DOU 07/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700102
102
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
. .5. Definição das responsabilidades;
6. Plano de metas, ações, orçamento, gestão dos recursos, investimento, custeio e gestão de riscos;
7. Fatores críticos de sucesso para a sua implementação;
8. Plano de Contingência para a garantia de condições mínimas de operação.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada do PDTI e o seu alinhamento ao planejamento estratégico da organização. O PDTI deverá ser revisto, no mínimo, quando da atualização do
planejamento estratégico da operadora.
. .
1.4.2
.O plano diretor de tecnologia da Informação contempla a existência de mecanismos tecnológicos para proteção de informações
sensíveis de cadastro e transações operacionais.
.
Essencial
.
Interpretação:
O PDTI deverá prever os mecanismos tecnológicos que asseguram a proteção/integridade das informações geradas internamente e aquelas proveniente de beneficiários e prestadores
por intermédio do padrão TISS. Informações sensíveis não devem ser apropriadas pela concorrência ou pelo público em geral. Exemplo de informações consideradas sensíveis: dados clínicos,
ligados à condição de saúde, cadastro e diagnósticos dos beneficiários, valores monetários, cadastro de colaboradores e transações operacionais.
. .Há algumas técnicas de criptografia para comunicação e modelos de "anoniminização" de dados. Cabe registrar que segurança de informação envolve etapas de planejamento,
monitoramento e gerenciamento, entre outras funções.
Algumas práticas recomendáveis em relação a gestão de dados e troca de informações envolvem a gestão dos dados e certificação digital.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
(Valle, 2010).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Os auditores deverão considerar as evidências da adoção de práticas recomendáveis em relação ao seguintes aspectos:
- Gestão dos dados: Os auditores deverão verificar, entre outras ações se a operadora possui uma política de segurança de dados; utiliza criptografia para proteger dados sensíveis,
possui controle de acesso aos sistemas por usuário e senha; se os perfis de acesso são revisados periodicamente para evitar acessos indevidos.
. .Aliado a isso, os auditores deverão realizar uma avaliação de documentos (política); solicitar a apresentação de arquivos criptografados e a exemplificação da tecnologia utilizada; realizar
uma verificação de sistemas utilizados pela operadora; solicitar relatórios de revisão de acesso, registro dos logs de acessos e tentativas de acesso ao sistema de informação.
- Troca de informações: Os auditores deverão verificar ainda se a operadora possui Certificado Digital instalado em seu servidor para Troca de Informações com os prestadores
conveniados e a familiaridade da operadora com as determinações da ANS quanto aos componentes do TISS, os quais são periodicamente atualizados no portal da ANS na internet.
. .
1.4.3
.O plano diretor de tecnologia da Informação contempla plano de contingência de serviços de TI para garantir a disponibilidade dos
serviços em situações emergenciais.
.
Essencial
. .Interpretação:
O Plano de Contingência visa a manutenção e disponibilidade dos serviços da operadora no caso de situações emergenciais e deve fazer parte da gestão de segurança da operadora
complementando desta maneira o planejamento estratégico. Nele são especificados procedimentos preestabelecidos que deverão ser observados nas tarefas de recuperação do ambiente
de sistemas e negócio, de modo a diminuir o impacto causado por incidentes que não possam ser evitados pelas medidas de segurança em vigor. (AMARO, 2004; EIOPA, 2014)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se o PDTI contempla plano de contingência de serviços de TI que garantam a disponibilidade dos serviços em situações emergenciais.
. .
1.4.4
.A Operadora exclusivamente odontológica utiliza sistemas automatizados e documentados nos principais processos operacionais.
.
Complementar
.
Interpretação:
Sistemas Automatizados fazem uso de técnicas que têm como objetivo otimizar tempo, reduzir custos e focar na qualidade de um bem ou serviço que está se produzindo ou
prestando.
.
A operadora deverá definir os principais processos a serem automatizados, justificando como estes processos foram definidos, os critérios para determinação do grau de
automatização e o alinhamento da decisão à sua estratégia de negócios. Cabe ressaltar que os riscos da automatização também deverão ser avaliados e mitigados e que todo esse processo
deverá estar devidamente documentado e embasado. Citam-se alguns processos passíveis de automatização: (1) autorização de eventos assistenciais; (2) cadastramento de prestadores
conveniados; (3) atendimento ao beneficiário; (4) registro do faturamento; (5) recebimento de guias e pagamento (prestadores e reembolso); (6) elegibilidade do beneficiário; entre
outros.
. .É possível que um processo principal contenha diversos processos críticos ou chaves. Os processos críticos são aqueles que têm impacto na realização de metas e objetivos, ao passo que
os processos chaves são os mais relevantes do ponto de vista da satisfação do cliente interno ou externo. Pode ser que nem todos os processos sejam passíveis de automatização ou ainda,
que existam etapas de um processo onde não é recomendável a automatização (RODRIGUES, 2011).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a utilização de sistemas automatizados e documentados nos principais processos operacionais. Os auditores deverão verificar como foram definidos os principais processos
operacionais, justificando, ainda, os critérios adotados para definir o grau de automatização, considerando o perfil da operadora e a estratégia de negócios da mesma.
São formas possíveis de evidência:
1. Relatório de mapeamento dos processos da operadora;
. .2. Informação documentada dos processos automatizados, contendo seu objetivo, fato gerador, atividades que transformam esse fato gerador, tomadas de decisão sobre o que fazer com
os dados e informações que estão percorrendo o fluxo;
3. Entrevistas com gestores e colaboradores sobre o grau de automatização atingido;
4. Verificação do percentual de processos passíveis de automatização; entre outros.
. .
1.4.5
.
A Operadora exclusivamente odontológica possui política de controle da Qualidade dos Dados.
.
Complementar
. .Interpretação:
Para que os dados coletados ou produzidos possam ser usados como informações úteis, sem erros que venham a comprometer o atendimento a seus beneficiários, sua relação com
prestadores, seu processo de tomada de decisão e suas obrigações frente à regulação, as operadoras devem formular políticas de controle de qualidade que garantam a integridade,
segurança e fidedignidade desses dados, abrangendo os processos de captação, produção, armazenamento, uso e disseminação de informações (SUSEP, 2014).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de documentação acerca do controle da qualidade de dados utilizados na operadora, destacando-se:
1. Documento formal contendo política com diretrizes da operadora em relação ao controle da qualidade de dados;
2. Documentos específicos determinados em acordos entre o setor de TI e os outros setores da operadora; e
. .3. Evidência de controles de captação e do desenvolvimento de sistemas de armazenamento físico dos dados, incluindo mecanismo de consulta, alterações e reportes, além das definições
relativas à segurança lógica destes sistemas.
. .
1.4.6
.A Operadora exclusivamente odontológica realiza auditoria interna e/ou externa de sistemas de informação.
.
Complementar
.
Interpretação:
Visando garantir a qualidade de seus sistemas de informação, a redução de riscos na operação e a proteção de seus ativos informacionais, as operadoras devem realizar
sistematicamente auditorias especializadas de TI (internas ou externas) em seus sistemas, processos, operações e atividades de gestão e tomada de decisão. A auditoria deverá verificar a
aderência à Política de Tecnologia da Operadora bem como o atendimento às imposições legais e regulatórias.
. .A Política de Tecnologia da Operadora deverá conter as diretrizes de seleção, adoção, utilização e operação dos recursos de tecnologia da informação para atender a demandas
regulatórias, de clientes internos e externos e decorrentes de estratégias e objetivos de negócio da organização.
Cabe registrar que a auditoria externa de sistemas é independente e que a auditoria interna é realizada por profissionais ligados à operadora.
(ABNT, 2005; JULIANI, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a realização da auditoria de sistemas de informação e se os relatórios e documentos produzidos contêm: (1) tópicos sobre confiabilidade e veracidade das informações; (2)
a avaliação dos resultados da auditoria; (3) No caso da auditoria externa: se as conclusões do auditor externo asseguram a conformidade legal e regulamentar; entre outros, (4) No caso
da auditoria interna: se as conclusões do auditor interno definem o nível de conformidade legal e regulamentar, entre outros.
. .
1.4.7
.A Operadora exclusivamente odontológica possui ambientes segregados para desenvolvimento, testes e disponibilização dos
sistemas de TI.
.
Complementar
. .Interpretação:
A operadora deverá manter ambientes segregados para desenvolvimento, testes, homologação e disponibilização visando garantir a estabilidade, segurança e qualidade dos sistemas
de informação, evitando o risco de introdução em produção de falhas de softwares ainda não testados ou homologados (ABNT, 2005).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Utilização das funções e dados em seus ambientes providos dos controles e segregações adequados;
2. Evidência de disponibilidade de dados para testes e homologações, sem prejuízo da confidencialidade exigida pelo negócio;
3. Evidência de conformidade às exigências legais;
. .4. Proteção do ambiente da produção contra acessos indevidos;
5. Verificação da confiabilidade dos resultados de testes e de homologações;
6. Evidência de instâncias de bancos de dados e de instalações de softwares separadas; entre outros.
. .
1.4.8
.Os sistemas, processos e infraestrutura de TI são consistentes e adequados às necessidades e às mudanças do modelo de negócio,
tanto em circunstâncias normais de operação quanto em períodos de estresse.
.
Excelência
.
Interpretação:
. .Este item está relacionado ao grau de maturidade da governança de tecnologia de informação onde a operadora deverá demonstrar que possui flexibilidade e escalabilidade de seus
sistemas e infraestrutura de TI, frente às mudanças necessárias em decorrência de situações onde um volume esperado de demandas aos sistemas da operada sejam excedidos, quer por
mudanças no modelo de negócios, ou períodos de estresse. Podem ser citados como exemplos: (1) revisão de estratégias; (2) expansão para novos nichos de mercado; (3) reorganizações
societárias; (4) lançamento de produtos; (5) mudança no modelo de remuneração de prestadores de serviços - ex: modelo Fee For Service para pagamento por performance ou Bundle;
(6) aumento significativo da taxa de inadimplências da carteira; (7) queda do volume de negócios; (8) mudança de legislação; (9) crise sanitária e epidemias; entre outros (BRODBECK,
2003).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Documentos relativos ao PDTI - onde, por exemplo, poderá ser verificada a existência de item relativo à descrição e avaliação das condições dos sistemas, processos e
infraestrutura;
2. Relatório com os resultados da auditoria dos sistemas de informação;
Fechar