DOU 07/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700062
62
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
.
Tais programas, podem considerar as seguintes ações elencadas a seguir:
Canal de sugestões de colaboradores e Programa de ideias;
Fluxo de análise de sugestões;
Programa de incentivos à Criatividade;
Realização de concurso interno para Prêmios em Inovação entre os colaboradores;
. . Formação de Grupos de Trabalho ou comitês para o tratamento das manifestações encaminhadas.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada do programa ou de ações institucionalizadas de incentivo à inovação e manifestação de ideias e se estes são embasados no planejamento estratégico
da operadora.
. .1.3.10
.A Operadora possui Política ou diretrizes documentadas e implementadas, de recrutamento e seleção com critérios que considerem aspectos relativos à
diversidade.
.Excelência
.
Interpretação:
A gestão de diversidade no ambiente de trabalho pode ser facilitada através de uma política de recrutamento e seleção que valorize a diversidade de seus colaboradores sobre os mais
variados aspectos: gênero, raça, cultura, origem etc. Tal política deve visar a atração e retenção dos melhores talentos, a promoção da criatividade e inovação, a flexibilidade organizacional e
não deve se prender às exigências legais, como por exemplo a definição de cotas para pessoas com deficiências.
. .Como insumo para a elaboração da política de recrutamento e seleção que considere critérios relativos à diversidade, o departamento responsável pela gestão de pessoas poderá elaborar uma
análise da composição da sua atual força de trabalho (através de suas informações cadastrais e questionários complementares qualificados). Nesta análise, poderá ser identificada a percepção
de seus colaboradores quanto à diversidade. (FLEURY, 2000)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Evidenciar se a Política ou as diretrizes documentadas e implementadas de recrutamento e seleção, bem como os documentos de recrutamento e seleção (ex.: manuais) consideram
aspectos relativos à diversidade.
. .1.4 Tecnologia da Informação
.
Interpretação:
A aplicação de recursos tecnológicos e organizacionais na construção de capacidades de Tecnologia de Informação (TI) pode contribuir significativamente para o desempenho das
operadoras. Este requisito procura identificar como a operadora gerencia este importante ativo e minimiza os riscos de falha no funcionamento devido a imprevistos e às situações mais
emergenciais, além de questões envolvendo a escalabilidade de recursos de infraestrutura.
.
Com o desenvolvimento das tecnologias que utilizam Inteligência Artificial (IA), foram ampliadas suas possibilidades de uso na saúde, incluindo rotinas de agendamentos, processo de
check-in do paciente, antecipação de documentação para procedimentos, auxílio no diagnóstico e tratamento de doenças, monitoramento das condições de saúde, entre outros. Além do apoio
à prática do cuidado em saúde, a IA também pode apoiar diversas ações como a vigilância de doenças, gestão de sistemas, auditoria e pesquisas.
. .Embora as novas tecnologias que usam IA sejam muito promissoras para as práticas de gestão e assistenciais no campo da saúde, se mal utilizadas podem ocasionar riscos e danos. Diferentes
ferramentas e sistemas informatizados de IA se valem de algoritmos para a tomada de decisões. Nesse contexto, tem se ampliado o debate e as regulamentações em torno da responsabilização
e do uso ético da IA, buscando promover a clareza e compreensão de como as decisões são formuladas (ANJOS, 2019; WHO, 2021; FRAJHOF, 2021; ALETEIA, 2024; BRASIL, 2024a; 2024b; UNIÃO
EUROPEIA, 2024).
Desse modo, a operadora deve considerar os aspectos éticos no uso de diferentes ferramentas de TI, incluindo as de Inteligência Artificial (IA).
. .1.4.1
.A Operadora possui plano diretor de tecnologia da informação alinhado ao planejamento estratégico para disponibilizar recursos a fim de atender às
necessidades tecnológicas e de informação da organização.
.Essencial
.
Interpretação:
O Plano Diretor de Tecnologia da Informação (PDTI) é um instrumento de diagnóstico, planejamento e gestão dos recursos e processos de tecnologia da informação, que visa atender às
necessidades tecnológicas e de informação de uma organização, para um determinado período, devendo estar alinhado ao planejamento estratégico e fornecer informações relevantes para o
processo de tomada de decisão.
.
O PDTI permite otimizar a gestão e antecipar o futuro, orientando e priorizando as atividades e projetos de TI necessários para atender ao planejamento estratégico da
organização.
É recomendável que o PDTI contemple os seguintes itens:
1. Histórico, contexto em torno do seu desenvolvimento e as mudanças ocorridas;
2. Descrição e avaliação das condições de instalações, recursos e de pessoal;
3. Referencial estratégico;
. .4. Inventário das necessidades apuradas;
5. Definição das responsabilidades;
6. Plano de metas, ações, orçamento, gestão dos recursos, investimento, custeio e gestão de riscos;
7. Fatores críticos de sucesso para a sua implementação;
8. Plano de Contingência para a garantia de condições mínimas de operação.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada do PDTI e o seu alinhamento ao planejamento estratégico da organização. O PDTI deverá ser revisto, no mínimo, quando da atualização do
planejamento estratégico da operadora.
. .1.4.2
.O plano diretor de tecnologia da Informação contempla a existência de mecanismos tecnológicos para proteção de informações sensíveis de cadastro e
transações operacionais.
.Essencial
.
Interpretação:
O PDTI deverá prever os mecanismos tecnológicos que asseguram a proteção/integridade das informações geradas internamente e aquelas provenientes de beneficiários e prestadores
por intermédio do padrão TISS. Informações sensíveis não devem ser apropriadas pela concorrência ou pelo público em geral. Exemplo de informações consideradas sensíveis: dados clínicos,
ligados à condição de saúde, cadastro e diagnósticos dos beneficiários, valores monetários, cadastro de colaboradores e transações operacionais.
. .Há algumas técnicas de criptografia para comunicação e modelos de "anoniminização" de dados. Cabe registrar que segurança de informação envolve etapas de planejamento, monitoramento
e gerenciamento, entre outras funções.
Algumas práticas recomendáveis em relação a gestão de dados e troca de informações envolvem a gestão dos dados e certificação digital.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
(VALLE, 2010)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Os auditores deverão considerar as evidências da adoção de práticas recomendáveis em relação ao seguintes aspectos:
- Gestão dos dados: Os auditores deverão verificar, entre outras ações se a operadora possui uma política de segurança de dados; utiliza criptografia para proteger dados sensíveis, possui
controle de acesso aos sistemas por usuário e senha; se os perfis de acesso são revisados periodicamente para evitar acessos indevidos.
. .Aliado a isso, os auditores deverão realizar uma avaliação de documentos (política); solicitar a apresentação de arquivos criptografados e a exemplificação da tecnologia utilizada; realizar uma
verificação de sistemas utilizados pela operadora; solicitar relatórios de revisão de acesso, registro dos logs de acessos e tentativas de acesso ao sistema de informação.
Troca de informações: Os auditores deverão verificar ainda se a operadora possui Certificado Digital instalado em seu servidor para Troca de Informações com os prestadores conveniados
e a familiaridade da operadora com as determinações da ANS quanto aos componentes do TISS, os quais são periodicamente atualizados no portal da ANS na internet.
. .1.4.3
.O plano diretor de tecnologia da Informação contempla plano de contingência de serviços de TI para garantir a disponibilidade dos serviços em situações
emergenciais.
.Essencial
. .Interpretação:
O Plano de Contingência visa a manutenção e disponibilidade dos serviços da operadora no caso de situações emergenciais e deve fazer parte da gestão de segurança da operadora
complementando desta maneira o planejamento estratégico. Nele são especificados procedimentos preestabelecidos que deverão ser observados nas tarefas de recuperação do ambiente de
sistemas e negócio, de modo a diminuir o impacto causado por incidentes que não possam ser evitados pelas medidas de segurança em vigor. (AMARO, 2004). (EIOPA, 2014)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se o PDTI contempla plano de contingência de serviços de TI que garantam a disponibilidade dos serviços em situações emergenciais.
. .
1.4.4
.A Operadora utiliza sistemas automatizados e documentados nos principais processos operacionais.
.
Complementar
.
Interpretação:
Sistemas Automatizados fazem uso de técnicas que têm como objetivo otimizar tempo, reduzir custos e focar na qualidade de um bem ou serviço que está se produzindo ou
prestando.
.
A Operadora deverá definir os principais processos a serem automatizados, justificando como estes processos foram definidos, os critérios para determinação do grau de automatização
e o alinhamento da decisão à sua estratégia de negócios. Cabe ressaltar que os riscos da automatização também deverão ser avaliados e mitigados e que todo esse processo deverá estar
devidamente documentado e embasado. Citam-se alguns processos passíveis de automatização: (1) autorização de eventos assistenciais; (2) cadastramento de prestadores conveniados; (3)
atendimento ao beneficiário; (4) registro do faturamento; (5) recebimento de guias e pagamento (prestadores e reembolso); (6) elegibilidade do beneficiário; entre outros.
. .É possível que um processo principal contenha diversos processos críticos ou chaves. Os processos críticos são aqueles que têm impacto na realização de metas e objetivos, ao passo que os
processos chaves são os mais relevantes do ponto de vista da satisfação do cliente interno ou externo. Pode ser que nem todos os processos sejam passíveis de automatização ou ainda, que
existam etapas de um processo onde não é recomendável a automatização. (RODRIGUES, 2011)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a utilização de sistemas automatizados e documentados nos principais processos operacionais. Os auditores deverão verificar como foram definidos os principais processos
operacionais, justificando, ainda, os critérios adotados para definir o grau de automatização, considerando o perfil da operadora e a estratégia de negócios da mesma.
São formas possíveis de evidência:
. .1. Relatório de mapeamento dos processos da operadora;
2. Informação documentada dos processos automatizados, contendo seu objetivo, fato gerador, atividades que transformam esse fato gerador, tomadas de decisão sobre o que fazer com
os dados e informações que estão percorrendo o fluxo;
3. Entrevistas com gestores e colaboradores sobre o grau de automatização atingido;
4. Verificação do percentual de processos passíveis de automatização; entre outros.
. .
1.4.5
.
A Operadora possui política de controle da Qualidade dos Dados.
.Complementar
. .Interpretação:
Para que os dados coletados ou produzidos possam ser usados como informações úteis, sem erros que venham a comprometer o atendimento a seus beneficiários, sua relação com
prestadores, seu processo de tomada de decisão e suas obrigações frente à regulação, as operadoras devem formular políticas de controle de qualidade que garantam a integridade, segurança
e fidedignidade desses dados, abrangendo os processos de captação, produção, armazenamento, uso e disseminação de informações.
(SUSEP, 2014)
Fechar