DOU 23/05/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300188
188
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de profissional contratado e sua constante atuação considerando as suas atribuições, responsabilidades, diretrizes e protocolos estabelecidos na política e metodologia
de Gestão de Riscos Corporativos da operadora.
. .
1.6.4
.A Operadora possui um programa para a implementação e disseminação da cultura de riscos entre seus colaboradores e terceirizados.
.
Complementar
.
Interpretação:
A cultura de riscos de uma operadora diz respeito ao conjunto de seus padrões éticos, valores, atitudes e comportamentos aceitos e praticados, e a disseminação da Gestão de Riscos
Corporativos como parte do processo de tomada de decisão em todos os níveis. Ela é estabelecida pelo discurso e pelo comportamento do Conselho de Administração e da diretoria e do apetite a
riscos estabelecido pela operadora.
.
Cada um dos colaboradores e terceirizados da operadora deve ter definida e ser consciente acerca da sua parcela de responsabilidade na Gestão dos Riscos Corporativos. Treinamentos e
capacitação contínua devem ser evidenciados para toda a operadora.
.
A Gestão de Riscos Corporativos é tema sensível e de extrema importância em qualquer organização, em especial para as Operadoras de Planos Privados de Assistência à Saúde. Assim,
mesmo que a Operadora pertença a um grupo de sociedades de fato e de direito que ofereça a estrutura, expertise técnica e execute operacionalmente a Gestão de Riscos Corporativos, entende-
se necessário que a Operadora possua um programa para a implementação e disseminação da cultura de riscos entre seus colaboradores e terceirizados. Tal programa deverá contemplar as
especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação também se aplica ao caso das Cooperativas Médicas que utilizam para
determinados processos de trabalho a estrutura de suas Federações.
. .(IBGC 2007a; 2017; 2017b) (COSO 2007)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de um programa estruturado que implemente e promova a disseminação da Cultura de Gestão de Riscos Corporativos em toda a operadora. Tal programa deverá
contemplar as especificidades da operadora (por exemplo: seus procedimentos de governança, sua estratégia geral de negócios e seus procedimentos operacionais).
. .
1.6.5
.A Operadora possui processo consistente e abrangente de coleta tempestiva de informações e classificação de riscos operacionais.
.
Complementar
.
Interpretação:
Riscos Operacionais são os relacionados a perdas resultante de inadequações ou falhas na estrutura organizacional, sejam elas oriundas de sistemas, procedimentos, recursos humanos,
tecnológicos e pela perda de valores éticos e corporativos.
. .Os "eventos externos" abrangem eventos ocorridos externamente à operadora, como paralisações por motivo de tumultos, greves, rebeliões, atos terroristas, motins, catástrofes naturais,
incêndios, apagões e qualquer outro evento não diretamente relacionado às atividades da operadora e que possa causar falha ou colapso nos serviços essenciais ao desenvolvimento de suas
atividades.
Através da coleta dessas informações, a operadora terá condições de quantificar suas perdas operacionais, analisar as causas dessas perdas, aumentar a sua eficiência e, consequentemente,
reduzir seus custos operacionais, o que impactará diretamente no resultado, trazendo assim vantagens competitivas.
.
A coleta dessas informações deve perpassar todas as linhas de negócio da operadora. As definições, categorizações e metodologias para registro deverão ser definidas pela própria
operadora de acordo com seu tamanho e a complexidade de suas operações. Entretanto, é importante que as informações contenham pelo menos a classificação do evento ocorrido, a data de
ocorrência do evento, a data da descoberta do evento, a causa e a quantificação da perda decorrente deste evento (valor monetário) de forma a ser possível uma análise que também contemple
a frequência e a severidade de ocorrência desses eventos.
.
A Matriz de Riscos é uma ferramenta usual a ser considerada. Também conhecida como Matriz de Probabilidade e Impacto, é uma ferramenta visual que possibilita ver rapidamente quais
são os riscos que devem receber mais atenção. Na matriz, um risco é considerado por dois critérios: sua probabilidade de acontecer e o impacto que trará para a empresa. A Matriz de Riscos é uma
ferramenta que permite aos gestores mensurar, avaliar e ordenar os eventos de riscos que podem afetar o alcance dos objetivos da organização.
Além da Matriz de Riscos, existem outras ferramentas que realizam a análise dos modos de falha e seus efeitos a serem consideradas, tais como a Análise dos modos de falha e seus efeitos
(Failure Mode and Effect Analysis -FMEA) e Análise dos modos de falha, efeitos e criticalidade (Failure Mode, Effects and Criticality Analysis - FMECA).
.
Exemplos de classificação de falhas: fraudes internas, fraudes externas, demandas trabalhistas e segurança deficiente do local de trabalho, práticas inadequadas relativas a clientes, produtos
e serviços, danos a ativos físicos próprios ou em uso pela instituição, situações que acarretem a interrupção das atividades da instituição, falhas em sistemas, processos ou infraestrutura de
tecnologia da informação e falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da operadora.
.
Exemplos de classificação de causas: pessoas, processos, sistemas - TI, evento externo, outros. Importante ressaltar que o processo em questão esbarra na concepção geral da resistência
em reportar perdas por receio de admissão de erro e possível penalização pela liderança. Assim, é necessária a conscientização da importância do processo e a geração de valor para a operadora
de forma que os envolvidos enxerguem o processo como uma ferramenta para a melhoria de eficiência nas atividades executadas e não como uma eventual confissão ou reconhecimento de
conduta
. .No caso de a Operadora pertencer a um grupo de sociedades de fato e de direito, o processo consistente e abrangente de coleta tempestiva de informações e classificação de riscos operacionais
poderá ser estabelecido e executado pela estrutura de Gestão de Riscos Corporativos vinculados à controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que
fará a interface com a controladora de forma que este processo considere o estabelecido neste item de verificação, bem como as especificidades da Operadora e da regulamentação aplicável ao
setor de saúde suplementar. A mesma recomendação se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
(EIOPA, 2014) (IBGC, 2007a; 2017) (COSO, 2007)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de processo estruturado, que classifique os diversos tipos de eventos de riscos operacionais identificados pela operadora, tais como: fraudes internas e externas;
demandas trabalhistas e segurança deficiente do local de trabalho.
. .
1.6.6
.A Operadora identifica, classifica e agrega as perdas operacionais relevantes identificadas, efetuando a análise da causa raiz por meio de
Matriz de Risco e/ou programas específicos de Gestão de Risco.
.
Complementar
.
Interpretação:
A classificação de "perda operacional relevante" deverá ser estabelecida pela própria operadora de acordo com seu tamanho e a complexidade de suas operações. O critério de classificação
deverá ser objetivo, estar documentado com o devido embasamento técnico, ser aprovado e revisto periodicamente pela alta direção da operadora.
Uma perda Operacional é o valor quantificável associado à falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou decorrente de fraudes ou eventos externos.
.
A causa raiz de uma perda não guarda relação de dependência com qualquer outra causa de perda identificada. Ou seja, não é necessário que nenhuma outra perda ocorra para a sua
concretização.
Os "eventos externos" abrangem eventos ocorridos externamente à operadora, como paralisações por motivo de tumultos, greves, rebeliões, atos terroristas, motins, catástrofes naturais,
incêndios, apagões e qualquer outro evento não diretamente relacionado às atividades da operadora e que possa causar falha ou colapso nos serviços essenciais ao desenvolvimento de suas
atividades.
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, o estabelecido no item poderá ser executado pela estrutura de Gestão de Riscos Corporativos vinculada à
controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora de forma que este processo considere o estabelecido neste item
de verificação, bem como as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação se aplica ao caso das Cooperativas Médicas que
utilizem a estrutura de suas Federações.
(EIOPA 2014) (IBGC 2007a;2017) (COSO 2007)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de documentos ou relatórios contendo a identificação, classificação das causas e agregação das perdas operacionais que são classificadas como relevantes para a
operadora. Evidências com a identificação e análise da causa raiz também deverão ser efetuadas e documentadas pela operadora e verificadas pela auditoria da entidade acreditadora.
. .
1.6.7
.A Operadora possui um Plano de Continuidade de Negócios visando a manutenção das atividades em caso de catástrofes ou outras
situações que possam afetar o seu funcionamento.
.
Complementar
.
Interpretação:
A operadora deve prever procedimentos e ações a serem executadas de forma a manter suas atividades críticas diante de situações que afetem o seu funcionamento normal.
Os Riscos que possam ocasionar a interrupção total ou a redução significativa das atividades da operadora, ou seja, um nível de risco considerado inaceitável deverá ser mitigado através de
um Plano de Continuidade de Negócios.
.
A Gestão de Riscos Corporativos é tema sensível e de extrema importância em qualquer organização, em especial para as Operadoras de Planos Privados de Assistência à Saúde. Assim,
mesmo que a Operadora pertença a um grupo de sociedades de fato e de direito que ofereça a estrutura, expertise técnica e execute operacionalmente a Gestão de Riscos Corporativos, entende-
se necessário que a operadora possua um Plano de Continuidade de Negócios visando a manutenção das atividades em caso de catástrofes ou outras situações que possam afetar o funcionamento
da Operadora. Tal plano deverá contemplar as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação também se aplica ao caso das
Cooperativas Médicas que utilizam para determinados processos de trabalho a estrutura de suas Federações.
. .(COSO, 2007) (IBCG, 2007a; 2017)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência do Plano de Continuidade de Negócios formalmente documentado contendo no mínimo os seguintes itens:
1. definição de papéis e responsabilidades dos envolvidos;
2. nível mínimo de operação e prazo máximo de retorno ao funcionamento normal;
3. procedimentos de comunicação com as partes interessadas (internos e externos); e
. .4. testes periódicos do plano com a devida documentação e plano de ação no caso de falha em algum item.
Tal plano deverá contemplar as especificidades da operadora em especial quanto aos seus procedimentos operacionais.
. .
1.6.8
.A Operadora realiza análise qualitativa e quantitativa dos riscos e estabelece as alternativas para o tratamento dos riscos.
.Excelência
.
Interpretação:
A análise de riscos, quer qualitativa ou quantitativa, visa determinar o efeito potencial do risco em uma determinada operadora. Alternativas para o tratamento dos riscos deverão ser
definidas alinhadas à estratégia da operadora e às diretrizes estabelecidas na Gestão de Riscos Corporativos.
Análise de Riscos e Tratamento: A avaliação e análise do risco é o primeiro passo a ser seguido para a definição do tratamento que será dado a determinado risco identificado. A avaliação deve
contemplar no mínimo nas seguintes etapas:
.
(1) determinação do potencial efeito do risco que compreende o grau de exposição da operadora àquele risco ou seja, a sua probabilidade de ocorrência e seu impacto (incluindo impacto
financeiro); (2) avaliação de eventual interdependência - os eventos são independentes ou um determinado evento pode gerar múltiplos impactos; (3) Priorização dos Riscos a serem tratados - além
da probabilidade de ocorrência e potenciais impactos, a priorização dos riscos também deve levar em consideração critérios subjetivos tais como segurança, aspectos reputacionais e vulnerabilidade
da operadora; e (4) definição do tratamento que deve ser aplicado aos riscos identificados ou justificativas para não tratá-los - após uma análise custo-benefício por exemplo.
.
Uma primeira abordagem deve adotar uma visão mais qualitativa sobre os objetivos estratégicos da operadora e os impactos dos eventos de riscos sobre eles. Uma das formas de
avaliação/análise qualitativa seria através de um Mapa de Avaliação de Riscos de forma a facilitar a priorização da gestão dos riscos e a definição de tratamento que deve ser dado a cada um dos
riscos identificados. O Mapa de Avaliação é um esquema gráfico contendo o impacto do evento e a probabilidade de ocorrência. Por exemplo: exposição aceitável X média probabilidade de
ocorrência.
.
No caso da análise quantitativa, um exemplo de medida seria o impacto da ocorrência de determinado evento no desempenho econômico-financeiro em determinado período (associado
à probabilidade de ocorrência e seu impacto).
Fechar