DOU 07/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700066
66
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
. .
1.6.6
.A Operadora identifica, classifica e agrega as perdas operacionais relevantes identificadas, efetuando a análise da causa raiz por meio
de Matriz de Risco e/ou programas específicos de Gestão de Risco.
.
Complementar
.
Interpretação:
A classificação de "perda operacional relevante" deverá ser estabelecida pela própria operadora de acordo com seu tamanho e a complexidade de suas operações. O critério de
classificação deverá ser objetivo, estar documentado com o devido embasamento técnico, ser aprovado e revisto periodicamente pela alta direção da operadora.
Uma perda Operacional é o valor quantificável associado à falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou decorrente de fraudes ou eventos
externos.
.
A causa raiz de uma perda não guarda relação de dependência com qualquer outra causa de perda identificada. Ou seja, não é necessário que nenhuma outra perda ocorra para
a sua concretização.
Os "eventos externos" abrangem eventos ocorridos externamente à operadora, como paralisações por motivo de tumultos, greves, rebeliões, atos terroristas, motins, catástrofes
naturais, incêndios, apagões e qualquer outro evento não diretamente relacionado às atividades da operadora e que possa causar falha ou colapso nos serviços essenciais ao
desenvolvimento de suas atividades.
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, o estabelecido no item poderá ser executado pela estrutura de Gestão de Riscos Corporativos vinculada
à controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora de forma que este processo considere o estabelecido
neste item de verificação, bem como as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação se aplica ao caso das
Cooperativas Médicas que utilizem a estrutura de suas Federações.
(EIOPA 2014) (IBGC 2007a;2017) (COSO 2007)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de documentos ou relatórios contendo a identificação, classificação das causas e agregação das perdas operacionais que são classificadas como relevantes para
a operadora. Evidências com a identificação e análise da causa raiz também deverão ser efetuadas e documentadas pela operadora e verificadas pela auditoria da entidade
acreditadora.
. .
1.6.7
.A Operadora possui um Plano de Continuidade de Negócios visando a manutenção das atividades em caso de catástrofes ou outras
situações que possam afetar o seu funcionamento.
.
Complementar
.
Interpretação:
A operadora deve prever procedimentos e ações a serem executadas de forma a manter suas atividades críticas diante de situações que afetem o seu funcionamento normal.
Os Riscos que possam ocasionar a interrupção total ou a redução significativa das atividades da operadora, ou seja, um nível de risco considerado inaceitável deverá ser mitigado
através de um Plano de Continuidade de Negócios.
.
A Gestão de Riscos Corporativos é tema sensível e de extrema importância em qualquer organização, em especial para as Operadoras de Planos Privados de Assistência à Saúde.
Assim, mesmo que a Operadora pertença a um grupo de sociedades de fato e de direito que ofereça a estrutura, expertise técnica e execute operacionalmente a Gestão de Riscos
Corporativos, entende-se necessário que a operadora possua um Plano de Continuidade de Negócios visando a manutenção das atividades em caso de catástrofes ou outras situações que
possam afetar o funcionamento da Operadora. Tal plano deverá contemplar as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma
recomendação também se aplica ao caso das Cooperativas Médicas que utilizam para determinados processos de trabalho a estrutura de suas Federações.
. .(COSO, 2007) (IBCG, 2007a; 2017)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência do Plano de Continuidade de Negócios formalmente documentado contendo no mínimo os seguintes itens:
1. definição de papéis e responsabilidades dos envolvidos;
2. nível mínimo de operação e prazo máximo de retorno ao funcionamento normal;
3. procedimentos de comunicação com as partes interessadas (internos e externos); e
. .4. testes periódicos do plano com a devida documentação e plano de ação no caso de falha em algum item.
Tal plano deverá contemplar as especificidades da operadora em especial quanto aos seus procedimentos operacionais.
. .
1.6.8
.A Operadora realiza análise qualitativa e quantitativa dos riscos e estabelece as alternativas para o tratamento dos riscos.
.Excelência
.
Interpretação:
A análise de riscos, quer qualitativa ou quantitativa, visa determinar o efeito potencial do risco em uma determinada operadora. Alternativas para o tratamento dos riscos deverão ser
definidas alinhadas à estratégia da operadora e às diretrizes estabelecidas na Gestão de Riscos Corporativos.
Análise de Riscos e Tratamento: A avaliação e análise do risco é o primeiro passo a ser seguido para a definição do tratamento que será dado a determinado risco identificado. A avaliação deve
contemplar no mínimo nas seguintes etapas:
.
(1) determinação do potencial efeito do risco que compreende o grau de exposição da operadora àquele risco ou seja, a sua probabilidade de ocorrência e seu impacto (incluindo impacto
financeiro); (2) avaliação de eventual interdependência - os eventos são independentes ou um determinado evento pode gerar múltiplos impactos; (3) Priorização dos Riscos a serem tratados - além
da probabilidade de ocorrência e potenciais impactos, a priorização dos riscos também deve levar em consideração critérios subjetivos tais como segurança, aspectos reputacionais e vulnerabilidade
da operadora; e (4) definição do tratamento que deve ser aplicado aos riscos identificados ou justificativas para não tratá-los - após uma análise custo-benefício por exemplo.
.
Uma primeira abordagem deve adotar uma visão mais qualitativa sobre os objetivos estratégicos da operadora e os impactos dos eventos de riscos sobre eles. Uma das formas de
avaliação/análise qualitativa seria através de um Mapa de Avaliação de Riscos de forma a facilitar a priorização da gestão dos riscos e a definição de tratamento que deve ser dado a cada um dos
riscos identificados. O Mapa de Avaliação é um esquema gráfico contendo o impacto do evento e a probabilidade de ocorrência. Por exemplo: exposição aceitável X média probabilidade de
ocorrência.
.
No caso da análise quantitativa, um exemplo de medida seria o impacto da ocorrência de determinado evento no desempenho econômico-financeiro em determinado período (associado
à probabilidade de ocorrência e seu impacto).
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, o estabelecido no item poderá ser executado pela estrutura de Gestão de Riscos Corporativos vinculados à
controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora de forma que este processo considere o estabelecido neste item
de verificação, bem como as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação se aplica ao caso das Cooperativas Médicas que
utilizem a estrutura de suas Federações.
(COSO, 2007) (IBCG, 2007a; 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar evidências sobre a realização de análises qualitativa e quantitativa dos riscos da operadora e se são avaliadas alternativas para o tratamento dos riscos identificados. Importante
salientar a consonância dessas análises e avaliações às diretrizes e protocolos estabelecidos na metodologia de Gestão de Riscos Corporativos da operadora.
. .
1.6.9
.A Operadora efetua testes de estresse com o objetivo principal de identificar potenciais vulnerabilidades da instituição.
.Excelência
.
Interpretação:
Todas as organizações estão sujeitas às vulnerabilidades que as expõem a diversas ameaças. A avaliação prospectiva com o objetivo de identificar potenciais vulnerabilidades e ameaças
devem ser realizadas com o objetivo de corrigir falhas e visando a manutenção das atividades e operações da operadora.
Um teste de estresse é o conjunto coordenado de processos e rotinas, dotado de metodologias, documentação e governança próprias, com o objetivo principal de identificar potenciais
vulnerabilidades da operadora.
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, o estabelecido no item poderá ser executado pela estrutura de Gestão de Riscos Corporativos vinculados à
controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora de forma que este processo considere o estabelecido neste item
de verificação, bem como as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação se aplica ao caso das Cooperativas Médicas que
utilizem a estrutura de suas Federações.
(COSO, 2007) (IBCG, 2007a; 2017)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se foram realizados testes de estresse nos processos principais da operadora.
O teste de estresse deverá ter a sua metodologia documentada, ter a sua finalidade claramente definida e avaliar os potenciais impactos de eventos e circunstâncias adversas. Como resultado
da realização de um teste de estresse, a operadora poderá efetuar um plano de ação para a correção ou mitigação das ameaças encontradas.
. .O plano de ação deverá ser devidamente documentado, possuir a designação do(s) responsável(is) pela sua implementação e possuir metas e prazos para a implementação das melhorias
identificadas como necessárias além de estar vinculado aos objetivos estratégicos da operadora - quando couber.
. .
1.6.10
.A Operadora realiza periodicamente a análises de cenários com o objetivo de estimar a sua exposição a eventos de risco raros e de alta
severidade.
.Excelência
.
Interpretação:
A análise de cenários é uma ferramenta de gestão que permite que as estratégias de uma operadora sejam estabelecidas em um contexto futuro. Sua principal função não é tentar prever o
futuro, mas identificar fatores tanto internos quanto externos que podem se tornar reais a longo prazo.
. .Eventos raros podem criar desafios para a operadora de maneira inesperada. Além disso, eventos raros mas cujo o montante de perdas envolvem altos valores monetários podem comprometer
a sustentabilidade e a perenidade da operadora. Assim, a análise de cenários com o objetivo de estimar a exposição da operadora a eventos de risco raros e de alta severidade auxilia a operadora
a se prevenir contra infortúnios e ajuda a identificação dos pontos fortes. Esta análise pode ainda oferecer insumos para o planejamento estratégico da operadora.
Diversas técnicas estatísticas podem ser consideradas na análise de cenários, entre elas a simulação através do Método de Monte Carlo. A fim de estimar a exposição a eventos raros e de alta
severidade, a frequência e a severidade dos eventos simulados devem ser modeladas por distribuições estatísticas conhecidas e aplicáveis.
.
Para o estabelecimento do que seria um evento raro, os dados de frequência podem ser definidos por uma variável aleatória discreta e positiva, denotada por N, que representa o número
de vezes que determinado evento ocorre em um determinado período de tempo (por exemplo: Distribuição Poisson e Distribuição de Pascal). Diferente dos dados de frequência, os dados de
severidade não têm relação com o tempo e podem ser definidos a partir de uma variável aleatória contínua, positiva definida, com característica assimétrica na cauda da distribuição (por exemplo:
Distribuição Log-Normal).
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, o estabelecido no item poderá ser executado pela estrutura de Gestão de Riscos Corporativos vinculados à
controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora de forma que este processo considere o estabelecido neste item
de verificação, bem como as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação se aplica ao caso das Cooperativas Médicas que
utilizem a estrutura de suas Federações.
(COSO, 2007) (IBCG, 2007a; 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se foi realizada análise de cenários pela operadora. Tal análise deverá contemplar premissas condizentes com a realidade e especificidades da Operadora e do seu mercado de
atuação. Geralmente esta análise é conduzida por profissional/ou equipe profissional que tenha formação base em estatística, matemática, economia, administração ou finanças. A análise de
cenários deve ser documentada, ter a sua finalidade claramente definida e estimar a exposição da operadora a eventos de risco raros e de alta severidade.
Fechar