Ministério da Saúde
Agência Nacional de Saúde Suplementar

RESOLUÇÃO NORMATIVA - RN Nº 518, DE 29 DE ABRIL DE 2022

Dispõe sobre adoção de práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de plano de assistência à saúde.

A Diretoria Colegiada da Agência Nacional de Saúde Suplementar - ANS, em vista do que dispõe as alíneas "a", "b" e "c" do inciso IV e parágrafo único do artigo 35-A da Lei nº 9.656, de 3 de junho de 1998, o inciso XLI do artigo 4º e inciso II do artigo 10, ambos da Lei nº 9.961, de 28 de janeiro de 2000, os §§ 2º e 3º do artigo 1º da Lei nº 10.185, de 12 de fevereiro de 2001 e o inciso IV do art. 42 da Resolução Regimental nº 21, de 26 de janeiro de 2022, em reunião realizada em 25 de abril de 2022, adotou a seguinte Resolução Normativa e eu, Diretor-Presidente , determino a sua publicação.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art.1º Esta Resolução Normativa dispõe sobre a adoção de práticas mínimas de governança, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de plano de assistência à saúde.

Art. 2º Para fins do disposto nesta Resolução Normativa, considera-se:

I - governança das operadoras: sistema pelo qual as operadoras são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre seus proprietários, administradores, órgãos de fiscalização e controle e demais partes interessadas;

II - controles internos: conjunto de medidas adotadas para salvaguardar as atividades da operadora, assegurando o cumprimento de seus objetivos e obrigações em todos os níveis da organização;

III - gestão de riscos: processo de identificação, análise, avaliação, priorização, tratamento e monitoramento de riscos que possam afetar, positiva ou negativamente, os objetivos de processos de trabalho e/ou de projetos de uma operadora nos níveis estratégicos, tático e operacional;

IV - administradores: todas as pessoas naturais, residentes no País, eleitas, nomeadas ou designadas para os cargos de diretor, administrador ou conselheiro do conselho de administração, ou órgão assemelhado, independentemente da nomenclatura e do tipo societário da qual façam parte;

V - proprietários: sócios, acionistas, cotistas, cooperados ou associados da operadora;

VI - programa de integridade: programa definido conforme o art. 41 do Decreto nº 8.420, de 18 de março de 2015;

VII - operadora de pequeno porte: as operadoras com número de beneficiários inferior a vinte mil, apurados na data de 31 de dezembro do exercício imediatamente anterior;

VIII - operadora de médio porte: as operadoras com número de beneficiários entre vinte mil, inclusive, e inferior a cem mil, apurados na data de 31 de dezembro do exercício imediatamente anterior; e

IX - operadora de grande porte: as operadoras com número de beneficiários a partir de cem mil, inclusive, apurados na data de 31 de dezembro do exercício imediatamente anterior.

Art. 3º As práticas e estruturas de governança, controles internos e gestão de riscos implementadas pelas operadoras devem ser efetivos e consistentes com a natureza, escala e complexidade das suas atividades, respeitadas as características e estruturas estabelecidas nos seus estatutos ou contratos sociais e normas internas.

Parágrafo único. São responsabilidades dos administradores das operadoras de plano de assistência à saúde a implantação, implementação e avaliação periódica das práticas de governança, gestão de riscos e controles internos que trata a presente Resolução Normativa, independentemente da constituição de unidades de negócio, grupos, comissões, comitês internos ou externos formados ou contratados para auxiliar em tais ações.

CAPÍTULO II

DA GOVERNANÇA DAS OPERADORAS

Art. 4º As práticas e estruturas de governança adotadas pelas operadoras devem considerar os seguintes princípios:

I - transparência: divulgação clara, completa e objetiva de informações relevantes a todos os níveis da operadora e à sociedade, independentemente daquelas exigidas pela legislação;

II - equidade: tratamento justo e isonômico de todos os proprietários, beneficiários das operadoras e demais partes interessadas, levando em consideração seus direitos, deveres, necessidades, interesses e expectativas;

III - prestação de contas: tomada de responsabilidade dos administradores e das demais pessoas envolvidas nos diversos níveis da operadora diante de suas decisões, de modo claro, conciso, compreensível e tempestivo, assumindo integralmente as consequências de seus atos e omissões e atuando com diligência e responsabilidade no âmbito dos seus papeis; e

IV - responsabilidade corporativa: ação da operadora condizente com seu papel na sociedade, incluindo a manutenção da sua viabilidade econômico-financeira no curto, médio e longo prazo.

Art. 5º As práticas e estruturas de governança devem ser formalizadas de forma clara e objetiva em estatuto ou contrato social, regimentos ou regulamentos internos submetidos a revisão e aprovação das instâncias máximas de decisão das operadoras, e divulgadas amplamente às partes interessadas.

CAPÍTULO III

DOS CONTROLES INTERNOS E DA GESTÃO DE RISCOS

Seção I

Dos Controles Internos

Art. 6º As operadoras devem implementar sistemas de controles internos voltados para suas atividades e seus sistemas de informações financeiras, operacionais e gerenciais, com vistas a:

I - assegurar a confiabilidade das informações, dados e relatórios produzidos pela operadora;

II - buscar a utilização eficiente dos recursos, com eficácia em sua execução; e

III - atender à legislação e às normas internas aplicáveis à operadora.

Art. 7º As descrições dos controles internos devem ser acessíveis a todos os funcionários das operadoras e compreender ações contínuas relativas a suas atividades, operações e níveis hierárquicos, prevendo, no mínimo:

I - definição dos objetivos dos controles e das responsabilidades na operadora, de forma a evitar conflito de interesses nos processos internos;

II - os meios de identificação e avaliação de riscos que podem ameaçar sua eficácia;

III - canais de comunicação que assegurem aos funcionários o acesso às informações relevantes para execução das suas tarefas e responsabilidades, bem como o encaminhamento de contribuições para seu aperfeiçoamento;

IV - existência de testes de segurança e conciliação para os sistemas de informações, em especial aqueles mantidos em meio eletrônico; e

V - ações ou planos de contingência, quando necessário.

Art. 8º Os controles internos devem ser submetidos a avaliação periódica, no mínimo anual, em especial aqueles que tratam de processos relacionados às informações que são detalhadas nos demonstrativos financeiros das operadoras.

Parágrafo único. Os resultados da avaliação de que trata o caput devem ser acompanhados de manifestação dos responsáveis pelas áreas avaliadas a respeito das deficiências eventualmente encontradas e das medidas adotadas para saná-las ou mitigar seus riscos.

Seção II

Da Gestão de Riscos

Art. 9º A gestão de riscos nas operadoras deve ter por objetivo:

I - uniformizar o conhecimento entre os administradores quanto aos principais riscos das suas atividades, em especial aqueles relacionados aos riscos de subscrição, de crédito, de mercado, legais e operacionais;

II - conduzir tomadas de decisão que possam dar tratamento e monitoramento dos riscos e consequentemente aperfeiçoar os processos organizacionais e controles internos da operadora; e

III - promover a garantia do cumprimento da missão da operadora, sua continuidade e sustentabilidade alinhadas aos seus objetivos.

Art. 10. As práticas de gestão de riscos devem ser adequadas à estrutura e aos controles internos da operadora, de forma a possibilitar o seu aperfeiçoamento e monitoramento contínuo.

CAPÍTULO IV

DA VERIFICAÇÃO DOS PROCESSOS DA GOVERNANÇA, GESTÃO DE RISCOS E CONTROLES INTERNOS DAS OPERADORAS

Art. 11. O envio anual do Relatório de Procedimentos Previamente Acordados - PPA elaborado por auditor independente, tendo por base os dados do exercício antecedente referentes aos processos de governança, gestão de riscos e controles internos das operadoras, é:

I - obrigatório:

a) para as operadoras de grande e médio portes, nos termos do Anexo V, exceto para as classificadas nas modalidades de Autogestão por Departamento de Recursos Humanos, conforme previsto no inciso II;

b) para as administradoras de benefícios, nos termos Anexo VI; e

II - facultativo para as operadoras de pequeno porte e as operadoras classificadas nas modalidades de Autogestão por Departamento de Recursos Humanos, nos termos do Anexo V.

Parágrafo único. No caso de não adoção de requisito ou de sua adoção de forma parcial, o relatório de PPA de que trata o caput apresentará, circunstanciadamente, justificativa(s) da administração da operadora sobre o assunto e a(s) prática(s) alternativa(s) adotada(s).

Art. 12. A operadora que comprovar o atendimento a todos os requisitos por meio de envio à ANS de relatório de PPA na forma do art. 11 poderá solicitar a redução de fatores de capital regulatório a ser observado para atuação no setor de saúde suplementar.

§1º Os fatores reduzidos de capital regulatório de que trata o caput serão regidos por resolução normativa específica.

§2º Após análise do relatório de PPA, a ANS informará o deferimento ou não da redução de fatores que trata o caput, informando seu período de vigência em caso de deferimento.

Art. 13. Para fins de aprovação de modelos próprios de capital baseado nos seus riscos, nos termos da regulamentação específica, as operadoras devem encaminhar relatório de PPA emitidos na forma dos Anexos V e VII, comprovando o atendimento a todos os requisitos verificados.

Art. 14. Nas hipóteses dos arts. 11 a 13, a operadora encaminhará relatório de PPA à ANS conjuntamente com o DIOPS do 1º trimestre de cada ano subsequente.

§1º O relatório de que trata o caput deverá ser emitido por auditor externo registrado no respectivo Conselho Regional de Contabilidade - CRC e na Comissão de Valores Mobiliários - CVM.

§2º É de responsabilidade das operadoras a verificação de que o auditor independente atende a critérios de independência e competência estabelecidos pelos CRCs, pelo Conselho Federal de Contabilidade - CFC e pela CVM.

§3º É vedado que o auditor independente ou a empresa que presta o serviço de auditoria independente tenha prestado, nos últimos 2 exercícios financeiros, serviço de consultoria para a operadora que comprometa a independência daquele(a), incluindo, entre outros, serviço de auditoria interna na operadora.

§4º É facultado que o auditor ou a empresa de auditoria de que trata este dispositivo tenha mantido contrato para avaliação das demonstrações contábeis, relatórios de PPA sobre as informações econômico-financeiras da operadora a serem informados no DIOPS/ANS, bem como de asseguração sobre a base de dados para confecção das informações contábeis da operadora.

Art. 15. A ANS poderá, a qualquer tempo, desconsiderar a redução de fatores de capital que trata o art. 12 ou a aprovação de modelo próprio que trata o art. 13, na hipótese de identificação de ocorrência de desconformidade ou verificação de não atendimento a requisito previsto nos Anexos I-A ou II desta Resolução Normativa.

§ 1º Na hipótese de que trata o caput deste artigo, a operadora será previamente notificada para prestar esclarecimentos no prazo de dez dias úteis.

§ 2º Uma vez constatada indícios de conduta comissiva ou omissiva do auditor independente responsável pelo(s) relatório(s) de PPA em relação aos fatos que ensejam a aplicação do disposto no caput, a ANS notificará o conselho profissional competente a respeito.

CAPÍTULO V

DAS DISPOSIÇÕES GERAIS E TRANSITÓRIAS

Art. 16. As operadoras que possuem modelos próprios de capital baseado nos seus riscos aprovados ou que se encontram em processo de análise para aprovação deverão providenciar o cumprimento do disposto na presente Resolução Normativa até 31 de dezembro de 2022 para a aplicação do disposto no art. 13.

Art. 17. O envio anual do PPA previsto no art. 11, inciso I, será facultativo até o exercício de 2022 e deverá ser encaminhado no prazo limite definido para o envio do DIOPS Financeiro do 1º trimestre de 2023.

Art. 18. Revoga-se a Resolução Normativa nº 443, de 25 de janeiro de 2019.

Art. 19. Esta Resolução Normativa entra em vigor em 1º de junho de 2022.

PAULO ROBERTO REBELLO FILHO

ANEXO I

Práticas mínimas de gestão de riscos e controles internos a serem verificadas

1. Tratamento das recomendações sobre aspectos de controle e gestão

1.1 A administração da operadora deve avaliar as recomendações de melhorias ou de correções de procedimentos elencados pelos órgãos de controles, auditoria interna, atuário responsável e auditoria independentes e designar o(s) responsável(is) pela implementação das ações necessárias, estabelecendo prazos para conclusão e períodos de avaliação do andamento.

1.1.1 Na implementação e monitoramento das ações que trata o item 1.1, a administração da operadora deve sempre considerar, no mínimo, os seguintes documentos ou relatórios:

a) Relatório(s) de Procedimentos Previamente Acordados (PPA) de que tratam os Anexos V e VII desta Resolução Normativa, sempre que existirem recomendações;

b) Relatórios de PPA sobre as informações econômico-financeiras da operadora a serem informados no DIOPS/ANS, encaminhados à ANS na periodicidade definida nos termos da regulamentação específica;

c) Termos de Responsabilidade Atuarial (TRA), encaminhados trimestralmente à ANS;

d) Recomendações de melhorias ou correções de procedimentos registradas em atas de conselhos, comitês internos ou reunião com proprietários;

e) Ofícios da ANS e relatórios de conformidade com a normativa da ANS produzidos pelas instâncias internas da operadora;

f) Relatório de avaliação de procedimentos e rotinas que visam assegurar a confiabilidade e adequação dos relatórios e demonstrativos financeiros que são enviados à ANS, incluindo Relatório Circunstanciado Sobre Deficiências de Controle Interno; e

g) Relatórios de Auditoria Interna do ano em exercício, quando a estrutura existir formalmente.

2. Análise e monitoramento econômico-financeiro

2.1 A operadora deve manter processo contínuo de análise da sua situação econômico-financeira, contemplando pelo menos:

a) avaliação da evolução dos seus indicadores, tendo como referência mínima aqueles descritos nos itens 1 a 12 do Anexo IV; e

b) o cumprimento das exigências de garantias financeiras: i) Provisões Técnicas; ii) Ativos Garantidores; e iii) Capital Regulatório Capital Base, Margem Solvência e Capital Baseado em Riscos.

2.1.1 A análise que trata o item 2.1 deve ser formalizada em documento específico a ser pautado e apresentado aos administradores, no mínimo semestralmente, nas reuniões das estruturas internas decisórias da administração da operadora ou, no caso de inexistência de conselho de administração ou instância equivalente, em assembleia ou reunião com proprietários.

3. Avaliação de práticas de gestão de risco A operadora deve realizar avaliações, no mínimo anualmente, das práticas de gestão de risco existentes, considerando, ao menos, as seguintes questões sobre os principais riscos:

3.1 Gestão de Risco de Subscrição:

a) Adequação das premissas de frequência de utilização dos beneficiários, custo dos serviços por itens assistenciais e despesas de comercialização utilizadas em seus produtos registrados na ANS;

b) Valores a pagar e a receber, resultados e avaliações qualitativas de custo-benefício das operações de seguros, resseguros e/ou compartilhamento de gestão de risco com outras operadoras eventualmente existentes;

c) Evolução de sinistralidade, frequência de utilização, despesas de comercialização e assistenciais geradas pelo atendimento dos beneficiários na sua rede de atendimento, incluindo a rede indireta, a partir de registros que detalhem, no mínimo:

c.1. os principais contratos coletivos por faturamento e quantidade de beneficiários; e

c.2. contratos individuais.

d) Frequência de utilização e despesas assistenciais geradas pelo atendimento dos beneficiários na sua rede de atendimento, incluindo a rede indireta, a partir de registros que detalhem os principais prestadores (incluindo outras operadoras que fazem a intermediação);

e) Valores a pagar e pagos, nos últimos 12 meses, a agentes de vendas, corretores, administradoras de benefícios ou outros por conta de intermediação na comercialização ou disponibilização dos produtos da operadora, evidenciando contratos ativos, cancelados ou renovados, bem como a forma de remuneração dos intermediários (vitalícia ou não);

f) Com relação aos contratos coletivos, evolução do desempenho (superávit/déficit, a ser apurado pelo confronto das contraprestações com os eventos indenizáveis e as despesas de comercialização/intermediação), identificando: i) as pessoas jurídicas com contratos deficitários e a forma de remuneração dos intermediários descritos na alínea "e", em especial daqueles com remuneração que independa ou não esteja condicionada ao desempenho do contrato; e ii) contratos com déficit após uma ou mais renovações;

g) Pessoas jurídicas com contratos coletivos ativos e percentual de reajuste superior à Variação de Custos verificada na operadora para o segmento médico-hospitalar e para o segmento odontológicos, separadamente, conforme forma de cálculo prevista no item 12 do Anexo IV; e

h) Os principais prestadores com os quais a operadora possui valores pendentes de pagamento.

3.2 Gestão do Risco de Crédito e Mercado

a) Alocação de seus ativos financeiros, por emissor e tipo de aplicação;

b) Capacidade de pagamento das obrigações, a partir do seu fluxo de caixa;

c) Sistemática de mensuração do risco de crédito das pessoas jurídicas para contratação de planos de saúde coletivos em relação a normas ou manuais de procedimentos internos de risco de crédito da operadora, com classificação formalizada em propostas de vendas;

d) Inadimplência dos contratos celebrados pela operadora, identificando principais devedores (pessoa física ou jurídica), tempo de atraso, período e valor envolvido, por contratos; e

e) Cenário econômico, com horizonte mínimo de 2 anos, com recomendações de efeitos esperados nos seus ativos e passivos, considerando as principais variáveis macroeconômicas, tais como taxas de juros, taxas de câmbio, índices de inflação, preços de imóveis, cotações de ações, taxa de desocupação e variação do Produto Interno Bruto.

3.3 Gestão de Riscos Legais e Operacionais

a) Processos judiciais não ganhos, com estatísticas sobre objetos da causa e valores envolvidos na disputa judicial e comparação com a classificação dada para fins de contabilização das provisões sobre disputas judiciais de eventos indenizáveis para cada processo;

b) Demandas mais recorrentes de beneficiários que motivam Notificações de Intermediação Preliminar (NIP), processos sancionadores junto à ANS e demandas judiciais, com identificação das demandas para as quais há decisões desfavoráveis;

c) "Índice de Reclamações" divulgado pela ANS; e

d) Relatório Estatístico e Analítico anual do atendimento da Ouvidoria da operadora.

3.4 As avaliações que tratam os item 3.1 a 3.3 devem ser conciliadas com outros relatórios financeiros gerados pela operadora e formalizadas em documento específico a ser pautado e apresentado aos administradores para deliberações formalizadas em atas, no mínimo com periodicidade anual, nas reuniões das estruturas internas de fiscalização e controle (conselhos ou comitês) e decisórias da administração da operadora ou, no caso de inexistência de conselhos de administração, fiscal ou instância(s) equivalente(s), em assembleia ou reunião com proprietários.

ANEXO II

Práticas mínimas de gestão de riscos e controles internos a serem verificadas para administradoras de benefícios

1. Tratamento das recomendações sobre aspectos de controle e gestão

1.1 A administração da administradora de benefícios deve avaliar as recomendações de melhorias ou de correções de procedimentos elencados pelos órgãos de controles, auditoria interna, atuário responsável e auditoria independentes e designar o(s) responsável(is) pela implementação das ações necessárias, estabelecendo prazos para conclusão e períodos de avaliação do andamento.

1.1.1 Na implementação e monitoramento das ações que trata o item 1.1, a administração da administradora de benefícios deve sempre considerar, no mínimo, os seguintes documentos ou relatórios:

a) Relatório(s) de Procedimentos Previamente Acordados (PPA) de que tratam os Anexos VI e VII desta Resolução Normativa, sempre que existirem recomendações;

b) Relatório de PPA sobre as informações econômico-financeiras da operadora a serem informados no DIOPS/ANS, encaminhados à ANS

na periodicidade definida nos termos da regulamentação específica

c) Recomendações de melhorias ou correções de procedimentos registradas em atas de conselhos, comitês internos ou reunião com proprietários;

d) Ofícios da ANS e relatórios de conformidade com a normativa da ANS produzidos pelas instâncias internas da administradora de benefícios;

e) Relatório de avaliação de procedimentos e rotinas que visam assegurar a confiabilidade e adequação dos relatórios e demonstrativos financeiros que são enviados à ANS, incluindo Relatório Circunstanciado Sobre Deficiências de Controle Interno;

f) Relatórios de Auditoria Interna do ano em exercício, quando a estrutura existir formalmente; e

g) Relatório de Auditoria de Contratos Estipulados.

2. Análise e monitoramento econômico-financeiro

2.1 A administradora de benefícios deve manter processo contínuo de análise da sua situação econômico-financeira, contemplando pelo menos:

a) avaliação da evolução dos seus indicadores, tendo como referência mínima aqueles descritos nos itens 1, 2, 4, 5, 7, 8 e 9 do Anexo IV; e

b) o cumprimento das exigências de garantias financeiras: i) Ativos Garantidores, quando aplicável; e ii) Capital Regulatório, Capital Base e Capital Baseado em Riscos.

2.1.1 A análise que trata o item 2.1 deve ser formalizada em documento específico a ser pautado e apresentado aos administradores, no mínimo semestralmente, nas reuniões das estruturas internas decisórias da administração da administradora de benefícios ou, no caso de inexistência de conselho de administração ou instância equivalente, em assembleia ou reunião com proprietários.

3. Avaliação de práticas de gestão de risco

A administradora de benefícios deve realizar avaliações, no mínimo anualmente, das práticas de gestão de risco existentes, considerando, ao menos, as seguintes questões sobre os principais riscos:

3.1 Gestão do Risco de Crédito e Mercado

a) Alocação de seus ativos financeiros, por emissor e tipo de aplicação;

b) Capacidade de pagamento das obrigações, a partir do seu fluxo de caixa;

c) Sistemática de mensuração do risco de crédito das pessoas jurídicas para contratação de planos de saúde coletivos em relação a normas ou manuais de procedimentos internos de risco de crédito da administradora de benefícios, com classificação formalizada em propostas de vendas;

d) Inadimplência dos contratos estipulados pela administradora de benefícios, identificando principais devedores (pessoa física ou jurídica), tempo de atraso, período e valor envolvido, por contratos; e

e) Cenário econômico, com horizonte mínimo de 2 anos, com recomendações de efeitos esperados nos seus ativos e passivos, considerando as principais variáveis macroeconômicas, tais como taxas de juros, taxas de câmbio, índices de inflação, preços de imóveis, cotações de ações, taxa de desocupação e variação do Produto Interno Bruto.

3.2 Gestão de Riscos Legais e Operacionais

a) Processos judiciais não ganhos com estatísticas sobre objetos da causa e valores envolvidos na disputa judicial;

b) Demandas mais recorrentes de beneficiários das pessoas jurídicas contratantes que motivam Notificações de Intermediação Preliminar (NIP), processos sancionadores junto à ANS e demandas judiciais, com identificação das demandas para as quais há decisões desfavoráveis;

c) "Índice de Reclamações" divulgado pela ANS; e

d) Relatório Estatístico e Analítico anual do atendimento da Ouvidoria da administradora de benefícios.

3.3 As avaliações que tratam os item 3.1 a 3.2 devem ser conciliadas com outros relatórios financeiros gerados pela administradora de benefícios e formalizadas em documento específico a ser pautado e apresentado aos administradores para deliberações formalizadas em atas, no mínimo com periodicidade anual, nas reuniões das estruturas internas de fiscalização e controle (conselhos ou comitês) e decisórias da administração da administradora de benefícios ou, no caso de inexistência de conselhos de administração, fiscal ou instância(s) equivalente(s), em assembleia ou reunião com proprietários.

4. Transparência

4.1 A administradora de benefícios divulga para os beneficiários, com periodicidade mínima anual, a variação do custo assistencial do seu contrato estipulado, na forma do item 13 do Anexo IV.

ANEXO III

Práticas avançadas e estrutura de governança, gestão de riscos e auditoria interna a serem verificadas, para operadoras com modelos próprios de capital baseado em riscos

1. Governança

Papéis e responsabilidades

1.1. A operadora deve estabelecer órgãos representativos em sua estrutura de governança, com suas respectivas funções definidas em seus atos constitutivos, considerando, no mínimo:

a. Instância máxima de deliberações, de acordo com a natureza jurídica da operadora;

b. Fixação de diretrizes gerais e deliberações da gestão da operadora por meio de conselho de administração ou equivalente, com funções distintas da(s) diretoria(s) executiva(s) ou equivalente(s); e

c. Fiscalização e controle dos atos do conselho de administração ou equivalente e a(s) diretoria(s) executiva(s) ou equivalente(s) e de outros aspectos de controles internos da operadora.

1.1.1 O órgão referido na alínea "b" será considerado também a instância máxima de deliberação unicamente na inexistência de assembleia formalizada nos atos constitutivos da operadora.

1.1.2 O órgão referido na alínea "c" deverá, no mínimo, avaliar formalmente os órgãos referidos na alínea "b" anualmente.

1.1.3 Será admitido, para efeitos de cumprimento da alínea "c", a constituição de comissões ou comitês.

1.2. A operadora deve disponibilizar canais internos de divulgação de treinamentos, estruturas de governança, políticas, controles internos e outros aspectos institucionais, bem como de recepção de sugestões de melhorias de procedimentos e rotinas internos.

Conduta ética

1.3. A operadora deve estabelecer regras de conduta e de ética revisadas e aprovadas formalmente pelo conselho de administração ou equivalente, disponibilizando-as às partes interessadas.

1.4. A operadora deve possuir programa de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta internos, com vistas à prevenção dos atos previstos na Lei nº 9.613, de 3 de março de 1998; de operações vedadas pelo art. 21 da Lei nº 9.656, de 3 de junho de 1998, e de atos lesivos à administração pública nacional ou estrangeira, conforme o disposto na Lei nº 12.846, de 1 de agosto de 2013. Os programas de treinamento nesses temas deverão ser disponibilizados e implementados, definindo-se, pelo menos, público-alvo e periodicidade.

1.4.1. O programa de que trata o item 1.4 deve prever a criação e a disponibilização às partes interessadas de canais de denúncias de desvios, fraudes, irregularidades e atos entendidos como ilícitos praticados pela operadora, seus administradores e colaboradores, e ser aprovado pelo conselho de administração ou equivalente, garantindo a confidencialidade das informações e o anonimato dos seus usuários e especificando ações a serem implementadas e respectivos prazos, com designação de responsáveis e resultados a serem verificados.

Demonstrações financeiras

1.5. A operadora deve submeter o balanço patrimonial e a demonstração de resultados acumulados até 30 de junho de cada exercício, acompanhados de relatório de revisão limitada de auditoria independente referentes a tais demonstrações contábeis, à deliberação dos órgãos referidos nas alíneas "a" a "c" do item 1.1 deste Anexo, até 30 de setembro do mesmo exercício.

1.5.1. Os demonstrativos citados no item 1.5, acompanhados de relatório de revisão limitada dos auditores independentes referente às demonstrações contábeis acumuladas até 30 de junho de cada exercício, devem ser divulgados no site institucional após sua aprovação pelos órgãos representativos da operadora.

2. Controles internos e gestão de riscos

2.1. A operadora deve possuir normativo(s) interno(s) de política(s) de gestão de riscos e de controles internos, aprovada(s) e revisada(s) formalmente pelo conselho de administração ou equivalente, abrangendo, no mínimo:

a. os objetivos e princípios da gestão de riscos e de controles internos da operadora;

b. as estratégias e diretrizes para gestão das suas atividades para todos os níveis, em especial quanto a(o):

b.1) Desenvolvimento e precificação de produtos;

b.2) Comercialização e/ou disponibilização de seus produtos;

b.3) Recebimento, processamento e pagamento de Eventos ou Sinistros, incluindo sua regulação;

b.4) Contratação de outras operadoras, seguradoras ou resseguradoras como formas de mitigação de riscos de suas atividades;

b.5) Investimentos;

b.6) Gestão de fluxos de recebimento e pagamento da operadora;

b.7) Cálculo de provisões técnicas e Teste de Adequação do Passivo (TAP), conforme as premissas estabelecidas pela ANS;

b.8) Acompanhamento de processos judiciais e suas estimativas de valores a partir de histórico de perdas;

b.9) Transações com partes relacionadas e adiantamentos;

b.10) Relacionamento com prestadores e outros fornecedores;

b.11) Gestão de Tecnologia da Informação; e

b.12) Gestão da continuidade dos contratos.

c. o apetite ao risco da operadora, descrevendo, de forma qualitativa, os riscos que a operadora deve assumir ou evitar, e de forma quantitativa, a perda financeira ou de valor que considera aceitável frente aos riscos assumidos e sua capacidade financeira para alcance de seus objetivos estratégicos;

d. as competências de cada área na gestão de riscos e dos controles internos da operadora; e

e. os processos e sistemas para identificar e monitorar os riscos decorrentes das suas atividades, incluindo os referentes a qualidade de dados, segurança de informação, tecnologia da informação e prestadores serviços de saúde, bem como comercialização e canais de vendas.

2.2 A(s) política(s) de gestão de riscos aprovada(s) pelo conselho de administração ou equivalente devem ser divulgadas em todos os níveis gerenciais da operadora e acessíveis a todos os funcionários e colaboradores da operadora.

2.3 A(s) área(s) responsável(is) pela execução de atividades de gestão de riscos deve(m) produzir relatório(s) periódico(s), no mínimo anual, descrevendo os principais riscos identificados, sua análise, avaliação, opções de monitoramento e recomendações de tratamentos, levando em consideração a(s) política(s), os controles e as estruturas internas da operadora.

2.3.1 O(s) relatório(s) que trata o item 2.3 deve(m) ser apresentado(s) à(s) diretoria(s) executiva(s) e submetido ao conselho de administração ou equivalente, bem como ao órgão definido na alínea "c" do item 1.1 deste Anexo, para formulação de plano de tratamento de riscos a ser deliberado, estabelecendo:

a. responsáveis pela implementação do plano;

b. ações a serem implementadas;

c. recursos requeridos, incluindo contingências;

d. medidas de desempenho e restrições;

e. requisitos para apresentação de informações e de monitoramento; e

f. cronograma e programação das ações.

3. Auditoria interna

3.1 A operadora deve possuir unidade específica responsável, ligada diretamente ao conselho de administração, órgão equivalente ou comitê de auditoria, pela função de auditoria interna para avaliação de processos de gestão de riscos, sistemas de controles internos, mecanismos e procedimentos internos da operadora para cumprimento de leis, resoluções, regimentos e regulamentos. A atividade de auditoria interna deve dispor das condições necessárias para a avaliação independente, autônoma e imparcial da qualidade e da efetividade dos sistemas e processos de controles internos, gerenciamento de riscos da operadora.

3.1.1 A função de auditoria interna poderá ser realizada por auditor designado (próprio ou terceirizado) registrado no respectivo CRC e na CVM, com dever de se reportar ao conselho de administração ou órgão semelhante, desde que este não seja responsável pela auditoria das demonstrações financeiras ou contratado para outra atividade da operadora sujeita ao escopo da auditoria interna. Em caso de terceirização dessa função, os serviços de auditoria interna não devem ser exercidos pela mesma empresa que presta serviços de auditoria independente para fins de verificação de processos de governança, gestão de riscos e controles internos de que trata esta Resolução Normativa.

3.2 Os responsáveis pela atividade de auditoria interna da operadora devem elaborar e manter regulamento específico da atividade de auditoria interna, aprovado ao menos pelo conselho de administração ou órgão equivalente da operadora, prevendo, no mínimo:

a. Objetivo e escopo da atividade, inclusive considerando atividades e funções terceirizadas pela operadora;

b. Atribuições e responsabilidades da equipe de auditoria, bem como requisitos e vedações aplicáveis, em especial ao líder ou chefe da equipe;

c. Descrição das atividades a serem desenvolvidas com previsão de elaboração, no mínimo, de Plano e Relatório Anuais, e observância das normas e procedimentos de auditoria determinados pelo CFC (quando auditor for interno);

d. Segregação da atividade de auditoria interna das atividades auditadas;

e. Canal(is) de comunicação para relato de apontamentos e avaliações decorrentes dos trabalhos de auditoria;

f. Procedimentos para coordenação da atividade de auditoria interna com a auditoria independente; e

g. Requisitos e vedações para exercício da função de auditoria interna na operadora.

3.3 O conselho de administração ou órgão equivalente da operadora deverá aprovar o plano anual de auditoria interna, bem como tomar ciência de todos o(s) relatório(s) de auditoria interna elaborados durante o exercício.

3.3.1 O(s) relatório(s) de auditoria interna elaborados durante o exercício deve(m) considerar o monitoramento, junto às áreas responsáveis, do andamento das ações de melhorias ou correções de procedimentos que tenham sido deliberados pelo conselho de administração ou órgão equivalente em decorrência dos programas de integridade aprovados, relatórios de auditoria interna e de outros órgãos de controles internos, gestão de riscos, atuário responsável e auditoria independente.

ANEXO IV

Relação de indicadores mínimos para monitoramento da situação econômico-financeira da operadora

1. Margem de Lucro Líquida (MLL)

Mostra a relação entre o resultado líquido e o total das receitas com operação de planos de saúde (contraprestações efetivas). É calculada pela fórmula:

MLL =

Resultado Líquido

Contraprestações Efetivas

2. Retorno sobre o Patrimônio Líquido (ROE)

Mostra a relação entre o resultado líquido e o patrimônio líquido. É calculado pela fórmula:

ROE =

Resultado Líquido

Patrimônio Líquido

3. Sinistralidade ou DM

Mostra a relação entre despesas assistenciais ou médicas, acrescidas do valor absoluto das contraprestações de corresponsabilidade cedida (CCT); e o total das receitas com contraprestações efetivas (ou operação de planos de saúde), acrescido do valor absoluto das contraprestações de corresponsabilidade cedida. É calculada pela fórmula:

SINISTRALIDADE =

Eventos Indenizáveis Líquidos +|CCT|

Contraprestações Efetivas + |CCT|

4. Percentual de Despesas Administrativas em relação às Receitas de Contraprestações (DA)

Mostra a relação entre despesas administrativas e o total das receitas com contraprestações efetivas (ou operação de planos de saúde), acrescidas do valor absoluto das contraprestações de corresponsabilidade cedida. É calculado pela fórmula:

DA =

Despesa Administrativa

Contraprestações Efetivas + |CCT|

5. Percentual de Despesa Comercial em relação à Receita de Contraprestações (DC)

Mostra a relação entre despesas comerciais e o total das receitas com contraprestações efetivas (ou operação de planos de saúde), acrescido do valor absoluto das contraprestações de corresponsabilidade cedida. É calculado pela fórmula:

DC =

Despesa Comercial

Contraprestações Efetivas 1 + |CCT|

6. Percentual de Despesas Operacionais em relação às Receitas Operacionais

Mostra a relação entre despesas operacionais (assistenciais ou eventos indenizáveis líquidos, comerciais, administrativas e outras despesas operacionais), acrescidas do valor absoluto das contraprestações de corresponsabilidade cedida, e o total das receitas operacionais (receitas de contraprestações relacionadas a operações de planos de saúde e outras receitas operacionais), acrescidas do valor absoluto das contraprestações de corresponsabilidade cedida. É calculado pela fórmula:

DOP =

Eventos Indenizáveis Líquidos+|CCT|+Despesa Comercial+Despesa Administrativa+Outras Despesas Operacionais

Contraprestações Efetivas+|CCT|+Outras Receitas Operacionais

7. Índice de Resultado Financeiro (IRF)

Mostra a relação entre o resultado financeiro líquido e o total das receitas com contraprestações efetivas (ou operação de planos de saúde), acrescidas do valor absoluto das contraprestações de corresponsabilidade cedida. É calculado pela fórmula:

IRF =

Resultado Financeiro Líquido

Contraprestações Efetivas 1 + |CCT|

8. Liquidez Corrente (LC)

Mostra a relação entre os ativos conversíveis em dinheiro no curto prazo e as dívidas de curto prazo:

LC =

Ativo circulante

Passivo Circulante

9. Capital de terceiros sobre o Capital próprio (CT/CP)

Representa a relação entre o total das dívidas e o Patrimônio líquido:

CT/CP =

Passivo Circulante + Passivo Não Circulante

Patrimônio Líquido

10. Prazo Médio de Contraprestações a receber (PMCR)

Representa o tempo médio que a operadora leva para receber os créditos de operações de saúde, já descontada a provisão para perdas sobre créditos (PPSC):

PMCR =

Crédito ops de saúde

X 360

Contraprestações Efetivas

11. Prazo Médio de Pagamento de Eventos (PMPE)

Representa o tempo médio que a operadora leva para pagar aos prestadores o que já foi avisado:

PMPE =

Eventos a Liquidar

X 360

Eventos Indenizáveis Líquidos

12. Variação de Custos (VC)

Representa a variação dos custos relacionados a assistência à saúde entre um período e outro. Calculado pela fórmula, separadamente para eventos indenizáveis médico-hospitalares e odontológicos:s

VC =

Eventos Indenizáveis per capita do ano atual

-1

Eventos Indenizáveis per capita do ano anterior

onde:

Eventos indenizáveis per capita de cada ano =

Eventos indenizáveis Líquidos+|CCT|- Variação da PEONA

Total de Benefícios

Obs: Total de beneficiários corresponde ao somatório da quantidade de vínculos de beneficiários apurados nos 12 meses de cada ano.

13. Variação de Custos Assistenciais do Contrato Estipulado (para Administradoras de Benefícios)

Representa a variação dos custos relacionados a assistência à saúde entre um período e outro. Calculado pela fórmula, separadamente para cada contrato estipulado:

VC =

Evento Indenizável do Contrato Estipulado per capita do ano atual

-1

Eventos Indenizáveis do Contrato Estipulado per capita do ano anterior

onde:

Eventos indenizáveis do Contrato Estipulado per capita de cada ano =

Eventos Indenizáveis Líquidos + /CCT/ - Variação da PEONA

Total de Beneficiários do Contrato Estipulado

Obs: Total de beneficiários corresponde ao somatório da quantidade de vínculos de beneficiários apurados nos 12 meses de cada ano.

ANEXO V

Descrição dos Procedimentos Previamente Acordados que devem ser executados para verificação do cumprimento dos requisitos constantes no Anexo I

1. Obter, da administração da operadora, os atos constitutivos da operadora e a estrutura corporativa de gestão de riscos. Verificar se os relatórios citados no item 1.1.1 do Anexo I foram formalmente comunicados à administração da operadora.

2. Obter, da administração da operadora, relatório de acompanhamento dos últimos 12 meses, da implementação das recomendações de melhorias de controles internos efetuados pela auditoria externa, auditoria interna, atuário responsável, outros órgãos consultivos ou de controle e fiscalização internos e órgão regulador, e verificar:

a. se todas as recomendações formais originalmente propostas nos documentos listados no item 1.1.1 do Anexo I estão sendo cumpridas;

b. se alguma das recomendações de melhoria de controles internos foi desconsiderada ou considerada como imaterial sem uma justificativa formalmente documentada pela administração da operadora; e

c. se alguma das deficiências de controles internos identificadas pela auditoria externa, auditoria interna e órgão regulador no exercício corrente, refere-se a uma das recomendações de melhorias de controles internos considerada como implementada no exercício anterior.

3. Obter, da administração da operadora supervisionada, as atas das reuniões formais das estruturas internas de fiscalização e controle (conselhos ou comitês) e decisórias da administração da operadora ou, no caso de inexistência de conselhos de administração ou instância(s) equivalente(s), das reuniões com proprietários, que comprovam que os seguintes assuntos foram formalmente avaliados:

a. Situação econômico-financeira da operadora supervisionada, no mínimo semestralmente, considerando todos os requisitos previstos nas alíneas "a" e "b" do item 2.1 do Anexo I; e

b. Práticas de gestão dos riscos de subscrição, de crédito, de mercado, legal e operacionais, no mínimo anualmente, considerando todos os requisitos previstos nos itens 3.1 a 3.3 e conforme considerações do item 3.4, todos do Anexo I.

4. Considerando os procedimentos 1 a 3 do presente anexo, o auditor deve responder ao seguinte questionamento: A operadora demonstrou o cumprimento de todos os requisitos constantes do Anexo I?

( ) SIM

( ) NÃO. Em caso negativo, as exceções identificadas pelo auditor externo na realização dos procedimentos previamente acordados descritos neste anexo devem ser informadas e vir acompanhadas dos comentários da administração da operadora.

ANEXO VI

Descrição dos Procedimentos Previamente Acordados que devem ser executados para verificação do cumprimento dos requisitos constantes no Anexo II (para administradoras de benefícios)

1. Obter, da administração da administradora de benefíscios, os atos constitutivos da administradora de benefícios e a estrutura corporativa de gestão de riscos. Verificar se os relatórios citados no item 1.1.1 do Anexo II foram formalmente comunicados à administração da administradora de benefícios.

2. Obter, da administração da administradora de benefícios, relatório de acompanhamento dos últimos 12 meses, da implementação das recomendações de melhorias de controles internos efetuados pela auditoria externa, auditoria interna, atuário responsável, outros órgãos consultivos ou de controle e fiscalização internos e órgão regulador, e verificar:

a. se todas as recomendações formais originalmente propostas nos documentos listados no item 1.1.1 do Anexo II estão sendo cumpridas;

b. se alguma das recomendações de melhoria de controles internos foi desconsiderada ou considerada como imaterial sem uma justificativa formalmente documentada pela administração da administradora de benefícios; e

c. se alguma das deficiências de controles internos identificadas pela auditoria externa, auditoria interna e órgão regulador no exercício corrente, refere-se a uma das recomendações de melhorias de controles internos considerada como implementada no exercício anterior.

3. Obter, da administração da administradora de benefícios supervisionada, as atas das reuniões formais das estruturas internas de fiscalização e controle (conselhos ou comitês) e decisórias da administração da administradora de benefícios ou, no caso de inexistência de conselhos de administração ou instância(s) equivalente(s), das reuniões com proprietários, que comprovam que os seguintes assuntos foram formalmente avaliados:

a. Situação econômico-financeira da administradora de benefícios supervisionada, no mínimo semestralmente, considerando todos os requisitos previstos nas alíneas "a" e "b" do item 2.1 do Anexo II; e

b. Práticas de gestão dos riscos de crédito, de mercado, legal e operacionais, no mínimo anualmente, considerando todos os requisitos previstos nos itens 3.1 a 3.2 e conforme considerações do item 3.3, todos do Anexo II.

4. Obter, da administração da administradora de benefícios, evidências de que a variação do custo assistencial do respectivo contrato estipulado, na forma do item 13 do Anexo IV, foi divulgada ao beneficiário, por qualquer meio que assegure a ciência deste.

5. Considerando os procedimentos 1 a 4 do presente anexo, o auditor deve responder ao seguinte questionamento: A administradora de benefícios demonstrou o cumprimento de todos os requisitos constantes do Anexo II?

( ) SIM.

( ) NÃO. Em caso negativo, as exceções identificadas pelo auditor externo na realização dos procedimentos previamente acordados descritos neste anexo devem ser informadas e vir acompanhadas dos comentários da administração da administradora de benefícios.

ANEXO VII

Descrição dos Procedimentos Previamente Acordados que devem ser executados para verificação do cumprimento dos requisitos constantes no Anexo III

1. Obter, da administração da operadora, os atos constitutivos da operadora. Verificar a existência de estruturas e funções previstas nas alíneas "a" a "c" do item 1.1 do Anexo III.

2. Obter, da administração da operadora, as documentações que comprovam a aprovação formal, pelo(s) órgão(s) de governança interno(s), das normas de conduta e de ética, e inspecionar a documentação que evidencie sua divulgação, pelo menos, aos colaboradores, aos prestadores e aos beneficiários.

3. Obter, da administração da operadora, a(s) ata(s) de reunião(ões) formal(is) que comprova(m) que as demonstrações financeiras referentes ao balanço patrimonial e a demonstração de resultado acumulados até 30 de junho do exercício corrente, acompanhadas de relatório de revisão limitada de auditoria independente referente a tais demonstrações contábeis, foram revisadas e aprovadas para a divulgação pelo conselho de administração ou instância equivalente; pelo conselho fiscal ou instância de controle e fiscalização equivalente; ou pelos proprietários, até 30 de setembro do mesmo exercício.

4. Verificar se as demonstrações financeiras e o relatório de auditoria que tratam o item 3 do presente Anexo foram disponibilizadas no site institucional da operadora.

5. Verificar se a operadora possui: (a) canal de denúncia formalmente aprovado, inspecionar a documentação que comprove sua divulgação, pelo menos, aos colaboradores, aos prestadores e aos beneficiários, com previsão de confidencialidade e anonimato; (b) normas internas de prevenção de lavagem de dinheiro, de atos lesivos à administração pública e de prevenção a operações financeiras constantes do art. 21 da Lei nº 9.656, de 1998, formalmente aprovadas e inspecionar os relatórios de acompanhamento e monitoramento, emitidos no exercício, para comprovar o acompanhamento por parte da operadora de sua implementação.

6. Verificar se a operadora possui um programa de treinamento formal e implementado que considere, no mínimo, os seguintes assuntos: (a) normas de conduta e ética; (b) normas de prevenção de lavagem de dinheiro; (c) Lei n⁰ 9.656, de 1998 e (d) Lei n⁰ 12.846, de 1º de agosto de 2013. Inspecionar a definição de público-alvo e sua periodicidade.

7. Verificar se a operadora mantém disponível a todos os seus funcionários e colaboradores canais internos de divulgação de treinamentos, estruturas de governança e outros aspectos institucionais, bem como de recepção de sugestões de melhorias de procedimentos e rotinas internos.

8. Obter, da administração da operadora, a(s) política(s) de gestão de riscos e de controles internos, aprovada(s) e revisada(s) formalmente pelo conselho de administração ou instância equivalente. Verificar se a(s) política(s) observa(m) os requisitos constantes das alíneas "a" a "e" do item 2.1 do Anexo III.

9. Verificar se a operadora divulga as políticas de gestão de riscos e controles internos aprovadas pelo conselho de administração ou instância equivalente, no mínimo, nos canais internos verificados no item 7 do presente Anexo.

10. Obter, da administração da operadora supervisionada, a estrutura corporativa de gestão de riscos. Verificar se a área responsável pela execução de atividades de gestão de riscos na estrutura corporativa elabora relatório periódico (no mínimo, anualmente) com a descrição, análise, avaliação, opções de monitoramento e recomendação de tratamento dos riscos identificados.

11. Verificar, pela leitura das atas formais elaboradas pela operadora, se o relatório mencionado no item 10 acima foi analisado pelo conselho de administração, pelo conselho fiscal, pelo comitê de auditoria ou pelos acionistas/cotistas, com deliberação de plano de tratamento de riscos contendo o disposto nas alíneas "a" a f" do item 2.3.1 do Anexo III.

12. Obter, da administração da operadora, informações sobre a estrutura societária e corporativa (organograma). Verificar se a operadora supervisionada possui um departamento de auditoria interna (próprio ou terceirizado) formalmente constituído. Obter os atos constitutivos/regulamento da unidade específica responsável pela auditoria interna, formalmente aprovados, e verificar:

a. se unidade está subordinado ao conselho de administração ou instância equivalente;

b. se, realizada a auditoria por auditor designado (próprio ou terceirizado), este é registrado no respectivo Conselho Regional de Contabilidade e na CVM;

c. se, realizada a auditoria por auditor independente ou empresa que presta o serviço de auditoria independente, que nenhum deles seja responsável igualmente pela auditoria das demonstrações financeiras ou preste outro serviço para a operadora sujeita ao escopo da auditoria interna; e

d. se o ato constitutivo/regulamento da unidade responsável pela auditoria interna considera o disposto no item 3.2 do Anexo III e suas alíneas.

13. Obter o plano das atividades de auditoria interna para o exercício corrente e a(s) ata(s) formal(is) da sua aprovação pelo conselho de administração ou instância equivalente, pelo conselho fiscal ou instância equivalente, e pelo comitê de auditoria (caso existente na estrutura de governança da operadora).

14. Verificar se o(s) relatório(s) anual de auditoria interna elaborados durante o último exercício foi submetido à ciência do conselho de administração, ou instância equivalente, e considera o monitoramento, junto às áreas responsáveis, do andamento das ações de melhorias ou correções de procedimentos que tenham sido anteriormente deliberadas, em decorrência dos programas de integridade aprovados, relatórios de auditoria interna anteriores e de outros órgãos de controles internos, gestão de riscos, atuário responsável e auditoria independente.

15. Obter, da administração da operadora supervisionada, as evidências que o plano de atividades de auditoria interna, mencionado nos itens 13 e 14 acima, assim como os relatórios finais emitidos para o último exercício completo foram, formalmente, disponibilizados para o auditor externo.

16. Considerando os procedimentos 1 a 15 do presente anexo, o auditor deve responder ao seguinte questionamento: A operadora demonstrou o cumprimento de todos os requisitos constantes do Anexo III?

( ) SIM.

( ) NÃO. Em caso negativo, as exceções identificadas pelo auditor externo na realização dos procedimentos previamente acordados descritos neste anexo devem ser informadas e vir acompanhadas dos comentários da administração da operadora.

 

Saúde Legis - Sistema de Legislação da Saúde