DOU 23/05/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300187
187
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
.
Abordar explicitamente a incerteza;
Basear-se nas melhores informações disponíveis;
Estar alinhada com os contextos internos e externos da operadora e com o perfil do risco, além de considerar os fatores humanos e culturais;
Ser transparente, inclusiva, interativa e capaz de reagir às mudanças;
Permitir a melhoria contínua dos processos da operadora.
.
A Gestão de Riscos Corporativos deve ter por objetivo:
Uniformizar o conhecimento entre os administradores da Operadora quanto aos principais riscos das suas atividades;
Conduzir tomadas de decisões que possam dar tratamento e monitoramento dos riscos e consequentemente aperfeiçoar os processos organizacionais e controles internos da operadora;
e
Promover a garantia do cumprimento da missão da Operadora, sua continuidade e sustentabilidade alinhada aos seus objetivos estratégicos.
.
O modelo de Gestão de Riscos Corporativos deve buscar quantificar as incertezas envolvidas na fase de planejamento e projetar os resultados da operadora em cenários alternativos
(simulações). Deve passar pela identificação de cada fator que pode afetar o desempenho da operadora e pela determinação de seus impactos no resultado.
O Gerenciamento dos Riscos Corporativos apoia a priorização e direciona os esforços para tratar os riscos, de acordo com a magnitude do risco. Há alternativas para o tratamento (evitar
o risco; aceitar o risco: retendo, reduzindo, mitigando, compartilhando ou explorando o risco; prevenção e redução dos danos; e capacitação dos envolvidos) e a elaboração de Plano de
Contingência. O plano deve conter os procedimentos e informações necessárias para a manutenção das atividades críticas diante de situações que afetem o funcionamento normal da
operadora.
.
No caso de a Operadora pertencer a um grupo de sociedades de fato e de direito, a estrutura responsável pela gestão de riscos corporativos na operadora poderá estar vinculada
à estrutura da controladora. Tal estrutura deverá ter a expertise técnica acerca da Operação de Planos Privados de Assistência à Saúde e poderá executar operacionalmente a gestão de
risco, considerando as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. Entretanto aspectos específicos de Gerenciamento de Riscos
Corporativos deverão ser executados e observados no nível da Operadora. Exemplos de aspectos específicos: (1) a existência de um gestor de riscos, (2) existência de um programa de
disseminação da cultura de riscos; e (3) existência de um plano de continuidade de negócios para a operadora.
. .A mesma recomendação se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
.
O modelo de Gestão de Riscos Corporativos deve buscar quantificar as incertezas envolvidas na fase de planejamento e projetar os resultados da operadora em cenários alternativos
(simulações). Deve passar pela identificação de cada fator que pode afetar o desempenho da operadora e pela determinação de seus impactos no resultado.
O Gerenciamento dos Riscos Corporativos apoia a priorização e direciona os esforços para tratar os riscos, de acordo com a magnitude do risco. Há alternativas para o tratamento (evitar
o risco; aceitar o risco: retendo, reduzindo, mitigando, compartilhando ou explorando o risco; prevenção e redução dos danos; e capacitação dos envolvidos) e a elaboração de Plano de
Contingência. O plano deve conter os procedimentos e informações necessárias para a manutenção das atividades críticas diante de situações que afetem o funcionamento normal da
operadora.
.
No caso de a Operadora pertencer a um grupo de sociedades de fato e de direito, a estrutura responsável pela gestão de riscos corporativos na operadora poderá estar vinculada
à estrutura da controladora. Tal estrutura deverá ter a expertise técnica acerca da Operação de Planos Privados de Assistência à Saúde e poderá executar operacionalmente a gestão de
risco, considerando as especificidades da Operadora e da regulamentação aplicável ao setor de saúde suplementar. Entretanto aspectos específicos de Gerenciamento de Riscos
Corporativos deverão ser executados e observados no nível da Operadora. Exemplos de aspectos específicos: (1) a existência de um gestor de riscos, (2) existência de um programa de
disseminação da cultura de riscos; e (3) existência de um plano de continuidade de negócios para a operadora.
. .A mesma recomendação se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
. .
1.6.1
. A Operadora conta com uma estrutura responsável pelo gerenciamento e avaliação dos riscos, encarregada pela Gestão de Riscos Corporativos
e promoção do seu desenvolvimento.
.Essencial
.
Interpretação:
É importante que cada operadora tenha uma estrutura responsável pela Gestão dos Riscos Corporativos e pela promoção do seu desenvolvimento. Tal estrutura deverá contemplar as
especificidades da operadora, observando seus procedimentos de governança, sua estratégia geral de negócios e seus procedimentos operacionais.
.
Cada um dos colaboradores e terceirizados de uma operadora deve ter a sua parcela de responsabilidade na Gestão dos Riscos Corporativos. A hierarquia máxima, ou seja, o
presidente executivo, deve ser o principal responsável, incentivando tal gestão com o apoio da diretoria. Os demais membros da operadora são responsáveis pela execução do
gerenciamento de riscos em cumprimento às diretrizes e protocolos estabelecidos na metodologia de Gestão de Riscos Corporativos da operadora.
.
Conforme preconizado na ISO 31000:2018, o propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e
funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Isto requer o apoio das partes
interessadas, em particular da alta direção. O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação e melhoria da gestão de riscos através da
organização.
.
Não existe uma única forma de se implementar um modelo de Gestão de Riscos Corporativos e nem uma única estrutura adequada para tal. Entretanto, o importante para o
cumprimento deste item é verificar se na operadora existe uma estrutura responsável por tratar e criticar, qualitativa e quantitativamente, os riscos, identificando-os, avaliando-os,
calculando seus impactos de forma integrada, monitorizando-os e promovendo o desenvolvimento da cultura de Gestão de Riscos Corporativos por toda a operadora.
Assim, entende-se por estrutura responsável pela Gestão dos Riscos Corporativos o conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção,
implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos dentro de toda a operadora.
.
Observa-se uma tendência pela criação de uma unidade responsável por esta função e esta unidade pode ser um departamento, núcleo, área específica ou unidade funcional
composta por representantes de diversas áreas (comitê). Deve ser verificado se a estrutura responsável tem uma função ativa (executiva) no processo decisório da operadora e se apoia
a tomada de decisão. É sugerido que tal estrutura seja coordenada pelo presidente ou um diretor executivo da operadora e tenha como membros o diretor financeiro, operacional,
assessores e outros responsáveis. A composição dependerá do nível de complexidade das operações da operadora.
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, a estrutura responsável pela gestão de riscos corporativos na operadora poderá estar vinculada à
estrutura de Gestão de Riscos Corporativos da controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora
considerando o estabelecido nos itens de verificação, bem como as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação
se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
(IBGC, 2007a; 2015; 2017) (COSO, 2007) (EIOPA, 2014)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar evidências sobre a existência de uma estrutura responsável pela Gestão dos Riscos Corporativos e como se dá o seu desenvolvimento.
(IBGC, 2007a; 2017) (COSO, 2007) (EIOPA, 2014)
. .
1.6.2
.A Operadora possui metodologia de Gestão de Riscos Corporativos que contemple a identificação, classificação e o monitoramento dos seus
riscos corporativos.
.
Essencial
.
Interpretação:
Por meio de uma metodologia de Gestão de Riscos Corporativos, a operadora deve reduzir a probabilidade e o impacto das perdas de eventos que possam afetar seus objetivos. A
metodologia deve ser um processo sistemático de identificação, classificação, monitoramento e melhoria dos processos por meio dos riscos identificados. A metodologia também pode
mapear eventuais oportunidades de ganhos. Trata-se, portanto, de um sistema integrado contendo diretrizes e protocolos aprovados, que auxilia a tomada de decisão e conduz ao alcance
dos objetivos estabelecidos no planejamento estratégico da operadora.
.
A metodologia da Gestão de Riscos Corporativos deve ser um instrumento de tomada de decisão da administração da operadora e deve estar alinhada com o sistema de controles
internos. Logo, a consciência do risco e a capacidade de administrá-lo, aliadas à disposição de correr riscos e a de tomar decisões, são elementos-chave na gestão do risco.
.
A metodologia deve ainda levar em consideração a complexidade da operação, natureza, escala e a cultura organizacional. Deve também contemplar as especificidades da
Operadora, observando seus procedimentos de governança, sua estratégia geral de negócios e seus procedimentos operacionais. Dessa forma é importante que a operadora tenha a prática
de considerar os riscos de forma estruturada no seu processo de decisão e deve tratá-los, identificá-los, avaliá-los e respondê-los de forma consistente com o modelo adotado. É preciso
ainda, que tal modelo sofra atualizações periódicas de acordo com as necessidades apontadas no monitoramento.
.
Para efeitos desta resolução normativa, não foi estabelecido um modelo específico de gestão de risco a ser adotado pela operadora, como por exemplo o estabelecido pela ISO
31000 ou o modelo de En t e r p r i s e Risk Management - ERM estabelecido pelo Committee of Sponsoring Organizations of the Treadway Commission - COSO. De todo modo, a metodologia
deve prever:
Identificação dos riscos: Definição do conjunto de eventos, internos e/ou externos que podem impactar os objetivos da operadora.
.
Classificação dos riscos: A classificação deve considerar as características de cada operadora e contemplar suas particularidades. Uma forma de categorização dos riscos consiste
na elaboração de uma matriz de riscos que considere a origem dos eventos (interno/externo), a natureza dos riscos (estratégico/operacional/financeiro) e a tipificação dos mesmos
(macroeconômico/tecnológico/legal/conformidade; entre outros).
Monitoramento dos riscos: É a avaliação contínua da adequação e da eficácia da metodologia de gestão de riscos e deve ocorrer de forma sistemática/periódica conforme definição
previamente estabelecida na metodologia.
. .No caso de a operadora pertencer a um grupo de sociedades de fato e de direito, a metodologia de Gestão de Riscos Corporativos poderá ser estabelecida e executada pela estrutura
de Gestão de Riscos Corporativos vinculada à controladora. Entretanto, deverá haver um responsável pela gestão de risco na operadora, que fará a interface com a controladora
considerando o estabelecido nos itens de verificação, bem como as especificidades da operadora e da regulamentação aplicável ao setor de saúde suplementar. A mesma recomendação
se aplica ao caso das Cooperativas Médicas que utilizem a estrutura de suas Federações.
(IBGC, 2007a; 2015; 2017) (COSO, 2007) (EIOPA, 2014)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
A Análise de conformidade deste item deverá verificar a existência de metodologia de Gestão de Riscos Corporativos, que deve estar incorporada aos procedimentos de governança da
operadora, à sua estratégia geral de negócios e aos seus procedimentos operacionais.
. .
1.6.3
.A Operadora possui um Gestor de Riscos Corporativos formalmente nomeado responsável por supervisionar continuamente a sua Gestão de Riscos
Corporativos.
.
Complementar
.
Interpretação:
O Gestor de Risco é o profissional que atua com independência dentro da operadora, com suficiente qualificação técnica e experiência, responsável por supervisionar continuamente a Gestão
de Riscos Corporativos da operadora.
Dentre as atribuições e responsabilidades de um Gestor de Riscos pode-se destacar as seguintes:
Monitoramento do Perfil de Risco e os níveis de exposição da operadora, verificando seu alinhamento com o apetite a Risco definido para a operadora;
.
Avaliação periódica sobre a adequação da estrutura operacional e de controles internos da operadora para verificação da efetividade da política de Gestão de Riscos Corporativos
adotada;
Avaliação da metodologia e ferramentas utilizadas para a Gestão de Riscos Corporativos;
Acompanhamento da implementação de plano de ação ou medidas corretivas que visem sanar as deficiências apontadas;
.
Obrigação de reportar à alta direção da operadora, de forma periódica e sempre que entender necessário, os resultados das análises da sua atuação, bem como qualquer inadequação ou
irregularidade observada na estrutura de Gestão de Riscos Corporativos da operadora.
.
A Gestão de Riscos Corporativos é tema sensível e de extrema importância em qualquer organização, em especial para as Operadoras de Planos Privados de Assistência à Saúde. Assim,
mesmo que a Operadora pertença a um grupo de sociedades de fato e de direito que ofereça a estrutura, expertise técnica e execute operacionalmente a Gestão de Riscos Corporativos, entende-
se necessária a nomeação formal de um gestor responsável na Operadora. Tal gestor será o interlocutor que terá o conhecimento específico da Operação de Planos Privados de Assistência à saúde,
do Setor de Saúde Suplementar e das especificidades da Operadora (por exemplo: seus procedimentos de governança, sua estratégia geral de negócios e seus procedimentos operacionais). A
mesma recomendação também se aplica ao caso das Cooperativas Médicas que utilizam para determinados processos de trabalho a estrutura de suas Federações.
. .(IBGC, 2007a; 2015; 2017) (COSO, 2007)
Fechar