Este texto não substitui o publicado no Diário Oficial da União
Agência Nacional de Saúde Suplementar
RESOLUÇÃO ADMINISTRATIVA - RA Nº 74, DE 24 DE FEVEREIRO DE 2022
Dispõe sobre a política de gestão de riscos da Agência Nacional de Saúde Suplementar - ANS.
A DIRETORIA COLEGIADA DA AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR - ANS, em vista do que dispõe a Lei nº 12.527, de 18 de novembro de 2011; o Decreto nº 7.724, de 16 de maio de 2012; e o inciso II do art. 10 da Lei nº 9.961, de 28 de janeiro de 2000, adotou a seguinte Resolução Normativa, e eu, Diretor-Presidente, determino a sua publicação.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A presente Resolução Administrativa dispõe sobre a política de gestão de riscos da ANS.
Art. 2º A política de gestão de riscos de que trata esta Resolução Administrativa visará o desenvolvimento, disseminação e implementação de metodologias de gerenciamento de riscos institucionais, com vistas a apoiar a melhoria contínua de processos de trabalho, projetos e a alocação e utilização eficaz dos recursos disponíveis, contribuindo para o cumprimento dos objetivos da ANS.
Art. 3º Para fins desta Resolução Administrativa, considera-se:
I - apetite ao risco: o nível de risco que está dentro de padrões considerados institucionalmente razoáveis;
II - atividade: ação executada com a finalidade de dar suporte aos objetivos da entidade;
III - consequência: o grau ou importância dos efeitos da ocorrência de um risco, estabelecido a partir de uma escala pré-definida de consequências possíveis;
IV - curto prazo: até um ano;
V - eventos: ocorrência gerada com base em fontes internas ou externas que pode causar impacto negativo, positivo ou ambos, sendo que os eventos que causam impacto negativo representam riscos negativos e aqueles que causam impacto positivo representam riscos positivos;
VI - gestão de riscos: o conjunto de ações direcionadas ao desenvolvimento, disseminação e implementação de metodologias de gerenciamento de riscos institucionais, objetivando apoiar a melhoria contínua de processos de trabalho, projetos e a alocação e utilização eficaz dos recursos disponíveis, contribuindo para o cumprimento dos objetivos da ANS;
VII - gerenciamento de riscos: processo contínuo que consiste no desenvolvimento de um conjunto de ações destinadas a identificar, analisar, avaliar, priorizar, tratar e monitorar eventos capazes de afetar, positiva ou negativamente, os objetivos, processos de trabalho e projetos da ANS, nos níveis estratégico, tático e operacional;
VIII - incerteza: é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade;
IX - longo prazo: superior a dois anos;
X - macroprocesso: grandes conjuntos de atividades pelos quais a entidade cumpre a sua missão, gerando valor;
XI - mapa de riscos: registro formal através do qual o gestor insere os riscos identificados, assim como as ações mínimas referentes ao gerenciamento;
XII - médio prazo: superior a um e inferior ou igual a dois anos;
XIII - nível de risco: o nível de criticidade do risco, assim compreendido o quanto um risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a partir de escala predefinida de criticidades possíveis;
XIV - parâmetros de medição de riscos: as informações quantitativas ou qualitativas, obtidas direta ou indiretamente, que permitam avaliar as dimensões dos riscos identificados a partir da probabilidade de sua ocorrência e das consequências possíveis;
XV - probabilidade: é a chance de o risco acontecer, estabelecida a partir de uma escala predefinida de probabilidades possíveis;
XVI - processo de trabalho: conjunto de atividades inter-relacionadas ou interativas que representam os métodos de execução de um trabalho necessário para alcançar um objetivo;
XVII - risco: a possibilidade de que um evento ocorra e afete, positivamente (risco positivo ou oportunidade) ou negativamente (risco negativo), os objetivos, processos de trabalho ou projetos da ANS;
XVIII - risco de gestão: definido como a estimativa das perdas diretas ou indiretas resultantes de falha, deficiência ou inadequação de processos relacionados aos objetivos orçamentários, financeiros, patrimonial, desenvolvimento institucional, incluindo a capacidade de crescimento e aprendizagem;
XIX - risco estratégico: definido como a estimativa das perdas diretas ou indiretas resultantes de falha, deficiência ou inadequação de processos relacionados aos objetivos de alto nível, assim entendidos, os que dão suporte e estejam alinhados à missão institucional;
XX - risco inerente: é o nível de risco ao qual se estaria exposto caso não houvesse nenhum controle implantado;
XXI - risco operacional: estimativa das perdas diretas ou indiretas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos;
XXII - risco residual: o nível de risco existente considerando os controles;
XXIII - subprocesso de trabalho: processos em um nível com maior detalhamento, que demonstram os fluxos de trabalho e as atividades sequenciais e interdependentes, necessários e suficientes para a execução de cada processo de trabalho da entidade; e
XXIV - vulnerabilidade: quaisquer deficiências em processos de trabalho, projetos, legislação, sistemas informatizados, gestão de pessoal, recursos logísticos, recursos orçamentários e de segurança da informação, que possam comprometer o atingimento dos objetivos estratégicos, a imagem e a missão da ANS.
CAPÍTULO II
DAS DISPOSIÇÕES GERAIS
Seção I
Dos Princípios
Art. 4º A política de gestão de riscos da ANS observará os seguintes princípios:
I - agregar valor e proteger o ambiente institucional;
II - ser parte integrante dos processos organizacionais;
III - subsidiar a tomada de decisões;
IV - abordar explicitamente a incerteza;
V - ser sistemática, estruturada e oportuna;
VI - ser baseada nas melhores informações disponíveis;
VII - ser feita sob medida, alinhada com o contexto interno e externo da ANS e com o perfil do risco;
VIII - considerar fatores humanos e culturais;
IX - ser transparente e conclusiva;
X - ser dinâmica, interativa e capaz de reagir a mudanças; e
XI - apoiar a melhoria contínua da entidade.
Seção II
Dos Gestores de Riscos
Art. 5º São considerados gestores de riscos, em seus respectivos âmbitos e escopos de atuação, o Diretor-Presidente, os Diretores, o Secretário-Executivo, os Diretores-Adjuntos, os Gerentes-Gerais, os Gerentes, os Coordenadores ou equivalentes, os Chefes de Núcleo da ANS, os Cargos Comissionados Técnicos e os Assessores, responsáveis por processos de trabalho, projetos e iniciativas estratégicas, táticas e operacionais da ANS.
Parágrafo único. É facultativa a participação do Procurador-Chefe, do Ouvidor, do Auditor-Chefe, do Corregedor e do Presidente da Comissão de Ética na presente política que se dará após oitiva e manifestação formal de suas respectivas adesões, hipótese em que os referidos agentes públicos também serão considerados gestores de riscos.
Art. 6º Compete aos gestores de riscos, relativamente aos processos de trabalho e projetos sob sua responsabilidade:
I - decidir sobre a escolha dos processos de trabalho que devam ter os riscos gerenciados e tratados com prioridade em cada unidade administrativa, à vista da dimensão dos prejuízos e dos impactos que possam causar, sob os aspectos estratégico, orçamentário e de imagem;
II - estabelecer as ações de tratamento ou monitoramento a serem implementados, bem como fixar prazo de implementação e avaliar os resultados obtidos; e
III - definir quais riscos deverão ser priorizados para tratamento por meio de ações de caráter imediato, curto prazo, médio prazo ou longo prazo ou de ações de aperfeiçoamento contínuo, bem como fixar prazo para implementação e avaliar os resultados obtidos por meio de indicadores.
Seção III
Dos Níveis de Risco
Art. 7º Os níveis de risco a serem considerados para as atividades de gerenciamento de riscos na ANS são:
I - muito baixo: aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos, programas ou processos da ANS, que causam impactos mínimos nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas;
II - baixo: aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos, programas ou processos da ANS, que causam impactos pequenos nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas;
III - médio: aqueles caracterizados por riscos associados à interrupção de operações ou atividades da ANS, de projetos, programas ou processos, que causam impactos significativos nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas, porém recuperáveis;
IV - alto: aqueles caracterizados por riscos associados à interrupção de operações, atividades, projetos, programas ou processos da ANS, que causam impactos de reversão muito difícil nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas; e
V - extremo: aqueles caracterizados por riscos associados à paralisação de operações, atividades, projetos, programas ou processos da ANS, que causam impactos irreversíveis nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas.
Seção IV
Das Diretrizes e Do Processo de Gerenciamento de Riscos
Art. 8º O gerenciamento de riscos deve ser feito em ciclos não superiores a dois anos, abrangendo os processos de trabalho, sistemas informatizados, gestão orçamentária, gestão de pessoas e legislação, com vistas reduzir os eventos de riscos negativos, assim como, quando for o caso, potencializar os eventos de riscos positivos (oportunidades).
Parágrafo único. O limite temporal a ser considerado para o ciclo de gerenciamento de riscos de cada processo de trabalho será decidido pelo respectivo gestor, levando em conta o limite máximo estipulado no caput.
Art. 9º A metodologia aplicada para o gerenciamento de riscos deverá abranger todo o ciclo de gestão de riscos estratégicos, operacionais e de gestão, desenvolvendo-se nas seguintes fases:
I - comunicação e consulta;
II - estabelecimento do contexto, nos termos do art. 10;
III - identificação dos riscos, nos termos dos arts. 11 a 13;
IV - análise dos riscos, que consiste na determinação da probabilidade de ocorrência do risco e das consequências possíveis, caso ele ocorra;
V - avaliação dos riscos, referente à determinação dos riscos que precisam ser tratados e à definição das prioridades para esse tratamento;
VI - tratamento dos riscos; e
VII - monitoramento e análise crítica, que tem por finalidade o aprimoramento contínuo e permanente do objeto cujos riscos estejam sendo gerenciados, e do próprio processo de gerenciamento de riscos, por meio de revisões e atualizações regulares e periódicas desses riscos, permitindo aos gestores acompanhar a efetividade e a eficácia das ações adotadas para seu tratamento.
Parágrafo único. Durante todo o processo de gerenciamento de riscos, os responsáveis pelas atividades devem manter um fluxo regular e constante de comunicação com as unidades administrativas envolvidas, consultando-as sobre informações relativas a cada fase desse processo.
Subseção I
Do Estabelecimento de Contexto
Art. 10. O estabelecimento do contexto consiste na pesquisa inerente aos ambientes interno e externo da entidade que tenham relação com o objeto cujos riscos estejam sendo gerenciados, e considerará, dentre outros, os seguintes fatores:
I - no caso de contexto externo:
a) ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;
b) fatores-chave e tendências que tenham impacto sobre os objetivos da entidade; e
c) relações com partes interessadas externas e suas percepções e valores;
II - no caso de contexto interno:
a) governança, estrutura organizacional, funções e responsabilidades;
b) políticas, objetivos e estratégias implementadas para atingi-los;
c) capacidades, entendidas em termos de recursos e conhecimento;
d) sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
e) relações com partes interessadas internas e suas percepções e valores;
f) cultura da entidade;
g) normas, diretrizes e modelos adotados pela entidade; e
h) forma e extensão das relações contratuais.
Subseção II
Da Identificação dos Riscos
Art. 11 A identificação dos riscos consiste na detecção dos eventos internos e/ou externos que possam causar impactos negativo e/ou positivo ao objeto que esteja tendo os riscos gerenciados, suas possíveis causas e efeitos.
Art. 12. Os riscos identificados deverão ser devidamente registrados no mapa de riscos, que ficará disponível ao respectivo gestor de riscos, às pessoas envolvidas no processo de trabalho ao qual o risco está associado e à Coordenadoria de Avaliação de Risco, da Gerência-Geral de Análise Técnica da Presidência.
Parágrafo único. Os agentes públicos e/ou colaboradores envolvidos deverão observar a classificação do grau de sigilo definida no âmbito dos respectivos processos ou projetos, objetos dos riscos identificados e registrados na forma do caput.
Art. 13. O mapa de riscos deve conter a relação dos riscos identificados, com as seguintes informações:
I - o macroprocesso, o processo e/ou o subprocesso de trabalho ao qual o risco está vinculado;
II - a descrição do evento de risco, suas causas e seus efeitos;
III - as avaliações de probabilidade, consequência e nível de risco, relativamente ao risco inerente;
IV - descrição dos respectivos tratamentos e monitoramentos e as avaliações de probabilidade, consequência e nível de risco, relativamente ao risco residual; e
V - justificativa, a ser preenchida nos casos em que a decisão aceitar risco classificado com nível de criticidade médio, alto ou extremo.
Subseção III
Do Tratamento dos Riscos
Art. 14 O tratamento dos riscos tem como objetivo a identificação e seleção das ações mais viáveis e adequadas, e a elaboração de planos de implementação para evitar, eliminar, reduzir, aceitar ou compartilhar riscos negativos, ou potencializar riscos positivos.
Art. 15. As ações de tratamento dos riscos terão os seguintes objetivos:
I - evitar o risco, não iniciando ou descontinuando a atividade que dá origem ao risco;
II - eliminar o risco, removendo a respectiva fonte causadora;
III - reduzir o risco, implantando controles que diminuam a probabilidade de ocorrência do risco ou suas consequências;
IV - aceitar o risco, assumindo o risco, por uma escolha consciente e justificada formalmente, podendo implementar sistemática de monitoramento;
V - compartilhar o risco com outras partes interessadas; e
VI - aumentar o risco, com vistas a aproveitar uma oportunidade.
Parágrafo único. Nos casos de riscos positivos ou oportunidades, quando priorizados, as ações respectivas terão o objetivo de potencializá-los, com vistas ao seu aproveitamento.
Art. 16. As ações de tratamento podem ser classificadas em:
I - ações de implantação imediata, quando a avaliação realizada indicar risco estratégico, orçamentário ou de imagem classificado como risco alto ou extremo, ou, em caso de risco negativo, quando a continuidade ou repetição das vulnerabilidades tiver potencial para transformá-lo em risco alto ou extremo;
II - ações de implantação de curto prazo, quando a avaliação realizada indicar risco estratégico, orçamentário ou de imagem classificado como risco médio, ou, em caso de risco negativo, quando a continuidade ou repetição das vulnerabilidades tiver potencial para transformá-lo em risco médio; e
III - ações de implantação de médio e longo prazo, quando a avaliação realizada indicar risco estratégico, orçamentário ou de imagem classificado como risco baixo.
Parágrafo único. Os riscos considerados muito baixos poderão ser apenas monitorados, a critério do respectivo gestor de riscos.
CAPÍTULO III
DO COMITÊ DE AVALIAÇÃO DE RISCOS
Art. 17. Fica criado o Comitê de Avaliação de Riscos, de caráter consultivo, sob coordenação da Presidência da ANS, com as seguintes atribuições:
I - supervisionar, coordenar, estabelecer prioridades e propor modificações e melhorias na política de gestão de riscos;
II - estabelecer e promover metodologia de divulgação das informações da política de gestão de riscos;
III - revisar e aprovar termos e classificações utilizados na política de gestão de riscos;
IV - promover, fomentar e recomendar estudos relacionados à avaliação de riscos;
V - identificar, propor e coordenar modificações necessárias ao sistema de informação da gestão de riscos; e
VI - propor padrões e metodologias para melhorar os processos de avaliação de riscos no âmbito da ANS.
§ 1º O Comitê de Avaliação de Riscos será constituído por representantes da ANS e de eventuais convidados de sua coordenação.
§ 2º Compete à Presidência da ANS, por meio de ato administrativo próprio, indicar os representantes do Comitê de Avaliação de Riscos e determinar a periodicidade das reuniões.
§ 3º Qualquer interessado na política de gestão de riscos, sem representatividade no Comitê de Avaliação de Riscos, poderá encaminhar sugestões para apreciação do Comitê de Avaliação de Riscos.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 18. O apetite de riscos da ANS deverá ser definido pelo Comitê de Governança, Riscos e Controles.
Art. 19. A Coordenadoria de Avaliação de Risco poderá desenvolver avaliações de riscos sobre temas julgados relevantes e pertinentes, os quais, a critério do Diretor-Presidente, poderão ser encaminhados ao gestor de riscos responsável por unidade administrativa da ANS, relativamente aos processos de trabalho sob sua responsabilidade.
Art. 20. A partir da vigência desta Resolução Administrativa, a Coordenadoria de Avaliação de Risco deverá propor projeto de implantação de sistema informatizado que permita o registro, consulta e atualização das informações necessárias ao mapa de riscos da ANS, ficando responsável pelo seu gerenciamento.
§ 1º Enquanto o sistema informatizado previsto no caput não estiver disponível, ao final de cada ciclo de gerenciamento de riscos, os respectivos gestores deverão encaminhar à Coordenadoria de Avaliação de Risco os arquivos contendo os formulários de mapa de riscos devidamente preenchidos.
§ 2º O modelo do mapa de riscos a ser considerado para o cumprimento do disposto no parágrafo anterior será definido e divulgado pela Coordenadoria de Avaliação de Risco.
Art. 21. Fica criada a Rede de Gestão de Riscos da ANS composta por todos os servidores da ANS com o objetivo de ser parte integrante dos processos organizacionais, apoiando a melhoria contínua da entidade.
Parágrafo único. Será estabelecido um plano para implantação e fortalecimento da Rede de Gestão de Riscos da ANS de iniciativa da Coordenadoria de Avaliação de Risco.
Art. 22. Compete ao Diretor-Presidente e ao Auditor-Chefe, no âmbito de suas respectivas competências regimentais e sem prejuízo de outras que lhes sejam próprias:
I - propor melhorias para a presente política de gestão de riscos;
II - propor metodologia para o processo de gerenciamento de riscos capaz de subsidiar tomada de decisão no âmbito da ANS, bem como melhorias futuras;
III - disseminar e dar suporte metodológico à implementação e operacionalização do gerenciamento de riscos por parte das unidades administrativas da ANS; e
IV - avaliar, por intermédio de auditorias específicas, a utilização e aplicação da metodologia de gerenciamento de riscos definida nesta Resolução Administrativa.
Art. 23. Os casos omissos e as dúvidas surgidas na aplicação desta Resolução Administrativa serão solucionados pela Presidência da ANS.
Art. 24. Fica revogada a Resolução Administrativa - RA Nº 60, de 15 de julho de 2014.
Art. 25. Esta Resolução Administrativa entra em vigor em 1º de abril de 2021.