, acest lucru se realizează ţinându−se cont de prevederile unei proceduri dedicate. Toate fişele posturilor reglementează misiunea/rolul postului, obiectivele postului, poziţionarea postului în structura organizatorică, relaţiile de serviciu generale şi specifice, condiţiile de ocupare a postului (cerinţe generale, abilităţi, trăsături de caracter, cunoştinţe profesionale), sarcini/atribuţii generale şi specifice, competenţe, responsabilităţi, condiţii de lucru şi indicatorii de performanţă ai postului.

În cadrul societăţii se aplică prevederile unei proceduri de sistem ce descrie metodologia de stabilire şi monitorizare a funcţiilor sensibile în cadrul APAVITAL S.A. în vederea prevenirii fraudelor şi a corupţiei. Conform programelor de dezvoltare a sistemului de control intern managerial, anual se realizează un proces de identificare a acestor funcţii, centralizarea lor la nivelul companiei şi se stabileşte cea mai adecvată politică de gestionare a acestora, astfel încât efectele negative asupra activităţilor desfăşurate să fie minime.

• Standardul 3 - Competenţa, performanţa

Conducerea societăţii APAVITAL S.A. asigură ocuparea posturilor societăţii de către persoane competente, cărora le încredinţează sarcini potrivit acestor competenţe şi asigură condiţii pentru îmbunătăţirea pregătirii profesionale a salariaţilor. Performanţele profesionale individuale ale salariaţilor sunt evaluate anual în raport cu obiectivele postului.

Fişele posturilor tuturor salariaţilor au fost completate cu condiţiile de ocupare a posturilor: cerinţe generale, abilităţi manageriale, trăsături de caracter şi cunoştinţele profesionale, necesare a fi deţinute în vederea îndeplinirii sarcinilor/atribuţiilor generale şi sarcinilor/atribuţiilor specifice, în conformitate cu prevederile unei proceduri dedicate.

Pe baza unei procedurii de sistem specifice, se caută ca sarcinile încredinţate şi competenţa salariaţilor să fie într−un echilibru permanent, pentru asigurarea căruia şeful fiecărei unităţi ierarhice acţionează prin: definirea cunoştinţelor şi deprinderilor necesare fiecărui loc de muncă, participarea la interviurile de recrutare, identificarea nevoilor de pregătire profesională şi stabilirea cerinţelor de formare profesională în contextul evaluării anuale a salariaţilor şi urmărirea evoluţiei carierei acestora. Conducerea societăţii asigură fiecărui salariat participarea la cursuri de pregătire profesională în domeniul său de competenţă, conform planurilor anuale de formare profesională, ce conţine acţiuni de formare profesională atât pentru persoanele cu funcţii de conducere, cât şi pentru persoanele cu funcţii de execuţie, pe baza sumelor alocate de fiecare structură organizaţională în propriul buget de cheltuieli aprobat şi cu respectarea legislaţiei specifice.

Performanţele profesionale ale salariaţilor se evaluează cel puţin o dată pe an în raport cu obiectivele anuale individuale şi sunt discutate cu aceştia de către evaluator, în conformitate cu prevederile unei proceduri de lucru dedicate.

Secretariatul tehnic al Comisiei de monitorizare susţine anual cursuri interactive cu şefii unităţilor ierarhice şi cu responsabilii cu riscurile, privind: managementul riscului, dezvoltarea sistemului de control intern managerial şi protecţia datelor cu caracter personal.

• Standardul 4 - Structura organizatorică

Conducerea societăţii a definit − şi Consiliul de Administraţie a aprobat − actuala structură organizatorică (aşa cum apare ea pe pagina web a societăţii), competenţele, responsabilităţile, sarcinile şi relaţiile organizatorice.

Structura organizatorică aprobată este în concordanţă cu misiunea, obiectivele şi atribuţiile societăţii şi cu statul de funcţii al societăţii, având în vedere: asigurarea unui echilibru între personalul de conducere şi cel de execuţie, existenţa unui număr optim de angajaţi, eliminarea unor suprapuneri între atribuţiile diferitelor componente organizaţionale, asigurarea funcţionării circuitelor şi fluxurilor informaţionale necesare supravegherii şi realizării activităţilor etc. Structura organizatorică aprobată conţine 5 direcţii (generală, tehnică, comercială, economică şi operaţională), fiecare dintre acestea cu secţii, servicii, ateliere, compartimente, sectoare, laboratoare (denumite, în mod generic, unităţi ierarhice).

Încadrarea cu personal de conducere şi personal de execuţie a unităţilor ierarhice se regăseşte în statul de funcţii al societăţii şi a fost realizată cu respectarea concordanţei dintre natura posturilor şi competenţele profesionale şi manageriale necesare îndeplinirii sarcinilor salariaţilor. Competenţa, responsabilitatea, sarcina şi obligaţia de a raporta sunt atribute asociate postului; acestea sunt bine definite, clare, coerente şi reflectă elementele avute în vedere pentru realizarea obiectivelor societăţii. Managerii de pe toate nivelurile monitorizează gradul de adaptabilitate a structurii organizatorice la modificările intervenite în interiorul şi/sau exteriorul societăţii/unităţii ierarhice.

• Standardul 5 – Obiective

Conducerea societăţii a definit obiectivele generale, legate de scopurile societăţii, de fiabilitatea informaţiilor, conformitatea cu legile, regulamentele şi politicile interne. Obiectivele societăţii sunt formulate clar, de o manieră care permite monitorizarea îndeplinirii lor şi sunt actualizate ori de câte ori este necesar.

Misiunea şi obiectivele strategice ale societăţii sunt corelate cu misiunea societăţii, respectă principiile de economicitate, eficienţă şi eficacitate şi au fost comunicate salariaţilor şi terţilor interesaţi. Astfel, ele sunt postate într−o formă succintă pe pagina web a societăţii şi prin afişarea în locuri vizibile la toate punctele de lucru ale companiei, dar şi detaliat în diverse planuri de administrare şi de management. Aceste documente stabilesc, printre altele, misiunea societăţii, obiectivele strategice (generale), obiectivele tactice (specifice) pentru fiecare unitate ierarhică şi stabilesc indicatorii de performanţă, cu nivelurile ţintă pentru fiecare an din orizontul de timp avut în vedere.

La nivelul fiecărei unităţi ierarhice au fost identificate obiectivele specifice care corespund pachetului de cerinţe S.M.A.R.T., în sensul că fiecare obiectiv specific este:

• specific (precis), deoarece este clar şi bine definit, inteligibil pentru fiecare angajat, fără marje de interpretare;
• measurable (măsurabil), existând cel puţin un indicator specific;
• appropriate (necesar), având în vedere că este corelat atât cu misiunea APAVITAL S.A., cât şi cu legislaţia specifică;
• realistic (realist), deoarece ţintele asumate pot fi atinse, având în vedere că toţi salariaţii dispun de competenţele, cunoştinţele şi resursele necesare desfăşurării activităţilor;
• time−dependent (cu termen), cu raportare lunară/trimestrială/anuală, după caz.

Obiectivele specifice au fost comunicate fiecărui salariat, care a semnat atât pe Fişa de prezenţă, cât şi pe Fişa postului (în care sunt stabilite activităţile individuale care conduc la atingerea obiectivelor specifice unităţii ierarhice).

În cadrul societăţii se aplică o procedură de sistem dedicată care stabileşte modul în care fiecare şef de unitate ierarhică transpune obiectivele generale ale companiei în obiective specifice şi în rezultate aşteptate.

• Standardul 6 – Planificarea

Conducerea executivă a societăţii întocmeşte planuri prin care se pun în concordanţă activităţile necesare pentru atingerea obiectivelor stabilite cu resursele maxim posibil de alocat, stabilind termene de realizare şi persoane responsabile, astfel încât riscurile susceptibile să afecteze realizarea obiectivelor societăţii să fie minime.

Pentru punerea în aplicare a documentelor de planificare, conducerea societăţii asigură coordonarea deciziilor şi acţiunilor unităţilor ierarhice, prin organizarea consultărilor periodice. Activitatea la nivelul unităţilor ierarhice se desfăşoară pe baza planurilor de management, întocmirea acestora fiind facilitată de existenţa unei proceduri de sistem specifice.

În cadrul şedinţelor de lucru operative (de regulă, neformalizate) se adoptă măsurile de coordonare a deciziilor şi activităţilor în interiorul fiecărei unităţi ierarhice, dar şi cu a altor unităţi ierarhice, în scopul asigurării convergenţei şi coerenţei acestora. Pentru lucrul în anumite domenii de preocupare (de grup) sunt postate informaţii în reţeaua locală privată TCP/IP (Intranet). Informaţia este limitată la domeniul de preocupare al grupului şi este structurată pentru găsire rapidă.

• Standardul 7 - Monitorizarea performanţelor

Directorul general al societăţii a dispus monitorizare anuală a performanţelor pentru obiectivele şi/sau activitățile unităţilor ierarhice, prin intermediul unor indicatori cantitativi şi/sau calitativi, inclusiv cu privire la economicitate, eficienţă şi eficacitate. Acest demers a fost realizat, în principal, prin intermediul unei proceduri dedicate, document supus evaluării şi avizării tuturor şefilor structurilor organizatorice.

Monitorizarea performanţelor activităţilor desfășurate se realizează la nivelul fiecărei unităţi ierarhice în vederea informării conducerii societăţii privind realizarea obiectivelor propuse. Conducătorii unităţilor ierarhice s−au asigurat că este stabilit cel puţin un indicator de performanţă pentru obiectivele stabilite şi activităţile prevăzute în plan și/sau desfăşurate, cu ajutorul căruia se monitorizează și se raportează realizările.

Structura și complexitatea acestui sistem de monitorizare a performanţelor au fost condiționate de mărimea şi de specificul activității societăţii şi de înlesnirea accesului salariaţilor la informaţii.

• Standardul 8 - Managementul riscului

Directorul general al societăţii a organizat şi implementat un proces de management al riscurilor adaptat dimensiunii, complexităţii şi mediului specific în care îşi desfăşoară activitatea societatea APAVITAL S.A., în vederea identificării tuturor surselor posibile de risc şi pentru diminuarea sau eliminarea probabilităţii şi impactului riscurilor. Acest demers facilitează realizarea obiectivelor societăţii comerciale în condiţii de economicitate, eficienţă şi eficacitate.

Pentru asigurarea unui management eficient al riscurilor la toate nivelurile societăţii, şefii tuturor unităţilor ierarhice din structura organizatorică au desemnat la nivelul acestora un Responsabil cu riscurile. Aceşti responsabili cu riscurile consiliază personalul din cadrul unităţilor ierarhice şi asistă conducătorii acestora în procesul de gestionare a riscurilor. Secretariatul tehnic al Comisiei de monitorizare organizează anual cursuri interactive privind managementul riscului, la care participă atât şefii unităţilor ierarhice, cât şi responsabilii cu riscurile.

Sunt stabilite, la nivelul fiecărei unităţi ierarhice, vulnerabilităţile şi ameninţările (denumite generic „riscuri”) care pot afecta atingerea obiectivelor specifice sau pot conduce la săvârşirea unor fapte de corupţie şi fraude. Riscurile sunt evaluate prin estimarea probabilităţii de materializare şi a impactului asupra obiectivelor specifice în cazul în care aceste riscuri se realizează. Riscurile sunt ierarhizate şi prioritizate în funcţie de toleranţa la risc şi este stabilită o strategie de gestionare a riscurilor (răspunsul la risc) prin identificarea celor mai adecvate modalităţi de tratare a riscurilor, inclusiv prin măsuri de control. Anual sunt revizuite registrele de riscuri, documente ce reprezintă sintezele datelor, informaţiilor şi deciziilor luate de fiecare conducător de unitate ierarhică în cadrul procesului de management al riscurilor.

Detalierea situaţiilor de risc/analiza de risc din domeniul de activitate al întreprinderii

Analiza de risc

1.Responsabilul cu riscurile

Fiecare conducător de unitate ierarhică îşi desemnează/reconfirmă, prin notă internă, un Responsabil cu riscurile, o persoană care coordonează modul de derulare a procesului de management al riscului în cadrul microstructurii respective. În esenţă, responsabilul cu riscurile colectează riscurile identificate în cadrul unităţii sale ierarhice, elaborează şi actualizează registrul de riscuri la nivelul acesteia.

Aşadar, responsabilul cu riscurile are un rol de coordonare sau de facilitator, respectiv sprijin pentru colegii săi în identificarea, evaluarea şi propunerea de măsuri de gestionare a riscurilor, colectează toate informaţiile privind riscul din cadrul microstructurii, elaborează/actualizează registrul de riscuri de la nivelul acestuia.

2.Identificarea riscurilor

Identificarea riscurilor presupune activitatea coordonată la nivelul societăţii de identificare şi descriere a riscurilor asociate obiectivelor entităţii. Riscurile sunt identificate la nivelul fiecărei structuri organizaţionale, de către toţi angajaţii, sub îndrumarea responsabilului de risc desemnat.

Riscurile sunt identificate anual şi se ţine cont de recomandarea ca acest lucru să se facă în perioada de asumare a obiectivelor, planurilor şi proiectului de buget pentru a se putea aloca resursele necesare implementării măsurilor de gestionare a riscurilor. De asemenea, în timpul exerciţiului financiar, riscurile sunt identificate şi la apariţia unor modificări în contextul intern sau extern al societăţii, cum ar fi, de exemplu, reorganizarea entităţii, modificări legislative etc.

3.Evaluarea riscurilor

Resursele oricărei entităţi sunt finite, motiv pentru care luarea deciziei de gestionare a riscurilor se ia în urma unei evaluări a expunerii la risc (a mărimii) acestora şi după o prioritizare prealabilă. Aşadar, expunerea la risc presupune stabilirea mărimii riscului inerent, calculată prin evaluarea ponderată a probabilităţii şi impactului, în conformitate cu următoarea matrice:

• indică posibilitatea de apariţie a riscului, respectiv frecvenţa de manifestare şi orizontul de timp în care acesta poate apărea. Cu cât probabilitatea este mai mare, cu atât riscul este mai posibil să apară. În general, probabilitatea a fost evaluată de mai mulţi factori, respectiv: istoricul manifestării riscului, calitatea angajaţilor, complexitatea activităţilor.

• evaluează gravitatea efectelor (consecinţelor) riscului în cazul manifestării. S−a recomandat să se identifice efectele maxime care se pot întâmpla ca urmare a apariţiei riscului, pentru a aprecia cât mai corect gravitatea acestuia (de exemplu, întreruperea activităţii, afectarea imaginii, pagube materiale, procese în instanţă, amenzi contravenţionale).

Identificarea cauzelor care pot genera riscul a fost necesară pentru a stabili eventualele măsuri de gestionare

a riscului. Aceste măsuri trebuie să acţioneze asupra cauzelor, pentru a determina reducerea riscului.

4.Toleranţa la risc

Toleranţa la risc (apetitul la risc) reprezintă nivelul maxim de risc ce poate fi acceptat de către conducerea societăţii APAVITAL S.A. Aşadar, stabilirea limitei de toleranţă la risc a fost şi este în continuare un act de responsabilitate managerială, deoarece are implicaţii importante asupra costurilor asociate măsurilor de control şi a costurilor generate de expunerea la risc.

Toate riscurile care au un nivel al expunerii peste limita de toleranţă la risc acceptată au necesitat măsuri de control prin care acestea să devină riscuri reziduale.

În conformitate cu decizia conducerii societăţii, a rezultat că asupra tuturor riscurilor care au o expunere mai mare sau egală cu 3 (deasupra liniei albastre, în graficul de mai jos) se vor institui măsuri de control.

5.Răspunsul la risc

După evaluarea expunerii la riscul inerent efectuată la nivelul unităţilor ierarhice, nivelul obţinut este comparat cu toleranţa la risc, pentru a stabili necesitatea unui răspuns la risc.

Pentru riscurile la care conducătorul unităţii ierarhice a stabilit ca răspunsul la risc să fie gestionarea (tratarea), se stabileşte într−un plan, măsuri de control şi de urmărire a riscurilor.

6.Monitorizarea implementării măsurilor de control

Măsurile de control stabilite în planurile întocmite sunt puse în practică conform termenelor stabilite. În cazul în care măsurile de control nu au determinat efectele estimate cu privire la risc, în sensul că riscul gestionat nu a scăzut sub toleranţa la risc, măsurile de control au fost revizuite, după caz.

7.Registrul de riscuri

Având în vedere că rolul principal al managementului riscurilor îl reprezintă sprijinirea procesului decizional al societăţii, este important ca toate activităţile executate privind riscurile să fie reflectate în documente înregistrate, semnate şi aprobate, după caz. Cel mai important document în cadrul procesului de management al riscului îl reprezintă Registrul de riscuri − o sinteză a datelor, informaţiilor şi deciziilor luate în cadrul procesului de management al riscurilor (cu respectarea formatului impus de OSGG nr. 600/2018).

8.Raportarea privind procesul de management al riscului

La nivelul unităţilor ierarhice s−a instituit obligativitatea elaborării a cel puţin unei raportări anuale privind desfăşurarea procesului de management al riscurilor. Au fost stabilite anumite informaţii minimale care trebuie menţionate în această raportare, respectiv: numărul de riscuri identificate, numărul de riscuri gestionate, numărul de riscuri la care măsurile de gestionare nu au fost implementate, numărul de riscuri gestionate la care măsurile nu au fost suficiente, stadiul implementării măsurilor de gestionare a riscurilor, revizuirea riscurilor.

Pentru stabilirea unei imagini clare privind modul de gestionare a riscurilor în cadrul societăţii, toate rapoartele anuale întocmite la nivelul unităţilor ierarhice sunt transmise Comisiei de monitorizare a implementării şi dezvoltării sistemului de control intern managerial. Pe baza acestor rapoarte, Comisia elaborează o Informare privind desfăşurarea procesului de gestionare a riscurilor la nivelul companiei.

SITUAŢII DE RISC

În urma unei evaluări generale documentate a situaţiilor de risc identificate în cadrul societăţii APAVITAL, se poate realiza o prioritizare în ordinea descrescătoare a expunerii:

I. EXPUNERE MARE

RISCUL DE MEDIU – INCIDENTE DE POLUARE A APEI POTABILE

Îngrijorările legate de mediu domină în mod frecvent principalele ştiri şi continuă să fie o chestiune de risc social şi economic major. Riscurile de mediu includ: protejarea resurselor de apă, impactul asupra sănătăţii umane dar şi păstrarea biodiversităţii şi calităţii mediului.

În orice moment pot apărea incidente de poluare sau daune aduse mediului [atât poluanţi naturali (proveniţi fie din sedimente rezultate prin eroziunea rocilor, fie poluanţi proveniţi din fondul geochimic al fiecărei zone), cât şi surse de poluare antropogene (industriale şi/sau casnice)], iar din punctul de vedere al reglementărilor europene, ultimul deceniu a fost martor la o înăsprire a cadrului de reglementare privind mediul.

RISCUL DE APARIŢIE A DISCONTINUITĂŢILOR ÎN FURNIZAREA SERVICIILOR

Schimbările climatice, modul în care încălzirea climei(efectul de seră) prilejuieşte apariţia de virusuri noi şi afectează capacitatea mediului înconjurător de a rezista în faţa calamităţilor.

II. EXPUNERE MODERATĂ

RISCUL DE MEDIU – INCIDENTE DE POLUARE A APEI UZATE

Schimbările climatice au contribuit la înregistrarea unor cantităţi de precipitaţii mult mai mari pe perioade scurte de timp, fapt ce favorizează producerea inundaţiilor.

RISCUL DE IMAGINE

Ca orice altă organizaţie, şi societatea APAVITAL se poate confrunta cu o situaţie de criză, în măsură să pună în pericol funcţionarea ei normală şi reputaţia de care se bucură în comunitatea pe care o deserveşte.

Experienţa a arătat că, în ciuda tuturor precauţiilor (de ordin tehnic, economic, financiar, educativ etc.) luate pentru stoparea sau controlarea unei situaţii de criză, ea scapă de sub control; în aceste condiţii, ea poate aduce prejudicii grave organizaţiei, dacă nu este gestionată corect din punct de vedere al comunicării.

RISCUL DE INADAPTARE

În general, salariaţii preferă să existe o constanţă în felul în care îşi desfăşoară activităţile (mai puţin stres şi o predictibilitate confortabilă), în condiţiile în care APAVITAL S.A. îşi măreşte aria de operare (transfrontalier chiar) şi îşi upgradează permanent tehnologiile.

• Standardul 9 – Proceduri

Directorul general asigură elaborarea procedurilor documentate (de sistem şi operaţionale) într−un mod unitar, pentru procesele majore sau activităţile semnificative (declarate procedurale) desfăşurate în cadrul societăţii APAVITAL S.A. şi aceste proceduri sunt aduse la cunoştinţă personalului implicat.

Toate procedurile sunt întocmite în conformitate cu structura prevăzută în Anexa nr. 2 a OSGG nr. 600 privind aprobarea Codului controlului intern managerial al entităţilor publice şi cu procedura de sistem specifică.

Procedurile sunt simple, complete, precise, adaptate proceselor şi activităţilor procedurate şi asigură o separare corectă a funcţiilor de iniţiere, verificare, avizare şi aprobare a operaţiunilor (astfel încât acestea să fie încredinţate unor persoane diferite, reducându−se considerabil riscul de apariţie a erorilor, fraudelor, încălcării legislaţiei precum şi riscul de nedetectare a problemelor pe fluxul unui proces sau activităţi).

O procedura de sistem dedicată stabileşte cadrul general de întocmire a documentelor adecvate, aprobate la un nivel corespunzător, înainte de efectuarea operaţiunilor/activităţilor care, din cauza unor circumstanţe deosebite, se abat de la politicile sau procedurile stabilite în cadrul societăţii. Până în prezent nu au existat situaţii în care să fi apărut abateri faţă de procedurile stabilite.

• Standardul 10 – Supravegherea

Conducerea structurilor organizatorice ale societăţii iniţiază, aplică şi dezvoltă instrumente adecvate de supervizare și control a proceselor și activităţilor specifice unităţilor ierarhice, în scopul realizării acestora în condiții de economicitate, eficiență, eficacitate, siguranță și legalitate. Acest demers este realizat, în principal, prin intermediul unei proceduri specifice.

Activitățile de supraveghere implică revizuiri minore (neformalizate) ale activităţii realizate de salariaţi, testări prin sondaje sau orice alte modalităţi care confirmă respectarea procedurilor.

În cadrul şedinţelor operative zilnice, neformalizate, conducătorii unităţilor ierarhice verifică şi aprobă activităţile salariaţilor, oferă instrucţiunile necesare pentru a asigura minimizarea erorilor şi pierderilor, eliminarea neregulilor şi fraudei, respectarea legislaţiei şi corecta înţelegere şi aplicare a procedurilor şi instrucţiunilor de lucru.

Supravegherea activităţilor este adecvată, deoarece:

• prin fişa postului, fiecărui salariat i se comunică atribuţiile (generale şi specifice), responsabilităţile şi competenţele atribuite;
• se evaluează sistematic activitatea fiecărui salariat;
• se aprobă rezultatele activităţii în diverse etape de realizare a acesteia.

Managerii supraveghează şi supervizează activităţile care intră în responsabilitatea lor directă, responsabilităţi care sunt prevăzute în fişele posturilor. În plus, supervizarea activităţilor care implică un grad ridicat de expunere la risc se realizează pe baza unor proceduri prestabilite.

În particular şi în special, activitatea fiecărui angajat responsabil cu execuţia şi/sau contabilizarea plăţilor este supervizată de către un alt angajat (prin viza de control financiar preventiv propriu), conform normelor proprii şi a OMFP nr. 923/11.07.2014, actualizat, pentru aprobarea Normelor metodologice generale referitoare la exercitarea controlului financiar preventiv şi a Codului specific de norme profesionale pentru persoanele care desfăşoară activitatea de control financiar preventiv propriu.

• Standardul 11 - Continuitatea activităţii

Deoarece societatea APAVITAL S.A. este o organizaţie a cărei activitate trebuie să se deruleze continuu, prin unităţile ierarhice componente, şi o eventuală întrerupere a activităţii afectează atingerea obiectivelor stabilite, conducerea societăţii a identificat principalele ameninţări cu privire la continuitatea derulării proceselor şi activităţilor şi a asigurat măsurile corespunzătoare pentru ca activitatea acesteia să poată continua în orice moment, în toate împrejurările şi în toate planurile, indiferent care ar fi natura amenințării.

Conducătorii unităţilor ierarhice inventariază periodic situaţiile care pot conduce la discontinuităţi în activitate şi întocmesc/revizuiesc un plan de continuitate a activităţilor, care are la bază identificarea şi evaluarea cauzelor care pot afecta continuitatea operaţională. Planurile de continuitate a activităţii au fost aduse la cunoştinţa salariaţilor implicaţi, sunt accesibile şi sunt aplicate în practică de salariaţii care au stabilite sarcini şi responsabilităţi în implementarea acestora.

• Standardul 12 - Informarea şi comunicarea

La nivelul societăţii sunt stabilite tipurile de informaţii, conţinutul, calitatea, frecvenţa, sursele, destinatarii acestora şi este dezvoltat un sistem eficient de comunicare internă, în special printr−un sistem informatic care se desfăşoară integrat, rapid, astfel încât conducerea şi salariaţii să îşi poată îndeplini în mod eficace şi eficient sarcinile, iar informaţiile să ajungă complete şi la timp la utilizatori. Utilizatorii lucrează simultan, prin reţeaua de calculatoare, asupra aceloraşi date, în funcţie de atribuţiile pe care le au. Legăturile dintre diferitele module se fac direct, fără a fi nevoie de importuri/exporturi de date şi fără a genera redundanţe/paralelisme.

De asemenea, colectarea, prelucrarea şi centralizarea informaţiilor se realizează prin utilizarea sistemului de management electronic al documentelor în reţeaua locală privată TCP/IP (Intranet), instrument pentru lucrul în grup. Informaţia este limitată la domeniul de preocupare al grupului şi este astfel structurată pentru o identificare rapidă.

Deoarece calitatea informaţiilor şi comunicarea eficientă sprijină conducerea şi salariații societăţii în îndeplinirea sarcinilor, responsabilităţilor şi în atingerea obiectivelor inclusiv a scopului privind controlul intern managerial, a fost aprobată şi se aplică o procedură de sistem dedicată. Conducerea unităţilor ierarhice îşi stabileşte/revizuieşte anual fluxurile și canalele de comunicare care asigură transmiterea eficace a datelor, informaţiilor şi deciziilor necesare desfăşurării proceselor structurii organizatorice.

Informaţia beneficiază de o circulaţie rapidă, în toate sensurile, în şi din exterior, prin:

• serviciul de telefonie fixă şi mobilă;
• pe site−ul web al societăţii, www.apavital.ro;
• la ghişeu şi la audienţe.

Sunt două reguli generale aplicabile:

• respectarea limitelor de responsabilitate şi a delegărilor de autoritate, stabilite de către directorul general prin fişele posturilor;
• evitarea paralelismelor, adică circulaţia simultană a aceloraşi informaţii pe canale diferite sau de mai multe ori pe acelaşi canal.

Feedback−ul demonstrează că sistemul de comunicare desfăşurat de societate este unul flexibil şi rapid, atât în interiorul entităţii, cât şi între aceasta şi mediul extern, şi serveşte scopurilor utilizatorilor, informaţia fiind corectă, credibilă, clară, completă, oportună, utilă, uşor de înţeles şi receptat.

Sistemele IT sprijină managementul adecvat al datelor, inclusiv administrarea bazelor de date, asigurarea calității lor şi conformarea cu cerinţele Regulamentului UE nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera protecţie a acestor date (politici şi formulare, proceduri privind securitatea informaţiei).

Sistemele de management al datelor și procedurile de operare sunt în conformitate cu politica IT a societăţii, măsurile obligatorii de securitate și regulile privind protecția datelor personale corespund Sistemului de management al securităţii informaţionale (ISO/IEC 27001:2022) implementat în compania APAVITAL S.A.

• Standardul 13 - Gestionarea documentelor

Conducerea societăţii asigură organizarea şi gestionarea procesului de creare, revizuire, organizare, stocare, utilizare, identificare şi arhivare a documentelor interne şi a celor provenite din exteriorul entității, oferind control asupra ciclului complet de viaţă al acestora şi accesibilitate conducerii şi salariaților, precum şi terţilor abilitaţi.

Sunt definite reguli clare şi sunt stabilite proceduri cu privire la înregistrarea, expedierea, redactarea, clasificarea, îndosarierea, protejarea şi păstrarea documentelor. Este organizat și monitorizat procesul de primire, înregistrare şi expediere a documentelor, iar la nivelul fiecărei unităţi ierarhice se ţine, în mod obligatoriu, o evidenţă a documentelor primite şi expediate.

În cadrul societăţii sunt implementate măsuri de securitate pentru protejarea documentelor împotriva distrugerii ori furtului [restricţionarea accesului persoanelor sau autovehiculelor în amplasamente prin sisteme de control acces cu cartelă (atât la intrarea în clădiri, cât şi la accesul în birouri, interconectate cu sisteme de alarmă sau supraveghere video) şi pază] sau incendiului (măsuri de prevenire a incendiilor încă din fazele de proiectare şi execuţie a construcţiilor, instalaţiilor şi amenajărilor şi menţinerea lor la parametrii proiectaţi de exploatare, echiparea şi dotarea cu mijloace tehnice de apărare împotriva incendiilor şi organizarea activităţii de apărare împotriva incendiilor).

Au fost luate măsuri de conformare la cerinţele Regulamentului nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

• Standardul 14 - Raportarea contabilă şi financiară

Conducerea societăţii asigură buna desfăşurare a proceselor şi exercitarea formelor de control intern adecvate, care garantează că datele şi informaţiile aferente utilizate pentru întocmirea situaţiilor contabile anuale şi a rapoartelor financiare sunt corecte, complete şi furnizate la timp.

Sunt instituite controale suficiente, atât externe (Curtea de Conturi, Agenţia Naţională de Administrare Fiscală etc.), cât şi interne (Compartimentul de Audit Intern).

În urma misiunilor de audit, nu s−au constatat încălcări ale prevederilor normative specifice domeniului financiar−contabil.