Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 07/04/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700064
64
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
.
Particularmente na terceirização de serviços como, por exemplo, serviços de Tecnologia da Informação, as operadoras de planos privados de assistência à saúde devem implementar
medidas que visem a mitigar os riscos envolvidos, como por exemplo:
contratar empresas idôneas e com capacidade e conhecimento adequados ao trabalho a ser executado;
definir quais processos de trabalho devem efetivamente ser terceirizados;
.
implementar mecanismos que permitam manter o controle sobre os processos de trabalho, como exigência de documentação, relatórios operacionais, estabelecimento de níveis
mínimos de qualidade;
elaborar contrato de prestação de serviços que defina de forma completa e objetiva todas as obrigações a serem cumpridas pela empresa terceirizada, em especial, cláusulas
referentes à obrigação de manter o sigilo e confidencialidade das informações, à continuidade dos serviços, e à exigência de cumprimento de níveis de qualidade preestabelecidos.
Especificamente no caso de Operadoras e Administradora de Benefícios, esta relação deverá estar estabelecida em contrato e em tal contrato deverá prever o estabelecido neste
item.
.
Destaca-se que a atividade de Administradora de Benefício foi regulada pela ANS por intermédio de Resolução Normativa específica. Uma administradora de benefício deve possuir
autorização de funcionamento concedida pela ANS, com um número de registro ativo para exercer suas atividades. Dentre as atividades a serem desenvolvidas por uma Administradora
de Benefícios, elencam-se as seguintes:
I - promover a reunião de pessoas jurídicas contratantes na forma específica definida na legislação vigente;
.
II - contratar plano privado de assistência à saúde coletivo, na condição de estipulante, a ser disponibilizado para as pessoas jurídicas legitimadas para contratar;
III - oferecer planos para associados das pessoas jurídicas contratantes;
IV - apoiar tecnicamente a discussão de aspectos operacionais, tais como: a) negociação de reajuste;
b) aplicação de mecanismos de regulação pela operadora de plano de saúde; e c) alteração de rede assistencial;
IV - apoiar a área de recursos humanos na gestão de benefícios do plano;
.
VI - terceirizar serviços administrativos;
VII - realizar movimentação cadastral;
VIII - conferir faturas;
IX - realizar cobrança ao beneficiário por delegação;
X - realizar consultoria para prospectar o mercado, sugerir desenho de plano e modelo de gestão.
.
Assim, a atividade desempenhada por uma administradora de benefícios proporciona acesso a uma grande quantidade de dados pessoais e confidenciais tanto de clientes quanto
a dados estratégicos, de competitividade e de mercado da própria operadora. Assim, a confidencialidade das informações obtidas em razão dessa atividade desempenhada deverá ser
objeto de tratamento e cláusula contratual específica.
Especificamente no caso de Operadoras e Administradoras de Benefícios:
.
A cláusula/termo de confidencialidade das informações obtidas em razão da atividade desempenhada pela administradora de benefícios deverá contemplar os seguintes aspectos,
dentre outros:
Informações relativas aos dados cadastrais de beneficiários;
Informações relativas à condição de saúde de beneficiários;
Informações relativas aos dados cadastrais das pessoas jurídicas contratantes dos planos;
.
Informações cadastrais dos associados das pessoas jurídicas contratantes;
Informações referentes aos aspectos operacionais dos planos;
Dados e informações referentes à gestão dos benefícios;
Dados de movimentação cadastral, faturas e cobranças; e
Dados estratégicos, de competitividade e de mercado da operadora.
. .No caso de a operadora não possuir nenhum serviço terceirizado, este item não será considerado na avaliação.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
(FRAGA, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar os contratos com os terceirizados de forma a constatar a existência das cláusulas contratuais que garantam: (1) a confidencialidade das informações obtidas em razão da
atividade desempenhada; (2) exigências estabelecidas para a garantia da confidencialidade das informações em caso de rescisão contratual; e (3) as cláusulas contratuais com previsão de
indenização em caso de descumprimento. Também poderá ser evidenciada a existência e assinatura de termo de confidencialidade.
. .1.6 Gestão de Riscos Corporativos
.
Interpretação:
As atividades envolvidas na Gestão de Riscos Corporativos devem contribuir para a perenidade da operadora, atendendo aos seus objetivos estatutários e estratégicos.
A Gestão de Riscos Corporativos permite que a alta administração e os gestores da organização lidem eficientemente com a incerteza e deve buscar o balanceamento entre
desempenho, retorno e riscos associados.
.
A Gestão de Riscos Corporativos é composta por princípios, estrutura e processos desenhados para identificar e responder a eventos que possam afetar os objetivos da operadora.
Além disso, a Gestão de Riscos Corporativos deve atender alguns princípios, entre eles:
Proteger e criar valor para operadora;
Ser parte integrante de todos os processos organizacionais;
Ser considerada no processo de tomada de decisão;
.
Abordar explicitamente a incerteza;
Basear-se nas melhores informações disponíveis;
Estar alinhada com os contextos internos e externos da operadora e com o perfil do risco, além de considerar os fatores humanos e culturais;
Ser transparente, inclusiva, interativa e capaz de reagir às mudanças;
Permitir a melhoria contínua dos processos da operadora.
.
A Gestão de Riscos Corporativos deve ter por objetivo:
Uniformizar o conhecimento entre os administradores da Operadora quanto aos principais riscos das suas atividades;
Conduzir tomadas de decisões que possam dar tratamento e monitoramento dos riscos e consequentemente aperfeiçoar os processos organizacionais e controles internos da
operadora; e
Promover a garantia do cumprimento da missão da Operadora, sua continuidade e sustentabilidade alinhada aos seus objetivos estratégicos.
.
O modelo de Gestão de Riscos Corporativos deve buscar quantificar as incertezas envolvidas na fase de planejamento e projetar os resultados da operadora em cenários alternativos
(simulações). Deve passar pela identificação de cada fator que pode afetar o desempenho da operadora e pela determinação de seus impactos no resultado.
O Gerenciamento dos Riscos Corporativos apoia a priorização e direciona os esforços para tratar os riscos, de acordo com a magnitude do risco. Há alternativas para o tratamento
(evitar o risco; aceitar o risco: retendo, reduzindo, mitigando, compartilhando ou explorando o risco; prevenção e redução dos danos; e capacitação dos envolvidos) e a elaboração de Plano
de Contingência. O plano deve conter os procedimentos e informações necessárias para a manutenção das atividades críticas diante de situações que afetem o funcionamento normal da
operadora.
.
No caso de a Operadora pertencer a um grupo de sociedades de fato e de direito, a estrutura responsável pela gestão de riscos corporativos na operadora poderá estar vinculada
à estrutura da controladora. Tal estrutura deverá ter a expertise técnica acerca da Operação de Planos Privados de Assistência à Saúde e poderá executar operacionalmente a gestão de
risco, considerando as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. Entretanto aspectos específicos de Gerenciamento de Riscos
Corporativos deverão ser executados e observados no nível da Operadora. Exemplos de aspectos específicos: (1) a existência de um gestor de riscos, (2) existência de um programa de
disseminação da cultura de riscos; e (3) existência de um plano de continuidade de negócios para a operadora.
. .A mesma recomendação se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
.
O modelo de Gestão de Riscos Corporativos deve buscar quantificar as incertezas envolvidas na fase de planejamento e projetar os resultados da operadora em cenários alternativos
(simulações). Deve passar pela identificação de cada fator que pode afetar o desempenho da operadora e pela determinação de seus impactos no resultado.
O Gerenciamento dos Riscos Corporativos apoia a priorização e direciona os esforços para tratar os riscos, de acordo com a magnitude do risco. Há alternativas para o tratamento
(evitar o risco; aceitar o risco: retendo, reduzindo, mitigando, compartilhando ou explorando o risco; prevenção e redução dos danos; e capacitação dos envolvidos) e a elaboração de Plano
de Contingência. O plano deve conter os procedimentos e informações necessárias para a manutenção das atividades críticas diante de situações que afetem o funcionamento normal da
operadora.
.
No caso de a Operadora pertencer a um grupo de sociedades de fato e de direito, a estrutura responsável pela gestão de riscos corporativos na operadora poderá estar vinculada
à estrutura da controladora. Tal estrutura deverá ter a expertise técnica acerca da Operação de Planos Privados de Assistência à Saúde e poderá executar operacionalmente a gestão de
risco, considerando as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. Entretanto aspectos específicos de Gerenciamento de Riscos
Corporativos deverão ser executados e observados no nível da Operadora. Exemplos de aspectos específicos: (1) a existência de um gestor de riscos, (2) existência de um programa de
disseminação da cultura de riscos; e (3) existência de um plano de continuidade de negócios para a operadora.
. .A mesma recomendação se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
. .
1.6.1
.A Operadora conta com uma estrutura responsável pelo gerenciamento e avaliação dos riscos, encarregada pela Gestão de Riscos Corporativos e
promoção do seu desenvolvimento.
.Essencial
.
Interpretação:
É importante que cada operadora tenha uma estrutura responsável pela Gestão dos Riscos Corporativos e pela promoção do seu desenvolvimento. Tal estrutura deverá contemplar
as especificidades da operadora, observando seus procedimentos de governança, sua estratégia geral de negócios e seus procedimentos operacionais.
.
Cada um dos colaboradores e terceirizados de uma operadora deve ter a sua parcela de responsabilidade na Gestão dos Riscos Corporativos. A hierarquia máxima, ou seja, o
presidente executivo, deve ser o principal responsável, incentivando tal gestão com o apoio da diretoria. Os demais membros da operadora são responsáveis pela execução do
gerenciamento de riscos em cumprimento às diretrizes e protocolos estabelecidos na metodologia de Gestão de Riscos Corporativos da operadora.
.
Conforme preconizado na ISO 31000:2018, o propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e
funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer o apoio das partes
interessadas, em particular da alta direção. O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da
organização.
.
Não existe uma única forma de se implementar um modelo de Gestão de Riscos Corporativos e nem uma única estrutura adequada para tal. Entretanto, o importante para o
cumprimento deste item é verificar se na operadora existe uma estrutura responsável por tratar e criticar, qualitativa e quantitativamente, os riscos, identificando-os, avaliando-os,
calculando seus impactos de forma integrada, monitorizando-os e promovendo o desenvolvimento da cultura de Gestão de Riscos Corporativos por toda a operadora.
Assim, entende-se por estrutura responsável pela Gestão dos Riscos Corporativos o conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a
concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos dentro de toda a operadora.
.
Observa-se uma tendência pela criação de uma unidade responsável por esta função e esta unidade pode ser um departamento, núcleo, área específica ou unidade funcional
composta por representantes de diversas áreas (comitê). Deve ser verificado se a estrutura responsável tem uma função ativa (executiva) no processo decisório da operadora e se apoia
a tomada de decisão. É sugerido que tal estrutura seja coordenada pelo presidente ou um diretor executivo da operadora e tenha como membros o diretor financeiro, operacional,
assessores e outros responsáveis. A composição dependerá do nível de complexidade das operações da operadora.

Fechar