A Diretoria de Auditoria, Riscos, Controles Internos, Ética & Compliance e DPO tem como missão fomentar a gestão estratégica de riscos, promovendo os valores éticos e culturais, a fim de garantir a aderência aos requisitos da lei anticorrupção e outros normativos relacionados, com foco na sustentabilidade dos negócios, a partir da gestão integrada dos seguintes processos do grupo CPFL Energia:
- Riscos Corporativos - gerenciamento de riscos estratégicos a partir da identificação, mensuração, monitoramento e reporte dos riscos a que o Grupo CPFL Energia está exposto;
- Controles Internos - coordenação e avaliação dos controles internos relativos à elaboração e divulgação das demonstrações financeiras e demais processos chave da empresa;
- Ética e Compliance – desenvolvimento e gestão do Programa de Integridade;
- Auditoria Interna - realiza processos de avaliação, monitoramento e acompanhamento independente, pautado em boas práticas de mercado, políticas e procedimentos vigentes na Companhia;
- Proteção de Dados – responsável pelo desenvolvimento, implementação e monitoramento da estratégia de proteção de dados e privacidade.
Estrutura organizacional
A área de Gestão de Riscos é responsável pelo processo de identificação e mensuração de riscos que podem afetar as estratégias de negócios da organização, nos moldes da Política de Gestão Corporativa de Riscos.
- Coordenar o processo de gestão de riscos no Grupo CPFL, desenvolvendo e mantendo atualizadas metodologias de Gestão Corporativa de Riscos que compreendem a identificação, mensuração, monitoramento e reporte dos riscos aos quais o Grupo CPFL está exposto.
- Definir, junto aos executivos e Conselho de Administração, o nível de exposição ao risco que a organização está disposta a aceitar na busca de seus objetivos.
- Assegurar que os negócios estão sendo conduzidos dentro dos limites de risco definidos (“apetite ao risco”) e, se necessário, acompanhar as ações de mitigação desses riscos.
- Verificar se a Companhia não participa de atividades ou adota práticas que possam comprometer a sustentabilidade de seus negócios e não assume riscos de operações que não sejam inerentes aos seus negócios e/ou previamente aprovadas pelo Conselho de Administração.
- Apoiar a Companhia na preparação para enfrentamento de situações adversas, como forma de minimizar possíveis impactos negativos.
Os principais riscos do Grupo CPFL são consolidados no Mapa Corporativo de Riscos, obrigatoriamente e minimamente organizados em categorias, sendo elas: Financeiro, Operacional, Legal, Mercado de Energia, Regulação Setorial, Ambiental e Reputação.
Os riscos contidos no Mapa são periodicamente monitorados através de modelos e/ou indicadores com limites de exposição aprovados pelo Conselho de Administração do Grupo CPFL Energia. O limite é a medida de risco que a instituição está disposta a aceitar para alcançar os resultados esperados nas respectivas áreas de negócios. São estabelecidos através de métricas quantitativas, na sua maioria, e possui três níveis de classificação: baixo, moderado e alto. Quando há extrapolação do limite estabelecido, o risk owner, ou executivo responsável pelo risco, tem por responsabilidade a elaboração de planos de ação para reduzir a exposição, devendo a área de riscos garantir a aderência à governança de riscos aprovada pelo Conselho de Administração.
Os indicadores e limites de risco são avaliados continuamente e, quando necessário, propostas de alterações devem ser submetidas pela Diretoria Executiva da CPFL Energia ao Conselho de Administração da CPFL Energia para deliberação.
A área de Controles Internos tem por missão promover gerenciamento preventivo de perdas maximizando o valor aos nossos stakeholders e retorno aos acionistas de forma sustentável. Também é responsável por estabelecer e manter controles internos visando assegurar a confiabilidade das informações financeiras e respectiva divulgação aos acionistas.
- Mitigar de forma suficiente os riscos operacionais;
- Aprimorar os controles internos de forma contínua;
- Atuar de forma preventiva na redução de perdas;
- Preservar os ativos da Companhia;
- Prover informações para a tomada de decisão, orientando a performance dos negócios.
Anualmente, os processos, riscos e controles internos são avaliados e certificados eletronicamente pelos nossos executivos, por meio de um sistema de Gerenciamento de Controles Internos1.
1Adotamos o COSO 2013 (Comittee of Sponsoring Organizations of the Treadway Comission) para estruturar o sistema de controle interno do Grupo CPFL Energia, e as orientações emitidas pelo Conselho Federal de Contabilidade para identificação dos riscos e controles internos relevantes para as demonstrações financeiras.
As principais etapas de avaliação dos controles internos compreendem:
Autoavaliação:
Atividade realizada pelo gestor do processo por meio da revisão dos riscos e controles internos, tem por objetivo antecipar eventuais fragilidades, permitir a sua correção de maneira tempestiva, com o apoio do time de Controles Internos.
Avaliações de Efetividade:
edem se o controle está operando de acordo com o objetivo de mitigação de riscos, e visa obter evidências que suportem a avaliação do ambiente de controles internos da CPFL Energia que será publicamente divulgada, por meio do formulário de Referência ao mercado brasileiro.
Plano de remediação:
Ações definidas para controles com resultados ineficazes e que tem por objetivo corrigir os problemas identificados, minimizando ou mitigando a materialização de riscos operacionais associados.
Certificação Ascendente:
Consiste na ciência e assinaturas eletrônicas dos executivos que possuem controles internos sob sua responsabilidade.
A área de Ética e Compliance é responsável pelo desenvolvimento, implementação e monitoramento do Programa de Integridade do Grupo CPFL Energia.
- Estabelecer diretrizes que promovam a compreensão e observância dos valores e regras contidos nos Códigos de Conduta Ética (para colaboradores e fornecedores), incluindo, mas não se limitando, às orientações sobre conflitos de interesses, relacionamento com agentes públicos e/ou políticos, procedimento de brindes, presentes e hospitalidades e iniciativas anticorrupção e antissuborno;
- Assegurar que o Programa de Integridade esteja apto para prevenir, detectar e responder a incidentes de corrupção, suborno, fraudes, dentre outros desvios éticos no Grupo CPFL;
- Comunicar a mensagem e compromisso com o valor integridade pelos canais institucionais, e através de ações de comunicação e treinamentos para colaboradores, fornecedores e públicos sensíveis;
- Disponibilizar canais de consulta, sugestões, denúncias e/ou dúvidas relativas ao Código de Conduta Ética e respectivas políticas e procedimentos internos do Programa de Integridade, incluindo o acesso ao canal externo de denúncias (Canal de Ética), disponível 24 horas, 7 dias por semana e aberto a todos os públicos de interesse (fornecedores, colaboradores, clientes, etc). Clique aqui para acessar o canal;
- Investigar denúncias e alegações, assegurando equidade na aplicação das respectivas medidas disciplinares; e,
- Garantir a transparência, efetividade e melhoria contínua do Programa de Integridade através de mecanismos de monitoramento, a exemplo do Compliance Risk Assessment – CRA, dos reportes periódicos e indicadores de conformidade para os respectivos fóruns executivos.
O monitoramento das diretrizes e da eficácia do Programa de Integridade também é realizado pelo Comitê de Ética e Conduta Empresarial (COMET), com suporte da Comissão de Processamento de Denúncias (CPD), que são compostos por membros da alta administração e também por um membro externo independente.
Conheça nosso Código de Conduta Ética (O documento foi aprovado em Reunião de Conselho de Administração em 20 de abril de 2023 e está na sua 5ª versão) e o Código de Conduta Ética para Fornecedores (O documento foi aprovado pela área de Ética e Compliance, publicado em 24 de outubro de 2023 na intranet da CPFL, e está na sua 2ª versão).
A não observância das diretrizes e compromissos contidos nos nossos Códigos de Conduta Ética sujeitará à aplicação das medidas disciplinares previstas nas normas internas e na legislação aplicável, podendo, inclusive, levar à rescisão contratual.
A Auditoria Interna da CPFL Energia está estruturada de forma a permitir atuação eficiente e independente. O conjunto de critérios, diretrizes e regras básicas para o desenvolvimento dos trabalhos da Auditoria Interna no Grupo CPFL Energia encontra-se formalizado pelo Regulamento Interno e alinhado às melhores práticas do IIA (Instituto dos Auditores Internos).
- Revisar e avaliar a eficácia, suficiência e aplicação dos controles contábeis, financeiros, sistêmicos e operacionais;
- Determinar a extensão do cumprimento das normas, dos planos e procedimentos vigentes;
- Determinar a extensão dos controles sobre a existência dos ativos da empresa;
- Determinar o grau de confiança, das informações e dados contábeis da empresa;
- Avaliar a qualidade alcançada na execução de tarefas determinadas para o cumprimento das respectivas responsabilidades.
Para o atingimento dos objetivos, o Plano Anual de Auditoria é elaborado de acordo com as seguintes etapas: diretrizes estratégicas e alavancas de valor; pesquisa com os principais gestores dos processos; revisão de riscos junto ao Gerenciamento de Riscos; avaliação e percepção dos Auditores Internos; entrevistas com membros do Conselho e principais executivos, e classificação de risco por processo.
Após a elaboração do Plano Anual de Auditoria, os resultados são submetidos à apreciação do Comitê de Auditoria. Este deverá recomendar sua aprovação ao Conselho de Administração. Após a aprovação pelo Conselho de Administração, o Plano de Auditoria será levado ao conhecimento da Presidência e Vice-presidências.
Dentre os trabalhos realizados pela Auditoria Interna, considerando a abrangência de cobertura dos riscos estratégicos, operacionais, financeiros e de “compliance” (regulamentares), estão:
Identificação das principais vulnerabilidades, riscos específicos e respectivas atividades de controle, bem como oportunidades de melhorias, para então propor recomendações que possibilitem aprimorar os controles internos e minimizar os riscos identificados a níveis aceitáveis.
Verificação automatizada do status da implantação dos planos de ação oriundos das oportunidades de melhoria propostas no Relatório de Auditoria, bem como a identificação de possíveis novos riscos e necessidades de trabalhos adicionais ou especiais.
Monitoramento contínuo de indicadores automatizados de forma a identificar tempestivamente eventuais não conformidades e tendências nos processos analisados. Com esta metodologia, avaliamos 100% da base de dados dos processos auditados.
Apoio às áreas de negócios em consultas diversas, de suporte em análises específicas, na participação em projetos, comitês internos e reuniões específicas, entre outras, sempre visando de forma preventiva a mitigação de riscos, melhoria de processos e controles internos, com o devido zelo e cuidado para não se perder a independência das atividades essenciais de avaliação (assurance).
O conjunto de critérios, diretrizes e regras básicas para o desenvolvimento dos trabalhos da Auditoria Interna no Grupo CPFL Energia está definido no Regulamento da Auditoria Interna.
Na CPFL Energia a Gerência de Proteção de Dados, liderada pelo Encarregado de Dados Pessoais, é responsável por orientar o tratamento de informações pessoais de pessoa natural nas atividades desenvolvidas pelas empresas do grupo, através do desenvolvimento, implementação, monitoramento, gestão e supervisão do Programa de Governança em Proteção de Dados do Grupo CPFL Energia, em observância as leis e regulamentações que regem a Proteção de Dados Pessoais.
A área de Proteção de Dados é responsável por orientar o tratamento de informações pessoais de pessoa natural, através do desenvolvimento, implementação, monitoramento, gestão e supervisão do Programa de Governança em Proteção de Dados do Grupo CPFL Energia.
- Estabelecer as diretrizes para o tratamento de dados pessoais dentro da Organização;
- Orientar o atendimento aos direitos dos titulares;
- Gerir a estratégia e o programa de governança em proteção de dados e privacidade;
- Monitorar e responder tempestivamente na identificação de riscos de privacidade e proteção de dados que podem violar legislações ou causar impactos sobre os direitos dos titulares;
- Acompanhar a implantação das iniciativas que estejam associadas ao cumprimento das demandas legais ou legislações de privacidade;
- Elaborar e promover treinamentos de privacidade e proteção de dados para todos os públicos que forem necessários dentro da organização, incluindo prestadores de serviços e terceiros.
Tendo a segurança como um de seus valores inegociáveis, o Grupo CPFL tem como compromisso observar as leis e regulamentações que regem a privacidade e a proteção de dados pessoais de modo que o tratamento de dados pessoais de pessoas naturais aconteça de forma legal, ética e responsável, respeitando propósitos legítimos, específicos e informados aos titulares de dados.
Ainda com base no mesmo valor, a CPFL Energia tem o compromisso de promover a cultura de valorização da proteção de dados através de políticas, normativos, treinamentos e comunicações relacionadas ao tema, direcionando e envolvendo seus colaboradores, prepostos e terceiros contratados.
O tratamento de dados pessoais é orientado pelo Programa de Governança em Proteção de Dados que e tem como objetivo manter a confiança de seus clientes, consumidores, candidatos, colaboradores, visitantes representantes legais, parceiros, investidores, partes relacionadas e autoridades, além de orientar a gestão de riscos em privacidade e proteção de dados.
A forma como são tratados os dados pessoais de pessoa natural pela Organização é informado aos titulares de dados através de políticas e avisos de privacidade disponibilizados nos meios de comunicação utilizados para contato com o titular dos dados a depender da categoria de titular que ele se enquadra (cliente, usuário, parceiro, colaborador,...), e sempre que aplicável, de maneira a viabilizar a consulta previa, pelo titular, ao tratamento das informações pessoais.