DOU 23/05/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300180
180
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
. .1.2.1
.A Operadora possui estatuto, contrato social ou documento similar atualizado, com atribuições definidas para cada órgão (conselho / sócios / diretoria).
.Essencial
.
Interpretação:
As Organizações são regidas por leis específicas (*) e internamente por seus estatutos, contratos sociais, regimentos internos ou documentos similares. Tais documentos devem ter por
objetivo detalhar os direitos e deveres dos sócios/acionistas/cotistas/cooperados, detalhar o relacionamento destes com os órgãos de administração, diretoria, auditoria independente e
Conselho Fiscal da organização e demais assuntos pertinentes.
.
O conteúdo destes documentos deve versar sobre itens importantes para a organização, tais como: denominação, sede, foro, ano social, objetivos, eliminação e exclusão dos
cooperados (no caso de cooperativas médicas), capital social, assembleia geral ordinária e extraordinária, Conselho de Administração, Conselho Fiscal, realização de eleições, critérios de
votação, alocação de despesas, distribuição de lucros/sobras, prejuízos/perdas, constituição de fundos, livros obrigatórios, dissolução e liquidação; disposições gerais, transitórias, entre
outros assuntos de interesse da organização desde que não transgridam demais regulamentações a elas aplicáveis.
. .(ANDRADE; ROSSETTI, 2007); (IBGC, 2015); (OCDE 2016, 2017); (CVM, 2002); (IAIS, 2011).
(*) É o caso das Cooperativas Médicas, regidas também pela Lei n°. 5.764 de 16 de dezembro de 1971.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar o documento formal de acordo com as exigências legais de constituição para cada segmentação de operadora (Medicina de Grupo, Cooperativas Médicas, Seguradora,
Filantropia, etc.) com a definição clara das atribuições de cada órgão.
. .
1.2.2
.A Operadora classifica documentos e define níveis de acesso para assegurar o bom uso das informações sigilosas pelos colaboradores, administradores e
conselheiros.
.Essencial
.
Interpretação:
. .A classificação de documentos e a definição de níveis de acesso deve evitar que quaisquer divulgações sejam realizadas por pessoas não autorizadas e que contenham informações
classificadas como sigilosas, temáticas inadequadas, fornecimento de dados ou de números gerenciais não comprováveis ou vazamento de informações tratadas em reuniões restritas dentro
da operadora. Assim, faz-se necessário que a operadora mantenha um sistema de rastreabilidade sobre o fluxo de informações, ou seja, controle sobre quem tem acesso e a quais
informações. A classificação de documentos deve ser realizada através de ferramenta digital ou software gerenciador de documentos. Dados sigilosos devem ter seu acesso restringidos por
meio de senhas e o compartilhamento de documentos impressos devem ser evitados (IBGC, 2015; 2017b); (OCDE, 2016); (IAIS, 2011).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Poderão ser verificadas as seguintes evidências:
1. as diretrizes documentadas da operadora para a classificação de documentos e a definição de nível de acesso de acordo com o cargo (colaboradores, administradores e
conselheiros);
2. a existência e assinatura de termo de confidencialidade;
3. a utilização de criptografia na troca de arquivos digitais;
.
4. controle de acesso a informações confidenciais por usuários e senhas em sistemas - por exemplo;
5. entrevistas com colaboradores, gestores e lideranças da operadora; e
6. realização de testes de acesso a informações e documentos; entre outros.
Todos os envolvidos em situações que mostrem a necessidade de confidencialidade devem assinar o termo de adesão à política de divulgação de informações ou documento similar,
a ser arquivado na sede enquanto houver vínculo com a operadora e por um período após o seu desligamento (a ser definido nas diretrizes da operadora de acordo com o nível hierárquico
ocupado).
. .O uso de informações deve estar aderente ao estabelecido no estatuto social e código de conduta e de ética da operadora. Além de respeitar a política de confidencialidade, o bom uso
da informação deve considerar a objetividade, a clareza, transparência, simetria de informações, equidade de tratamento, respeitar os direitos das partes interessadas e respeitar a legislação
e as regulamentações em vigor.
. .1.2.3
.A Operadora possui política ou diretrizes de forma a identificar situações com potenciais conflitos de interesse e que contemple medidas a serem
adotadas.
.Essencial
.
Interpretação:
Existe conflito de interesses quando alguém não é independente em relação ao assunto em discussão ou em que esteja atuando, e pode influenciar ou tomar decisões motivadas por
interesses distintos daqueles da operadora. Também caracterizado quando se observa a probabilidade de que decisões ou quaisquer ações profissionais sejam influenciadas indevidamente por
um interesse alheio aos interesses da operadora.
. .Na definição das políticas e diretrizes, é importante prezar pela separação de funções, definição clara de papéis e responsabilidades associadas aos mandatos de todos os agentes, inclusive
com a definição das alçadas de decisão de cada instância, de forma a tentar minimizar possíveis focos de conflitos de interesses. Agentes externos tais como conselheiros externos,
consultores e auditores também deverão estar contemplados nas políticas e diretrizes. Estes devem ter em mente tal preocupação e manifestar, tempestivamente, seu conflito de interesse
ou determinado interesse particular.
(IBGC, 2015) (OCDE, 2016) (OCDE, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar existência de documento formal contendo a política ou diretrizes da operadora e verificação se tal documento elenca as situações com potenciais conflitos de interesse e quais
medidas devem ser adotadas.
. .
1.2.4
.A Operadora possui política ou diretrizes que estabeleça critérios de decisão quanto à terceirização de seus serviços.
.Essencial
.
Interpretação:
A terceirização é uma atividade em que se repassa para um terceiro o cumprimento ou manutenção de um serviço ou processo. Ou seja, terceirizar importa em delegar determinadas
atividades para que outras pessoas físicas ou jurídicas cumpram tarefas no lugar de parte da equipe própria da operadora.
Dessa forma, uma atividade terceirizada, com profissionais mais qualificados e experientes, deve garantir que a operadora consiga atingir seus objetivos de forma mais eficaz, com
maior qualidade e melhor gerenciamento do tempo.
.
Exemplos de itens que podem compor os critérios de decisão quanto à terceirização:
1. resultado apurado após a realização uma análise custo x benefício analisando as vantagens e desvantagens da terceirização;
2. observação dos contratos sociais e estatutos das organizações a serem terceirizadas verificando se as cláusulas que designam seus objetos sociais estão em linha com os objetivos
das áreas/atividades a serem terceirizadas;
3. análise de certidões negativas referentes a tributos e encargos;
. .4. realização de um apanhado de referências comerciais e financeiras das organizações terceirizadas;
5. verificação de ações trabalhistas em curso;
6. verificação se a organização terceirizada possui certidões de qualidade ou de acreditação; e
7. análise das planilhas de custos detalhadas para entendimento da composição de preços do serviço terceirizado; entre outros.
(FRAGA; BARBOSA, 2017) (FNQ, 2016)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Documento formal contendo a política que estabeleça os critérios de decisão quanto à terceirização de seus serviços.
. .
1.2.5
.A Operadora realiza auditoria interna de Compliance e avalia continuamente seus resultados para assegurar a conformidade legal ou
regulamentar em seus processos reportando diretamente à alta administração e ao Conselho de Administração.
.Essencial
.
Interpretação:
A auditoria interna deve apoiar a diretoria executiva a organizar o ambiente interno de controle da operadora, fortemente focado em Compliance, riscos e controles internos. Deve
ser estruturada de maneira compatível com a dimensão e a complexidade da operadora, cabendo ao Conselho de Administração zelar pela qualificação e pela independência dos profissionais
da equipe de auditoria interna. Além disso, as funções da auditoria interna devem ser contínuas e terem por finalidade auxiliar a organização a alcançar seus objetivos através de uma
abordagem sistêmica e disciplinada para a melhora da eficácia dos processos adicionando valor e incrementando resultados na operadora.
.
As atividades de auditoria interna deverão ser segregadas das atividades auditadas e suas atividades devem ser coordenadas com a auditoria independente das demonstrações
financeiras. As atribuições e responsabilidades da equipe de auditoria interna deverão estar devidamente documentadas.
Ressalta-se que no caso de terceirização das atividades de auditoria interna, esta não deve ser prestada pela mesma empresa que presta serviços de auditoria externa independente
das demonstrações financeiras ou contratada para outra atividade sujeita ao escopo da auditoria interna.
. .A operadora deverá observar um período de "quarentena", mínimo de 2 anos, para contratar a empresa que realizou a auditoria externa, para realização de auditoria interna.
Os relatórios e documentos produzidos devem conter: (1) plano anual de auditoria; (2) a avaliação dos resultados da auditoria; (3) se as conclusões do auditor asseguram a
conformidade legal e regulamentar dos processos da operadora; (4) evidências sobre a comunicação direta entre a auditoria interna com a alta administração e Conselho de Administração
tais como e-mails, atas de reunião, memorandos, correspondências, entre outros.
(IBGC, 2015) (OCDE, 2016) (OCDE, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de relatório da auditoria interna na operadora.
. .
1.2.6
.A Operadora avalia os resultados da auditoria externa independente das demonstrações financeiras da Operadora, anual obrigatória.
.
Essencial
.
Interpretação:
A auditoria externa independente possui como responsabilidade essencial a análise das demonstrações financeiras da operadora, verificando a conformidade com a regulamentação
vigente, a evidenciação clara dos princípios contábeis e se elas refletem, em todos os aspectos relevantes, corretamente, a realidade e a evolução patrimonial e financeira da operadora quanto
a resultados e variações patrimoniais no período analisado.
.
Durante os procedimentos de auditoria, o auditor externo deve efetuar a verificação de conformidades e efetuar recomendações quanto a procedimentos para correções de erros
ou irregularidades encontradas. A auditoria também deve avaliar a qualidade dos controles internos, especialmente quanto à sua confiabilidade e prevenção a fraudes.
A atividade de auditoria externa é essencial para a proteção dos usuários das informações das demonstrações financeiras, contribuindo para o funcionamento do mercado, à medida
que colabora para o fortalecimento da confiança nas relações entre as entidades auditadas e os usuários daquelas informações.
.
Ao final da auditoria, deve ser realizado um reporte ao Conselho de Administração ou ao Comitê de Auditoria da Operadora quanto aos resultados apontados. Assim, os resultados
apurados e apontados pela auditoria externa são um importante insumo a ser utilizado pela operadora para realizar ações de melhoria e em especial em seus controles internos.
Conforme estabelecido no artigo 22 da Lei nº 9656/1998, as operadoras de planos privados de assistência à saúde deverão anualmente submeter suas contas a auditores
independentes, registrados no respectivo Conselho Regional de Contabilidade e na Comissão de Valores Mobiliários - CVM. Anualmente deverá ser dada publicidade ao respectivo parecer
sobre as demonstrações financeiras, juntamente com as demonstrações financeiras.
. .(IBGC 2015) (OCDE, 2016) (OCDE, 2017) (IAIS, 2011)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se os gestores e a alta administração/Conselho de Administração da operadora avaliam os resultados apurados pela auditoria externa independente. Atas de reunião
específica, relatório de análise e a existência de um plano de ação contendo as ações de melhoria são exemplos de documentos a serem verificados.
. .
1.2.7
.A Operadora implementa um plano de ação a partir dos resultados da avaliação da auditoria externa de suas demonstrações financeiras e dos
resultados da avaliação do trabalho contínuo da sua auditoria interna de Compliance quando necessário.
.Essencial
Fechar