O Grupo, e em particular o seu Conselho de Administração, presta grande atenção aos riscos que afetam o negócio e seus objetivos e está comprometido com assegurar que a gestão do risco é uma componente efetiva e fundamental da estratégia, cultura e do processo de criação de valor do Grupo.
O enquadramento da gestão de risco encontra-se detalhado na Política de Gestão de Risco do Grupo, na qual se define o sistema de gestão de risco e se estabelecem as funções e responsabilidades pela sua execução.
a) Objetivos da Gestão de Risco
O sistema de gestão de risco não pretende eliminar completamente o risco das atividades do Grupo, mas sim assegurar que são desenvolvidos todos os esforços para que o risco seja gerido de forma adequada, maximizando as oportunidades potenciais e minimizando os seus efeitos adversos.
O sistema de gestão de risco do Grupo tem por objetivo estruturar e organizar consistentemente a forma como o Grupo identifica e avalia os riscos, assegurando que estes são analisados de forma abrangente, considerando as dependências e correlações entre as várias áreas de risco, promovendo o alinhamento do processo em toda a organização. Neste estabelecem-se, também, os procedimentos para reporting, com vista a assegurar a adequada monitorização e o acompanhamento das medidas de mitigação e de controlo dos riscos.
Devido à dimensão e dispersão geográfica das atividades de Jerónimo Martins, uma gestão de risco bem sucedida depende da ativa participação de todos os colaboradores, os quais devem assumir essa preocupação como parte integrante das suas funções, em particular através da identificação, reporte e mitigação dos riscos associados às suas áreas de responsabilidade. Todas as atividades têm assim de ser desenvolvidas com a compreensão da natureza do risco e a consciência do potencial impacto de eventos inesperados sobre a Companhia e a sua reputação.
O Grupo está empenhado em assegurar que os colaboradores recebem orientações e formação adequada sobre os princípios de gestão de risco, sobre os critérios e processos definidos na Política de Gestão de Risco e sobre as suas responsabilidades individuais na gestão efetiva dos riscos.
b) Organização da Gestão de Risco
O modelo de governo da gestão de risco encontra-se definido de forma a assegurar a eficácia da Estrutura da Gestão de Risco (Risk Management Framework), encontrando-se alinhado com o Modelo das Três Linhas, que distingue entre três grupos (ou linhas) que envolvem uma gestão de risco efetiva, e que são:
- Primeira Linha (Operações de Negócio: Responsáveis pelo Risco) – responsável pelas atividades quotidianas de gestão do risco, alinhadas com a estratégia de negócio, os procedimentos internos existentes e a Política de Gestão de Risco;
- Segunda Linha (Funções de Supervisão/Compliance: Gestores de Risco Corporativo e de Unidade de Negócio) – responsável pela análise e reporting da Gestão de Risco, bem como pelo desenvolvimento de políticas com vista a assegurar uma gestão adequada dos riscos. Esta segunda linha também inclui funções como o Controlo Financeiro, Segurança Física, Segurança de Informação, Privacidade de Dados, Prevenção de Corrupção, Qualidade e Segurança Alimentar, entre outras áreas corporativas;
- Terceira Linha (Supervisão Independente: Auditoria Interna e Auditoria Externa) – responsável por garantir a eficácia dos mecanismos de governo, Gestão de Risco e de controlo interno, incluindo a forma como as primeiras e segundas linhas asseguram os objetivos de controlo e Gestão de Risco.
A estrutura organizacional da Gestão de Risco considera as seguintes funções e responsabilidades, efetivamente exercidas ao longo do período em análise:
- o Conselho de Administração é responsável pela definição da estratégia e da Política de Gestão de Risco, que inclui o processo aplicável à definição dos limites de exposição ao risco do Grupo, e pela definição dos objetivos em matéria de assunção de riscos, cabendo-lhe ainda providenciar para que sejam criados os sistemas de controlo necessários, com vista a garantir que os riscos incorridos estão em conformidade com os objetivos fixados. Estas competências foram executadas, nomeadamente, através da aprovação da referida Política de Gestão de Risco, contemplando os aspetos referidos, e cuja aplicação se manteve no exercício de 2023;
- a Comissão de Auditoria aprova os planos de atividade relacionados com a gestão de risco, acompanhando a sua execução, e avaliando e fiscalizando a eficácia dos sistemas de controlo interno, de auditoria interna e de gestão de riscos. As suas responsabilidades incluem, nomeadamente, proceder a uma avaliação dos níveis de exposição global ao risco e assegurar que os mesmos são compatíveis com os objetivos e estratégias aprovados pelo Conselho de Administração, rever as ações de mitigação definidas para os riscos considerados mais críticos, acompanhar o planeamento e desenvolvimento de iniciativas de gestão de risco, e rever periodicamente os principais tipos de risco do Grupo, assim habilitando o Conselho de Administração a proceder ao ajustamento necessário da Política de Gestão de Risco, como fez durante o exercício de 2023;
- o Administrador-Delegado, coadjuvado pela Direção Executiva, assegura a implementação da estratégia e da Política de Gestão de Risco definida pelo Conselho de Administração, bem como promove uma cultura atenta ao risco na organização, assegurando que a Gestão de Risco se encontra embutida em todos os processos e atividades;
- o Comité de Risco, que é composto por representantes de Direções Funcionais do Centro Corporativo da Sociedade, referidas no n.º 21, e por um elemento certificado na área de gestão de risco, assiste e aconselha a Direção Executiva, enquanto órgão coadjuvante do Administrador-Delegado, na avaliação e monitorização de medidas de mitigação dos diferentes tipos de risco e visa garantir a existência de uma Estrutura de Gestão de Risco eficaz, que assegura que os níveis de exposição ao risco se encontram alinhados com os objetivos e estratégias aprovadas pelo Conselho de Administração, sem prejuízo das competências a cargo da Comissão de Auditoria;
- a Direção de Estratégia e Gestão de Risco é responsável pela implementação da estrutura de Gestão de Risco e pela coordenação de todas as atividades de Gestão de Risco, apoiando a Direção Executiva e o Comité de Risco na identificação de exposição a riscos que possam comprometer a estratégia e os objetivos do Grupo. Conta, entre as suas atribuições, a identificação e reconhecimento das melhores práticas de gestão de risco, bem como a partilha de recomendações de organizações de renome e/ou requisitos de conformidade (compliance). A Direção de Estratégia e Gestão de Risco é também responsável pela coordenação e alinhamento das práticas seguidas pelas Companhias nos PCN;
- o Gestor de Risco da Unidade de Negócio é responsável pela implementação das iniciativas de Gestão de Risco ao nível das Companhias e pelo suporte das atividades dos respetivos Responsáveis pelo Risco;
- os Responsáveis pelo Risco compreendem todos os colaboradores que tenham a seu cargo a execução e/ou controlo de um determinado processo ou atividade, dentro de uma unidade de negócio ou da estrutura corporativa, sendo responsáveis pela gestão dos riscos envolvidos nessas atividades;
- o Departamento de Auditoria Interna baseia o seu trabalho no conjunto de riscos significativos, conforme identificados pela gestão, auditando os controlos referentes aos processos mais expostos, de forma a garantir a sua eficácia e eficiência e prestar suporte ativo no processo de Gestão de Risco.