FACULDADE DE ECONOMIA E FINANÇAS IBMEC PROGRAMA DE PÓS-GRADUAÇÃO E PESQUISA EM ADMINISTRAÇÃO E ECONOMIA PROJETO DE DISSERTAÇÃO DE MESTRADO PROFISSIONALIZANTE EM ADMINISTRAÇÃO GESTÃO DE RISCOS CORPORATIVOS: UMA ABORDAGEM PARA OPERADORAS DE PLANOS DE SAÚDE WASHINGTON OLIVEIRA ALVES ORIENTADOR: PROF. DR. ANTÔNIO MARCOS DUARTE JR. Rio de Janeiro, 28 de março de 2011 “GESTÃO DE RISCOS CORPORATIVOS: UMA ABORDAGEM PARA OPERADORAS DE PLANOS DE SAÚDE” WASHINGTON OLIVEIRA ALVES Dissertação apresentada ao curso de Mestrado Profissionalizante em Administração como requisito parcial para obtenção do Grau de Mestre em Administração. Área de Concentração: Gestão de Riscos, Administração Geral. ORIENTADOR: PROF. DR. ANTÔNIO MARCOS DUARTE JR. Rio de Janeiro, 28 de março de 2011 FICHA CATALOGRÁFICA M 658.4 Alves,Washington Oliveira. A223s Gestão de Riscos Corporativos: Uma Abordagem para Operadoras de Planos de Saúde. /Washington Oliveira Alves – Rio de Janeiro: Faculdades Ibmec, 2011. 119p. Dissertação apresentada ao Curso de Mestrado Profissionalizante em Administração como requisito parcial para obtenção do grau de Mestre em Administração. Área de Concentração: Administração Geral Orientador: Prof. Dr. Antônio Marcos Duarte Jr. 1. Operadoras de Planos de Saúde – Gestão de Riscos Corporativos 2. Regulação – Ambientes regulamentares 3. Saúde Suplementar. I. Alves, Washington. II. Duarte Jr, Antônio Marcos. III. Gestão de Riscos Corporativos: Uma Abordagem para Operadoras de Planos de Saúde. DEDICATÓRIA Aos meus pais, que sempre prezaram e incentivaram meu avanço nos estudos e no campo profissional, à minha esposa Michelle, meus enteados Lucas e Juliana pela paciência, compreensão e amor que me inspiram a continuar em família, aos meus irmãos Werbet e Willame e à minha avó Mãe Quinha por todo o apoio que sempre me proporcionaram. À minha filha Isabella, cuja alegria e expectativa pela chegada eu tive que, muitas vezes, conter para poder me concentrar neste trabalho. v AGRADECIMENTOS Aos professores do IBMEC, em especial ao professor Antônio Duarte, pelas valiosas recomendações e por toda a ajuda e conhecimento transmitidos ao longo do mestrado que possibilitaram a conclusão desta dissertação. Aos meus colegas de trabalho na Agência Nacional de Saúde Suplementar, em especial à equipe de atuários da Diretoria de Normas e Habilitação das Operadoras, que sempre me apoiaram e ajudaram em diversos momentos ao longo do curso cada um à sua maneira. Com certeza este desafio seria mais difícil sem a ajuda de vocês. À toda minha família pelo apoio e inspiração para continuar seguindo em frente ao longo dos anos. vi RESUMO Faz parte da natureza de uma empresa que comercializa planos de saúde – ou operadora de planos de assistência à saúde - assumir riscos. Receber um valor mensal pré-estabelecido para garantir cobertura de serviços de saúde cujo custo ainda não é conhecido e não pode ser limitado por instrumentos contratuais é, sem dúvida, uma operação que oferece riscos significativos a qualquer empresa. Neste contexto, conhecer os riscos mais relevantes a que estão expostos e gerenciá-los de forma a garantir a continuidade do negócio é um desafio constante para os administradores destas empresas, e não podem ser ignorados na sua estratégia de negócio. Esta dissertação tem como objetivo contribuir com o desenvolvimento do tema gestão de risco nas operadoras brasileiras de planos de assistência à saúde por meio de uma revisão dos principais conceitos relacionados à gestão de riscos corporativos, identificando os passos necessários para implementação de um processo de gestão integrada de riscos corporativos nas empresas que atuam no setor de saúde suplementar e, apresentando possíveis aperfeiçoamentos que podem ser esperados para a regulamentação atual do setor a partir de uma análise comparativa do seu ambiente regulamentar em relação a outros setores regulados semelhantes. Palavras Chave: Gestão de riscos; Operadoras de planos de assistência à saúde; saúde suplementar; regulação; ambiente regulamentar. vii ABSTRACT Taking risks is part of the health plan companies' nature. Receive a monthly pre-established amount of money to ensure health services coverage whose cost is not known and can not be limited by contractual instruments is, indeed, an operation that offers significant risks to any company. In this context, identifying and managing relevant risks that could affect these companies are constant challenges for managers in order to ensure business continuity, and this can not be ignored in their business strategy. This work aims to contribute to the development of the risk management theme in Brazilian health plans companies by reviewing key concepts related to enterprise risk management, identifying the steps needed to implement an integrated enterprise risk management process in such companies, and presenting possible improvements that can be expected for the current regulation of the sector from a analysis of its regulatory environment compared to similar industries. Key words: Risk management, health plans companies, private health care, regulation. viii LISTA DE FIGURAS Figura 1 - Relação entre os componentes da gestão de risco, categorias dos objetivos e níveis segundo COSO..........................................................................................................................18 Figura 2 - Matriz de Risco para a avaliação de perfil de risco..................................................24 Figura 3 - Sistema de três pilares de Basiléia II........................................................................31 Figura 4 – Resumo esquemático do processo de gestão de riscos corporativos para OPS.......78 ix LISTA DE GRÁFICOS Gráfico 1 - Distribuição percentual de empresas, beneficiários e receita por modalidade.......11 Gráfico 2 - Total de Operadoras em atividade por porte – setembro/2010...............................15 x LISTA DE TABELAS Tabela 1 - Distribuição de empresas, beneficiários e receita por modalidade..........................11 Tabela 2 - Estágio de maturidade de gestão de riscos...............................................................21 Tabela 3 – Exemplo de lista de risco hipotética para bancos....................................................21 xi LISTA DE ABREVIATURAS ANS Agência Nacional de Saúde Suplementar BCB Banco Central do Brasil BIS Bank for International Settlements CEO Chief Executive Officer CFC Conselho Federal de Contabilidade CFO Chief Financial Officer CMN Conselho Monetário Nacional CNPC Conselho Nacional de Previdência Complementar CNSP Conselho Nacional de Seguros Privados COAF Conselho de Controle de Atividades Financeiras CONSU Conselho Saúde Suplementar COSO Committee of Sponsoring Organizations of the Treadway Commission CRO Chief Risk Officer CVM Comissão de Valores Mobiliários DIOPE Diretoria de Normas e Habilitação das Operadoras DIOPS Documento de Informações Periódicas das Operadoras de Planos de Assistência à Saúde FEBRABAN Federação Brasileira de Bancos xii FIP Formulário de Informações Periódicas IAA International Actuarial Association IAIS International Association of Insurance Supervisors IBGC Instituto Brasileiro de Governança Corporativa IBRACON Instituto dos Auditores Independentes do Brasil IFT Documento de Informações Financeiras Trimestrais IN Instrução Normativa NACB Novo Acordo de Capital de Basiléia OPS Operadora de Planos de Saúde PCAOB Public Company Accounting Oversight Board PREVIC Superintendência Nacional de Previdência Complementar RN Resolução Normativa SEC Securities and Exchange Commission SFN Sistema Financeiro Nacional SOx Lei Sarbanes-Oxley SUSEP Superintendência de Seguros Privados TISS Padrão de Troca de Informação em Saúde Suplementar xiii SUMÁRIO 1 INTRODUÇÃO ................................................................................................................ 16 ..1 1.1 OBJETIVOS ........................................................................................................................................ 3 1.2 RELEVÂNCIA OU JUSTIFICATIVA............................................................................................... 4 1.3 ESTRUTURA DA DISSERTAÇÃO ................................................................................................... 7 2 AS OPERADORAS DE PLANOS DE SAÚDE ............................................................... 9 3 GESTÃO DE RISCOS CORPORATIVOS ................................................................... 17 4 ASPECTOS REGULATÓRIOS ..................................................................................... 26 4.1 LEI SARBANES-OXLEY ................................................................................................................. 27 4.2 REGULAÇÃO DE BANCOS E SEGURADORAS .......................................................................... 29 4.2.1 Acordos de Basiléia........................................................................................................... 30 4.2.2 Projeto Solvência .............................................................................................................. 32 4.2.3 Regulação dos Bancos no Brasil ........................................................................................ 34 4.2.4 Regulação de Seguros no Brasil ........................................................................................ 37 4.3 REGULAÇÃO DA SAÚDE SUPLEMENTAR ................................................................................ 40 5 ANÁLISE COMPARATIVA........................................................................................... 44 5.1 CONTROLES INTERNOS ............................................................................................................... 45 5.1.1 Controles Internos na SOx ................................................................................................. 46 5.1.2 Controles Internos em Bancos ........................................................................................... 47 5.1.3 Controles Internos em Seguradoras ................................................................................... 48 5.1.4 Controles Internos em OPS ............................................................................................... 51 5.2 TRANSPARÊNCIA ........................................................................................................................... 52 5.2.1 Transparência na SOx ....................................................................................................... 53 5.2.2 Transparência em Bancos .................................................................................................. 55 5.2.3 Transparência em Seguradoras .......................................................................................... 57 5.2.4 Transparência em OPS ...................................................................................................... 60 xiv 5.3 COMITÊ DE AUDITORIA .............................................................................................................. 61 5.3.1 Auditoria na SOx .............................................................................................................. 62 5.3.2 Auditoria em Bancos ......................................................................................................... 63 5.3.3 Auditoria em Seguradoras ................................................................................................. 66 5.3.4 Auditoria em OPS ............................................................................................................. 67 5.4 RESPONSABILIZAÇÃO ................................................................................................................. 68 5.4.1 Responsabilização na SOx................................................................................................. 68 5.4.2 Responsabilização em Bancos e Seguradoras .................................................................... 70 5.4.3 Responsabilização em OPS ............................................................................................... 73 6 CONSIDERAÇÕES SOBRE OS AMBIENTES REGULAMENTARES E GESTÃO DE RISCO ............................................................................................................................... 75 6.1 QUANTO AOS PROCESSOS DE GESTÃO DE RISCOS.............................................................. 75 6.2 QUANTO AOS CONTROLES INTERNOS .................................................................................... 78 6.3 QUANTO À TRANSPARÊNCIA ..................................................................................................... 80 6.4 QUANTO AO COMITÊ DE AUDITORIA ...................................................................................... 82 6.5 QUANTO À RESPONSABILIZAÇÃO ............................................................................................ 84 7 CONCLUSÕES ................................................................................................................. 87 REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................. 90 APÊNDICE – RESUMO DA ANÁLISE COMPARATIVA .............................................. 99 xv 1 INTRODUÇÃO Monitorar riscos que permeiam sua atividade é um desafio em qualquer empresa e ignorá-los pode custar a sua própria existência – casos como o Barings Bank, Metallgesellschaft, Long Term Capital Management, Enron, WorldCom entre outros são citados como exemplos de que a inexistência do gerenciamento de riscos pode extinguir (ou quase extinguir) uma empresa (Duarte Jr., 2003). A mais recente crise financeira demonstrou que apenas a ciência dos riscos a que uma empresa está exposta não é suficiente para trazer segurança, é preciso saber gerenciá-los de forma adequada para evitar perdas (Braumüller, 2009). Não por acaso, desde o final dos anos 80 várias iniciativas de legisladores, instituições privadas e comitês internacionais têm sido implementadas de forma a buscar maior segurança, transparência e convergência às operações de empresas com capital aberto, instituições financeiras e seguros (Lei Sarbanes-Oxley, Acordo - e Novo Acordo - de Capitais da Basiléia, Solvência I e II) exigindo um alto grau de investimento em pessoas e processos para sua adaptação (Zacharias, 2006). Outro fator que contribuiu para maior atenção à análise dos riscos nos últimos anos se deve ao aumento das incertezas diretamente relacionadas à globalização (Otley et al., 1995 apud Berry et al. 2009; Famá e Galdão, 1996). Estudo da IBM Bussiness Services (2008) com 1.200 CFO’s e profissionais seniores de finanças de 79 países demonstraram que 62% dos xvi entrevistados de grandes empresas já se depararam com eventos de risco material e 42% deles admitiram não estar preparados para lidar com a situação. Outros estudos demonstram que o foco da alta administração em riscos e controles e as pressões de reguladores estão entre os principais motivos que explicam a maior atenção dada a este tema nas organizações das mais diversas áreas (Economist Intelligence Unit, 2007; KPMG Brasil, 2008). A implementação de processos de gestão integrada de riscos no cotidiano das empresas tem sido verificada em diversos setores tais como agricultura, indústria química, energia, serviços financeiros e tecnologia com diferentes abordagens (Barton et al., 2002). Neste aspecto, um setor com grande importância para boa parte dos brasileiros ainda está dando passos tímidos: o setor de saúde suplementar. O setor de saúde suplementar é composto principalmente pelas denominadas Operadoras de Planos de Saúde (OPS), que oferecem contratos que prevêem a cobertura de custos assistenciais a preço pré ou pós estabelecido, sem limite financeiro, a seus contratantes possibilitando o acesso de assistência à saúde aos seus beneficiários por meio de rede de prestadores de serviços de saúde credenciados, referenciados ou contratados (BRASIL, 1998). Do ponto de vista econômico-financeiro a natureza do negócio assemelha-se àquela de seguros (Guerra, 1998), inclusive se considerarmos a definição de contrato de seguro constante da Lei nº 10.406, de 11 de janeiro de 2002 (Novo código civil) que estabelece, em seu artigo 757, que: Pelo contrato de seguro, o segurador se obriga, mediante o pagamento do prêmio, a garantir interesse legítimo do segurado, relativo a pessoa ou a coisa, contra riscos predeterminados. (Novo Código Civil, 2002) 2 Embora possa se reconhecer diferenças entre planos e seguros de saúde e os demais seguros quanto aos seus objetivos (Bahia, 2001), a continuidade das operações de uma empresa que oferece este produto depende em grande parte do mesmo elemento: a capacidade de gerenciar seus riscos de forma a garantir que o total de recursos arrecadados antecipadamente sejam suficientes para custear todas as despesas operacionais e não operacionais e ainda gerar lucro para seus acionistas/cotistas1 (Guerra, 1998). 1.1 OBJETIVOS A literatura científica voltada para saúde no Brasil raramente aborda como o risco influencia a operação de uma OPS, ou como ele é gerido. Face a escassez de pesquisas no setor de saúde suplementar que tratam da gestão de riscos de forma integrada, a presente dissertação tem como objetivo contribuir com o desenvolvimento do tema nas empresas que operam planos de saúde. O presente trabalho pretende identificar, de forma introdutória, os passos necessários para implementação dos processos de gestão de riscos corporativos nas empresas operam no setor de saúde suplementar a partir da experiência de outras empresas e das recomendações de algumas das principais instituições que tratam do assunto como o Instituto Brasileiro de Governança Corporativa (IBGC), Committee of Sponsoring Organizations of the Treadway Commission (COSO), International Association of Insurance Supervisors (IAIS) e International Actuarial Association (IAA). Considerando que as pressões regulamentares estão entre os principais fatores que influenciam a gestão de risco nas empresas (Economist Intelligence Unit, 2007), o presente 1 Algumas OPS que operam planos de saúde são entidades sem fins lucrativos e as sobras apuradas não são necessariamente distribuídas entre os acionistas/cotistas, podendo ser reinvestidas no negócio. 3 trabalho apresenta uma análise comparativa do ambiente regulamentar do setor em que atuam as OPS em relação às seguradoras, bancos no Brasil e a legislação americana, tomando como base aspectos essenciais para a gestão de riscos corporativos que foram explorados por Zacharias (2006) em seu estudo sobre a Lei Sarbanes-Oxley: controles internos; transparência; comitê de auditoria; e responsabilização. Tal análise busca identificar, com base na experiência de outros setores regulados, possíveis aperfeiçoamentos futuros na legislação atual de saúde suplementar relacionada à gestão de riscos. 1.2 RELEVÂNCIA OU JUSTIFICATIVA As OPS fazem parte de um setor da economia que, embora exista há alguns anos, apenas a partir da publicação da Lei nº 9.656, de 3 de junho de 1998 – também chamada de a “Lei dos Planos de Saúde” - passou a ter um ambiente regulamentar que o identifique e discipline de forma mais estruturada. A referida lei estabeleceu uma série de exigências relacionadas ao atendimento dos beneficiários (carência, cobertura, rede de atendimento, urgência e emergência, etc) e à estrutura e administração financeira das OPS (autorização de funcionamento, reajuste de planos, publicação de demonstrativos financeiros, etc). Além de 44 modificações por medidas provisórias à lei original, o setor ainda foi influenciado diretamente por duas outras leis relevantes que alteraram significativamente a operação das empresas que atuam no setor: Lei nº 9.961, de 28 de janeiro de 2000 – que criou a Agência Nacional de Saúde Suplementar (ANS) e a definiu como o regulador das OPS; 4 Lei nº 10.185, de 12 de fevereiro de 2001 – que estabeleceu a especialização das sociedades seguradoras que comercializavam seguros saúde equiparandoas às demais OPS - inclusive para fins de regulação que até então era feito pela Superintendência de Seguros Privados (SUSEP). Cumprindo seu papel de regulador, a ANS publicou uma série de regulamentações infralegais que estabelecem exigências e restrições à operação de planos de saúde tais como: encaminhamento periódico de informações econômico-financeiras, cadastrais e assistenciais; limitação de reajuste de planos, especialmente para os contratos com pessoas físicas (ou individuais); regras que disciplinam a forma de registro e divulgação das demonstrações financeiras; obrigatoriedade de padrão para troca de informação entre operadora e prestadores (Padrão de troca de Informação em Saúde Suplementar - TISS); possibilidade de migração de planos sem cumprimento de carências em certas circunstâncias (portabilidade); regras para cobertura de doenças preexistentes; exigência de garantias financeiras; entre outras. O setor também sofre influência do judiciário devido à convivência entre os planos comercializados antes da publicação da “Lei dos Planos de Saúde”, cujos contratos possuíam uma série de restrições contratuais. Neste caso, não é raro observar a concessão de liminares que possibilitam a cobertura de procedimentos que não estavam previstos originalmente nos contratos anteriores (Agostini, 2007). Fatores como inflação médica, incorporação de novas tecnologias em saúde e o envelhecimento da população, tendem a pressionar os custos destas empresas (Ocké-Reis, Andreazzi e Silveira; 2006), tendo como conseqüência, além do aumento da dificuldade em atender aos requisitos estruturais do regulador, um elevado número de saídas de empresas no 5 setor – de 1999 a setembro de 2010, o total de OPS com registros reduziu de pouco mais de 2.600 para os atuais 1626 (ANS, 2010a). A implementação de processos de gestão de riscos pode contribuir fortemente para a gestão das OPS à medida que produzam informações qualitativas e quantitativas para a tomada de decisão estratégica quanto a aspectos que podem colocar em risco a continuidade das operações da empresa tais como potenciais perdas com produtos comercializados, discussões judiciais, crédito, aplicações financeiras, etc. Além disso, a regulação do setor de saúde suplementar possibilita que as OPS substituam a exigência de capital regulatório (denominada margem de solvência) determinada pelo regulador por um modelo próprio baseado nos seus riscos (Instrução Normativa DIOPE nº 14, de 27 de dezembro de 2007) aprovado pela ANS. A possibilidade apresentada pela ANS é, sem dúvida, um incentivo a mais para a introdução de processos de gestão de riscos no setor, a exemplo do que já ocorre em outros setores regulados como o de seguros e bancos. A utilização destes modelos para fins de cálculo do capital regulatório – também chamados de modelos de capital econômico ou modelos internos - tem ocupado importantes fóruns de discussão entre reguladores (IAIS, 2008) e envolvem o desenvolvimento de técnicas de modelagem matemática, testes de cenários e outros métodos mais sofisticados que, na verdade, são derivados de um amadurecimento efetivo do processo de gestão de riscos corporativos nas empresas (IAA, 2009). Assim, a implementação de processos de gestão de riscos, além de representar um passo importante para melhoria da gestão Das operadoras de planos de saúde, também pode 6 contribuir para o desenvolvimento de modelos internos que atendam à regulamentação vigente no setor em que atuam. 1.3 ESTRUTURA DA DISSERTAÇÃO A dissertação é dividida em 7 partes. A primeira visa apresentar uma visão introdutória do trabalho de forma a descrever seus objetivos, a justificativa e relevância do tema pesquisado. A segunda parte tem como objetivo descrever as operadoras de planos de saúde, como é sua atuação no país e suas principais características. A terceira parte dedica-se a uma revisão da literatura sobre gestão de riscos corporativos com foco no seu conceito, pré-requisitos para sua implementação e os efeitos observados nas empresas que implementaram tal processo. Na quarta parte procedemos com uma avaliação dos aspectos regulatórios que influenciam a gestão de riscos corporativos, apresentando os conceitos e principais aspectos tratados nos normativos publicados pelos reguladores de bancos, seguros e de operadoras de planos de saúde no Brasil. A quinta parte visa uma comparação entre o ambiente regulamentar do setor de saúde suplementar, seguradoras e bancos no Brasil e a legislação americana para empresas de capital aberto, tomando como base os aspectos explorados por Zacharias (2006) em sua análise da Lei Sarbanes-Oxley; Na sexta parte apresentam-se as considerações sobre a análise comparativa e revisão da literatura procedidas. 7 Por fim, são apresentadas as principais conclusões do trabalho, limitações observadas e sugestões de pesquisas futuras. 8 2 AS OPERADORAS DE PLANOS DE SAÚDE Segundo a ANS (2010a), atualmente existem cerca de 1.626 OPS registradas, distribuídas em diversas modalidades de operação que agregam mais de 58,6 milhões de vínculos contratuais (cerca de 24,5% da população brasileira2), sendo aproximadamente 47 milhões referentes a contratos de assistência médica e hospitalar e pouco mais de 11,6 milhões de contratos exclusivamente odontológicos. Estas OPS movimentaram um volume de receitas de pouco mais de 65,5 bilhões de reais em 2009. Segundo Guerra (1998), a cadeia de valor das OPS “deve ser encarada sob três perspectivas: da comercialização, da prestação de serviços de saúde e do atendimento como um todo”. A partir destas três dimensões podemos definir alguns processos de negócio essenciais para uma operadora tais como: a venda do produto em si; o atendimento do beneficiário por um prestador de serviço contratado, credenciado ou referenciado e o atendimento do beneficiário pela própria operadora para fins de esclarecimento ou autorização de procedimentos médicos, entretanto, a estrutura em que uma OPS foi montada e sua estratégia para gerir o negócio é que definirão como estes macro-processos serão desenhados e controlados internamente. 2 Considerando 47 milhões de beneficiários com contratos de assistência à saúde médico-hospitalar em relação a 191,5 milhões de habitantes – estimativa do IBGE para 2009. Considerou-se que os 11,6 milhões de beneficiários com contratos odontológicos também possuem contratos de assistência à saúde médico-hospitalar. 9 Neste contexto, a regulamentação vigente (ANS, 2000) reconhece as diferenças na estrutura legal das OPS classificando-as nas seguintes modalidades, a saber: Seguradoras Especializadas em Saúde compostas por sociedades seguradoras; Autogestões constituídas por associações, fundações ou grupos fechados que se agrupam para custear seus gastos com saúde de forma solidária e sem fins lucrativos; Cooperativas Médicas e Odontológicas cuja natureza jurídica é de cooperativa de trabalho médico ou odontológico e cujo papel de “acionista” é exercido pelos médicos ou dentistas cooperados, respectivamente, que também são prestadores de serviços; Filantropias, composta de entidades sem fins lucrativas reconhecidas como entidades filantrópicas pelos órgãos competentes; Medicina e Odontologia de Grupo compostas por todas as empresas não classificadas nas demais modalidades; e Administradoras de Benefícios, que são empresas que fazem a intermediação de contratos de outras operadoras com pessoas jurídicas que pretendem oferecer planos de saúde como um benefício aos seus funcionários. Embora operem majoritariamente produtos semelhantes às seguradoras, o setor apresenta uma diversidade de estrutura de operação quando comparado ao mercado segurador. É possível identificar empresas com ou sem fins lucrativos que possuem rede de prestadores de serviços médicos hospitalares, ou odontológicos, próprios e credenciados para atendimento aos 10 beneficiários, bem como empresas que operam planos exclusivamente odontológicos ou em conjunto com planos de assistência médica hospitalar. Conforme consulta aos dados disponibilizados pela ANS, podemos apurar a seguinte distribuição de empresas, beneficiários e receita de acordo com a modalidade: Qtde. Empresas Modalidade Qtde. Beneficiários Receita em 2009 (em milhões) 35 0 0 Administradoras de Benefícios 243 5.343.259 7.574 Autogestões 336 16.192.159 23.228 Cooperativa Médica 129 2.402.731 401 Cooperativa Odontológica 95 1.588.211 1.507 Filantropia 457 18.111.882 19.498 Medicina de Grupo 318 9.339.836 932 Odontologia de Grupo 13 5.684.674 12.404 Seguradoras Especializadas em Saúde 1.626 58.662.752 65.544 Total Tabela 1 - Distribuição de empresas, beneficiários e receita por modalidade Fonte: ANS (2010a) e consulta de beneficiários por operadora disponível no site da ANS 3 40% 35% 30% Qtde. Empresas 25% Qtde. Beneficiários Receita em 2009 (em milhões) 20% 15% 10% 5% 0% Administradoras de Benefícios Autogestões Cooperativa Médica Cooperativa Odontológica Filantropia Medicina de Grupo Odontologia de Grupo Seguradoras Especializadas em Saúde Gráfico 1 - Distribuição percentual de empresas, beneficiários e receita por modalidade Fonte: ANS (2010a) e consulta de beneficiários por operadora disponível no site da ANS 3 A ANS disponibiliza, em sua página na internet, diversos tipos de consultas sobre beneficiários, operadoras e planos privados de saúde pelo acesso a diversos sistemas de informações da ANS por meio do ANS TABNET (http://www.ans.gov.br/anstabnet/anstabnet/materia_novo.htm#) 11 Observam-se alguns aspectos relevantes dos dados anteriores tais como a predominância de OPS na modalidade de medicina de grupo, cooperativa médica, odontologia de grupo e autogestão. As cooperativas médicas e medicina de grupo são as que concentram mais beneficiários e receita, entretanto, as seguradoras especializadas em saúde possuem papel relevante, pois embora existam apenas 13 destas empresas, elas arrecadaram em 2009 quase 20% da receita do setor, agregando mais de 5,6 milhões de beneficiários. Nota-se que o ticket médio mensal4 das cooperativas odontológicas (R$ 13,90) e odontologias de grupo (R$ 8,30) são significativamente menores que as demais operadoras que comercializam produtos com cobertura médico-hospitalar (que variam entre R$ 79,00 e R$ 181,80). Além disso, embora sejam classificadas como operadoras, as administradoras de benefícios – como a definição apresentada neste trabalho esclarece - não operam planos e, portanto, não possuem beneficiários cadastrados. Como pode se observar, o setor apresenta uma grande diversidade de estrutura, o que faz com que os objetivos e a estratégia de gestão dos negócios sejam também diferenciados nos seus diversos segmentos (Bahia, 2001). 4 Quociente entre a média mensal de receita e o número de beneficiários 12 Apesar da diversidade estrutural do setor, os produtos oferecidos por estas empresas são muito semelhantes uma vez que a própria Lei nº 9.656, de 1998, estabeleceu os “módulos” mínimos que poderiam ser comercializados5 por aquelas pessoas jurídicas que atuam no setor. 5 Conforme art. 12 da Lei nº 9.656, de 1998: “Art. 12. São facultadas a oferta, a contratação e a vigência dos produtos de que tratam o inciso I e o § 1o do art. 1o desta Lei, nas segmentações previstas nos incisos I a IV deste artigo, respeitadas as respectivas amplitudes de cobertura definidas no plano-referência de que trata o art. 10, segundo as seguintes exigências mínimas: I - quando incluir atendimento ambulatorial: a) cobertura de consultas médicas, em número ilimitado, em clínicas básicas e especializadas, reconhecidas pelo Conselho Federal de Medicina; b) cobertura de serviços de apoio diagnóstico, tratamentos e demais procedimentos ambulatoriais, solicitados pelo médico assistente; II - quando incluir internação hospitalar: a) cobertura de internações hospitalares, vedada a limitação de prazo, valor máximo e quantidade, em clínicas básicas e especializadas, reconhecidas pelo Conselho Federal de Medicina, admitindo-se a exclusão dos procedimentos obstétricos; b) cobertura de internações hospitalares em centro de terapia intensiva, ou similar, vedada a limitação de prazo, valor máximo e quantidade, a critério do médico assistente; c) cobertura de despesas referentes a honorários médicos, serviços gerais de enfermagem e alimentação; d) cobertura de exames complementares indispensáveis para o controle da evolução da doença e elucidação diagnóstica, fornecimento de medicamentos, anestésicos, gases medicinais, transfusões e sessões de quimioterapia e radioterapia, conforme prescrição do médico assistente, realizados ou ministrados durante o período de internação hospitalar; e) cobertura de toda e qualquer taxa, incluindo materiais utilizados, assim como da remoção do paciente, comprovadamente necessária, para outro estabelecimento hospitalar, dentro dos limites de abrangência geográfica previstos no contrato, em território brasileiro; e f) cobertura de despesas de acompanhante, no caso de pacientes menores de dezoito anos; III - quando incluir atendimento obstétrico: a) cobertura assistencial ao recém-nascido, filho natural ou adotivo do consumidor, ou de seu dependente, durante os primeiros trinta dias após o parto; b) inscrição assegurada ao recém-nascido, filho natural ou adotivo do consumidor, como dependente, isento do cumprimento dos períodos de carência, desde que a inscrição ocorra no prazo máximo de trinta dias do nascimento ou da adoção; IV - quando incluir atendimento odontológico: a) cobertura de consultas e exames auxiliares ou complementares, solicitados pelo odontólogo assistente; b) cobertura de procedimentos preventivos, de dentística e endodontia; c) cobertura de cirurgias orais menores, assim consideradas as realizadas em ambiente ambulatorial e sem anestesia geral; V - quando fixar períodos de carência: a) prazo máximo de trezentos dias para partos a termo; b) prazo máximo de cento e oitenta dias para os demais casos; c) prazo máximo de vinte e quatro horas para a cobertura dos casos de urgência e emergência; VI - reembolso, em todos os tipos de produtos de que tratam o inciso I e o § 1o do art. 1o desta Lei, nos limites das obrigações contratuais, das despesas efetuadas pelo beneficiário com assistência à saúde, em casos de urgência ou emergência, quando não for possível a utilização dos serviços próprios, contratados, credenciados ou referenciados pelas operadoras, de acordo com a relação de preços de serviços médicos e hospitalares praticados pelo respectivo produto, pagáveis no prazo máximo de trinta dias após a entrega da documentação adequada; VII - inscrição de filho adotivo, menor de doze anos de idade, aproveitando os períodos de carência já cumpridos pelo consumidor adotante.” 13 Outro aspecto que não pode ser ignorado quando se analisam as OPS é o fato de que a Lei 9.656, de 1998, estabeleceu restrições ao repasse de custos aos beneficiários por meio de reajuste das mensalidades quando a contratação é feita por pessoa física (ou contratação individual), no qual prevalece um percentual autorizado pela ANS anualmente. Os contratos feitos por pessoa jurídica (contratos coletivos) podem ter reajuste negociado diretamente com a operadora que oferece o plano. A impossibilidade de livre repasse dos custos para a receita impõe um grande desafio às OPS, uma vez que se observam variações crescentes de custos em saúde e em proporções maiores que a inflação em todo o mundo, em especial na população mais idosa (Ardeo et al, 2004). Neste aspecto, a legislação nacional - mais especificamente a Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso) - veda o aumento das mensalidades por mudança de faixa etária para os idosos, aumentando ainda mais o risco de descasamento entre custos e receitas futuras destas empresas. Neste cenário, a gestão financeira e dos riscos assumem um papel ainda mais essencial para garantia dos objetivos das OPS, pois as restrições ao aumento de receitas futuras em função dos custos – comum em outras indústrias – e a perspectiva de envelhecimento da população, com conseqüente aumento de utilização dos serviços de saúde já são por si só fatores que – se mal administrados - podem levar uma empresa à insolvência. Apesar da gestão financeira de uma OPS ser fundamental para sobrevivência de uma OPS, seus administradores também devem estar atentos constantemente aos principais agentes que interagem em sua operação – beneficiários, corretores/agentes de comercialização, colaboradores/empregados e os prestadores de serviço (médico, hospital, laboratório, clínica) 14 – a fim de garantir não só o controle e a eficiência de seus processos internos, mas também a redução de riscos gerados pelos comportamentos e interesses destes atores (Guerra, 1998). Dentre as empresas que operam planos de saúde há evidências de que o porte da operadora (em termos de quantidade de beneficiários) é proporcional à capacidade de manutenção do seu equilíbrio econômico financeiro e de que as exigências demandadas pela ANS em cumprimento à Lei nº 9.656, de 2008, provocam reestruturações na busca de eficiência mínima para operar no setor (Nogueira, 2004). A partir destes achados é de se esperar que o perfil das empresas ainda sofra uma grande modificação nos próximos anos, haja visa que ainda é possível observar a existência de um número representativo de empresas de pequeno porte, conforme demonstrado pela própria ANS (Gráfico 2). Gráfico 2 – Total de Operadoras em atividade por porte – setembro/2010 Fonte: ANS (2010a) Importante acrescentar que o setor encontra-se em transição no que diz respeito ao atendimento às exigências de garantias financeiras mínimas – cujo prazo de adaptação total é até 2017. Tais exigências são muito semelhantes àquelas exigidas para sociedades 15 seguradoras e consistem na obrigatoriedade de constituição de provisões técnicas e de capital regulatório (ANS, 2007 e 2009). Segundo a regulamentação vigente, as OPS podem utilizar como referência para cálculo do seu capital regulatório (ou, conforme denominado no setor, sua margem de solvência) em substituição àquele estabelecido pela ANS, modelos matemáticos baseado no estudo de seus riscos – ou modelos próprios/internos de riscos – em substituição ao capital (ANS, 2007). A possibilidade de utilização de modelos próprios/internos nas OPS segue uma tendência de regulação observada nas instituições financeiras e nas seguradoras, inclusive no Brasil, decorrentes de esforços de convergência regulatória internacional. Entretanto, ao contrário da implementação deste modelo regulatório nas demais indústrias - fruto de alguns anos de discussão e ainda em processo de evolução – o setor em que atuam as OPS no Brasil ainda encontra-se em transição para regulação de solvência mínima e ainda carece de maturidade no que diz respeito à sua gestão para que sejam obtidas informações de qualidade suficiente para o desenvolvimento de tais modelos (Almeida, 2008). 16 3 GESTÃO DE RISCOS CORPORATIVOS Gestão de riscos corporativos pode ser definida como “um processo realizado pela direção da empresa, gerentes e demais funcionários, incluído na estratégia que permeia toda a empresa, desenhado para identificar potenciais eventos que possam afetá-la, a fim de gerenciar os riscos de acordo com sua propensão ao risco, provendo segurança razoável ao alcance dos objetivos” (tradução livre) (COSO, 2004). Outra definição semelhante encontrada na literatura aborda o tema como o processo de identificação, avaliação, mensuração, monitoramento, controle e mitigação dos riscos em uma empresa (IAIS, 2008). Tal conceito pode ser abordado ainda como um processo sistemático (IAA, 2009), o que reforçaria sua necessidade de continuidade e sistematização (Barton et al., 2002). Na verdade, não há uma abordagem universalmente aceita sobre o tema. A literatura dedicada ao assunto no ramo de seguros, por exemplo, reconhece a existência de dois princípios básicos que emergem das diversas definições: A gestão de riscos corporativos está preocupada com todos os riscos a que uma seguradora está exposta e com a criação de valor aos seus donos ao mesmo tempo em que assegura o cumprimento das obrigações para com os segurados (IAA, 2009). 17 Segundo COSO (2004) o processo de gestão de riscos é constituído de oito componentes relacionados a quatro categorias de objetivos da gestão da organização que permeiam os diversos níveis da entidade. Esta relação é ilustrada em um cubo tridimensional (Figura 1) que divide as quatro categorias de objetivos em colunas que representam os objetivos Estratégico, Operacional, de Comunicação e de Conformidade; em oito linhas que representam as etapas que devem ser consideradas (ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos, resposta ao risco, atividades e controle, informação e comunicação e monitoramento; e por fim, a terceira dimensão do cubo representaria as diversas unidades organizacionais que são influenciadas pelas outras duas dimensões. Figura 1 - Relação entre os componentes da gestão de risco, categorias dos objetivos e níveis Fonte: COSO, 2004 Na visão da IAIS (2008), a gestão de risco fornece uma importante ligação entre a gestão operacional da empresa e seus objetivos e estratégias de negócio e pode ser uma importante ferramenta para mitigar riscos ou mesmo aumentar sua exposição a eles, de forma controlada, a partir de uma alocação adicional de capital suficiente para suportar tais riscos sem comprometer a capacidade de honrar seus compromissos. A IAIS recomenda que a implantação e operação de uma estrutura de gestão de riscos corporativos deve ser conduzida e supervisionada pela alta administração da empresa e que os 18 papéis dos principais responsáveis pela gestão de risco devem ser clarificados e formalizados para todo o corpo funcional a fim de evitar conflitos de interesse. Nos últimos anos, com o surgimento de práticas mais modernas de gestão das organizações com foco em governança corporativa, uma função que cada vez mais aparece na estrutura organizacional das empresas e que geralmente assume o papel de gestor global dos riscos corporativos é a do Chief Risk Officer – CRO, que deve garantir que toda a alta administração e os demais responsáveis pela tomada de decisão estejam munidos da melhor e mais correta informação acerca dos riscos na empresa (Luiz, 2003). A necessidade de uma área com uma visão corporativa também é apontada como fator crucial para centralizar a identificação e classificação dos riscos e a consequente alocação de capital baseado nos riscos (Duarte Jr. e Lélis, 2004). É importante ressaltar ainda que os principais condutores da mudança têm papel fundamental para o sucesso da implementação dos processos de gestão de risco (Barton et al, 2002). Deficiências inerentes aos gestores, mudanças de políticas governamentais, ações dos concorrentes, condições econômicas, conluio de uma ou mais pessoas para burlar o processo de gestão dos riscos contribuem para limitar o sucesso da implantação do processo e não podem ser ignorados (COSO, 2004). Estudos com empresas que implementaram processos de gestão de riscos apontam como um pré-requisito para sua implementação, uma visão de risco corporativa mais ampla e o comprometimento da alta administração, inclusive quando há a utilização de consultores para auxiliar a empresa, sob pena de o trabalho ser considerado como mais um projeto gerencial (Barton et al., 2002). 19 A gestão de riscos deve incorporar meios contínuos de comunicação, baseados em informação de qualidade, gestão de processos e avaliação de objetivos que permitam que a empresa tome ações em tempo hábil para lidar com mudanças no “perfil de risco” da instituição (IAIS, 2008). Aspectos como a melhoria de comunicação, documentação e descrição e unificação de linguagem relacionada aos riscos na organização, incentivos à cultura de gestão de risco e identificação de oportunidades associadas aos riscos apurados são citados como elementos que facilitam a implementação do processo na empresa (IAA, 2009). Duarte Jr. (2005) cita como elementos básicos na implementação de gestão de risco: a cultura para a gestão de risco permeando toda a instituição, a necessidade de pessoal qualificado, capacitado e motivado, controles internos efetivos – independentemente daqueles exigidos pelos reguladores e, por fim, uso de tecnologia adequada para a gestão como auxílio aos outros elementos. Segundo a IAA (2009), diferenças entre os modelos de gestão de risco nas empresas e as características de sua implementação em cada empresa, bem como sua forte relação com ambientes de controles internos, sugerem a existência de um modelo de maturidade no qual se pode avaliar o estágio em que as empresas se encontram, conforme explicitado na tabela a seguir: 20 Sofisticação da Estrutura Definição Atividades de gestão de risco e controles internos existem de forma parcial, são aplicadas de forma inconsistente, pouco Inicial compreendidas pelas gerências e principais funcionários e em poucas áreas de negócio da empresa. Atividades de gestão de risco e controles internos estão Intermediário implantadas, ainda não totalmente aplicadas ou compreendidas pelas gerências e principais funcionários das principais áreas de negócio da empresa. Atividades de gestão de risco e controles internos estão Avançado implantadas, consistentemente aplicadas e bem compreendidas pelas gerências e funcionários de todas as áreas da organização. Neste estágio ainda existem oportunidades de melhoria contínua de forma a alinhar e coordenar as atividades da empresa. Tabela 2 - Estágio de maturidade de gestão de riscos Fonte: IAA, 2009, tradução livre. O primeiro passo a ser seguido na implantação de um processo de gestão de risco é a identificação e avaliação inicial dos riscos mais relevantes para o negócio, estes devem ser agrupados e classificados (Duarte Jr. e Lélis, 2004). Duarte Jr. (2005) fornece uma extensa lista de riscos que pode ser utilizada como referência inicial para uniformizar a linguagem entre os profissionais responsáveis pela identificação e agrupamento dos riscos. Esta lista deve ser classificada em grupos comuns que reflitam a sua essência e sirvam de base para uma visão mais consolidada, conforme exemplificado na Tabela 3. Tabela 3 – Exemplo de lista de risco hipotética para bancos Fonte: Duarte Jr. e Lélis, 2004. 21 Em ramos como seguros, finanças (Duarte Jr., 2005) e planos de saúde (ANS, 2007) há uma convergência para classificar os riscos como: de subscrição ou de seguros – este aplicável ao ramo de seguro e de saúde suplementar; riscos de mercado; risco de crédito; e risco operacional. Outro risco que tem emergido nas discussões entre os reguladores destes setores são os riscos de liquidez (IAIS, 2008). Especificamente no setor de saúde suplementar, a ANS estabelece definições para classificação de risco para fins de modelos próprios/internos. Um aspecto importante a notar é que o risco operacional geralmente engloba o risco legal (Carvalho, 2003; Zeno, 2007), embora a definição estabelecida pelo regulador de saúde suplementar tenha classificado o referido risco de forma segregada conforme as definições transcritas abaixo da IN DIOPE nº 14, de 2007: I - Risco de Crédito: medida de incerteza relacionada à probabilidade da contraparte de uma operação, ou de um emissor de dívida, não honrar, total ou parcialmente, seus compromissos financeiros; II - Risco de Mercado: medida de incerteza, relacionada aos retornos esperados de seus ativos e passivos, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, índices de inflação, preços de imóveis e cotações de ações, ou seja, o comportamento verificado no preço de um bem no dia-a-dia; III - Risco Legal: medida de incerteza relacionada aos retornos de uma Operadora de Planos de Saúde por falta de um completo embasamento legal de suas operações. O Risco Legal é o risco de não-cumprimento de leis, regras, regulamentações, acordos, práticas vigentes ou padrões éticos aplicáveis, considerando, inclusive, o risco de que a natureza do produto/serviço prestado possa tornar a instituição particularmente vulnerável a litígios; IV - Risco de Subscrição: risco oriundo de uma situação econômica adversa que contraria tanto as expectativas da sociedade no momento da elaboração de sua política de subscrição quanto às incertezas existentes na estimação das provisões técnicas. Também envolve a probabilidade dos eventos a serem pagos pela Operadora de Planos de Saúde, em um período futuro, ser maior que o montante de contraprestações a ser recebido; e 22 V - Risco Operacional: compreendem os demais riscos enfrentados pela Operadora de Planos de Saúde, relacionados aos procedimentos internos tais como risco de perda resultante de inadequações ou falhas em processos internos, pessoas e sistemas, ou seja, é qualquer possibilidade de perda originada por falhas na estrutura organizacional, seja ela oriunda de sistemas, procedimentos, recursos humanos ou tecnológicos ou então, pela perda dos valores éticos e corporativos que unem os diferentes elementos. (ANS, 2007) Uma abordagem relevante apresentada pela IAA (2009) postula que a apuração dos riscos pode ser feita por empresa, unidade de negócio ou processos-chave, assemelhando-se às atividades de planejamento de negócios e gerenciamento de projetos e deve conter elementos como: a descrição dos riscos e sua categorização, apuração das causas ou condições que possibilitam a materialização destes riscos, conseqüências financeiras e indiretas (perdas de clientes, penalidades, etc), avaliação de freqüência e severidade, avaliação dos controles e estratégias para mitigação dos riscos, avaliação do risco residual, descrição das ações a serem tomadas para a redução dos riscos aos níveis de tolerância definidos pela administração. Segundo aquela instituição, a implementação deste processo deve ser feita de forma a garantir que os gestores tenham acesso a informações corretas, com grau de detalhe necessário para tomada de decisão nos diversos níveis. Para isso, recomenda-se que o reporte do “perfil de risco” seja feito em uma matriz de risco, conforme ilustrado na figura 2. 23 PERFIL DE RISCO Impacto (Valor da empresa Financeiro/ Não financeiro) Risco 9 Risco 5 => $ 500 m. Risco 3 => $ 250 m. a < $500 m. Risco 1 Risco 11 => $ 100 m. a < $250 m. Risco 8 Risco 2 Risco 4 => $ 50 m. a < $100 m. Risco 6 Risco 7 => $ 20 m. a < $50 m. Risco 12 Risco 10 => $ 5 m. a < $20 m. => $ 500.000 a < $5 m. => $ 0 a < $500.000 Raro 5% Improvável 30% Efetividade do controle Possível Provável 70% 95% Quase certo 100% Tendência do Risco Alto Crescente Médio Baixo Oportunidade Decrescente Estável Figura 2 - Matriz de Risco para a avaliação de perfil de risco Fonte: IAA (traduzido), 2009. Conforme ilustrado na figura 2, os riscos relevantes identificados devem ser tabulados de acordo com o impacto e a probabilidade de ocorrência avaliada. Todos os controles relacionados aos riscos devem ser qualificados de acordo com sua efetividade (alta, média, baixa ou oportunidade de melhora) e tendência de exposição ao risco observada (risco crescente, decrescente ou estável). Feita a avaliação dos riscos mais relevantes, a alta administração deve definir as estratégias para tratamento destes riscos, dentre os quais podemos destacar: a mitigação, na qual são 24 implementados controles que minimizem o efeito da ocorrência dos riscos; a eliminação, na qual se pretende eliminar totalmente a exposição ao risco ou “trocá-lo” por riscos menos relevantes – como, por exemplo, através do redesenho dos processos; a transferência ou compartilhamento de risco, que pode ser feito, por exemplo, através de terceirização de processos ou resseguro; e por fim, a aceitação ou assunção do risco, no qual são traçadas diretrizes ou planos de contingência de risco para se adaptar e lidar com situações de risco que venham a ocorrer, o que pode incluir o aumento de capital na instituição (IAA, 2009). Embora englobe os mesmos conceitos para o tratamento dos riscos sugeridos pela IAA, o IBGC (2007) sustenta que a abordagem para tratamento do risco pode ser feito de 4 formas: evitar o risco; aceitar o risco (retendo, reduzindo ou transferindo/compartilhando riscos); prevenir e reduzir os danos em caso de materialização do risco; e a capacitar os processos e pessoas para reduzir os efeitos negativos do risco. Segundo mencionada instituição, a implementação de gestão de riscos corporativos “preserva e agrega valor econômico à organização, contribuindo fundamentalmente para a realização de seus objetivos e metas de desempenho, representando mais do que um mero conjunto de procedimentos e políticas de controle. Além disso, facilita a adequação da organização aos requerimentos legais e regulatórios, fatores críticos para sua perenidade”. 25 4 ASPECTOS REGULATÓRIOS A estrutura de governança das empresas influencia sua cultura organizacional e sua tolerância ao risco. O fortalecimento dos processos, controles internos e os sistemas de informação das empresas são essenciais para que a alta administração monitore e controle suas operações (IAIS, 2009 e Kleffner et al., 2003). Assim, a análise do ambiente regulamentar referente à governança corporativa no qual estão inseridas as OPS é essencial para entender as possibilidades de sucesso efetivo da implementação dos processos de gestão de riscos nas empresas. Neste aspecto, a Lei Sarbanes-Oxley pode ser considerada como um marco para o mundo corporativo haja vista ter transformado em exigência a utilização de melhores práticas de governança corporativa, enfatizando o papel dos controles internos (IBGC, 2007). Zacharias (2006) apresenta uma análise comparativa da referida lei com os ambientes regulamentares das seguradoras e bancos brasileiros – estes influenciados pelo Novo Acordo de Capital da Basiléia (NACB) e do Projeto Solvência II - na qual concluem que existe uma convergência nas exigências regulamentares. O trabalho teve como foco 4 aspectos que são 26 essenciais nesta análise: controles internos, transparência, atuação da auditoria e responsabilização da alta administração. 4.1 LEI SARBANES-OXLEY A Lei Sarbanes-Oxley, também chamada de SOx, é considerada por muitos a lei mais influente do mercado de capitais americano desde 1929, quando houve a criação da Securities and Exchange Commission (SEC). Zacharias (2006) afirma que o mercado brasileiro, mesmo não sendo regulado diretamente por ela, acaba sendo influenciado e adotando boa parte das práticas ali regulamentadas. Também conhecida como “Public Accounting Reform and Investor Protection Act”, a lei tornou-se mais famosa com os sobrenomes do senador democrata Paul Sarbanes e do deputado republicano Michael Oxley que compunham o comitê de serviços financeiros do congresso norte americano responsável pela reformulação da legislação após a sequência de escândalos e quebras de grandes empresas – WorldCom, Enron, Tyco, Global Crossing, entre outras – que abalaram a credibilidade do ambiente empresarial americano, precipitaram o fim da pioneira - e também uma das maiores empresas de auditoria independente do mundo – Arthur Andersen (Hawkins e Cohen, 2003). Os efeitos dos colapsos de grandes corporações impuseram ao governo norte americano a necessidade de tomar fortes medidas como forma a dar satisfação à população norte americana. Ainda que muitos dispositivos não tenham sido suficientemente debatidos à época, é inegável que a referida lei representou avanços ousados transformando boas práticas de gestão em lei (Paine e Weber, 2004). 27 Aprovada em 30 de julho de 2002 e dividida em onze títulos (capítulos), com um número variável de seções cada um, totalizando 69 seções (artigos), a SOx obriga as empresas a reestruturarem processos para aumentar os controles, a segurança e a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações. Conforme Paine e Weber (2004), apud Zacharias (2006), a SOx tem como principais determinações: I – Public Company Accounting Oversight Board (PCAOB) – Criação de conselho não governamental e sem fins lucrativos para verificar auditores e proteger investidores. As empresas que conduzem auditorias precisam ser registradas no PCAOB. Este é encarregado de regular todas as práticas adotadas pelos auditores independentes de empresas abertas e de definir como eles devem realizar a avaliação dos controles internos, determina que o auditor independente considere a eficácia do comitê de auditoria em sua avaliação. II – Auditoria independente – Proíbe que as empresas de auditoria realizem qualquer outra atividade para os clientes. Exige rotatividade de auditor líder e haverá estudo sobre o impacto de exigir rotatividade entre as empresas de auditoria. III – Responsabilidade corporativa – Requer que a auditoria seja verificada por membro independente do conselho da empresa. Exige que o principal executivo certifique as declarações financeiras. Pode exigir que os executivos percam os bônus quando a empresa redeclara seus resultados financeiros por não ter cumprido a lei. Exige que os advogados relatem fraudes aos executivos e ao conselho. IV – Intensificação da divulgação financeira – Tratar a acuidade dos relatórios financeiros e transparência quanto aos balanços não publicados. Limita empréstimos pessoais aos executivos. Exige relatório da efetividade dos controles internos. Direciona o código de ética para os diretores financeiros. V – Conflito de interesse dos analistas – Direciona conflitos de interesses envolvendo analistas de títulos que escrevem relatórios e têm atividades de investimento com a mesma empresa. 28 VI – Comissão de reservas e autoridades – Fornece fundos para a SEC aumentar salários, adicionar “staffs” e melhorar a tecnologia. Aumento de autoridade da SEC para censurar atividades individuais e proibidas. VII – Estudos e relatórios – Comissão de estudos sobre a consolidação da contabilidade da empresa, o papel das agências de classificação de crédito, violação das leis de títulos por tipo, freqüência e quem violou, além de reforço às ações da SEC e estudo sobre o papel de banqueiros de investidores ou conselheiros financeiros de manipular ganhos da empresa. VIII – Fraude corporativa contábil e criminal – Aumento de penalidades para destruição ou alteração imprópria de documentos. Aumento do estatuto de limitação para fraude de títulos. Proteção a quem denuncia. IX – Intensificação de crimes de colarinho branco – Indivíduos que tentarem cometer crimes serão tratados como se o crime estivesse sido cometido. Aumento de pena de prisão, 25 anos, e multa para certas fraudes. Criação de exigências adicionais de certificação para executivos. X – Corporate tax returns: A restituição de imposto de cada empresa deverá ser assinada pelo presidente (CEO – Chief Executive Officer). XI – Fraude corporativa e contabilidade: Criação de penalidades adicionais para alteração e destruição de documentos. Permissão à SEC de proibir os indivíduos de serem executivos ou diretores após cometerem fraude. Proteção adicional a quem denuncia. Aumento de algumas multas para 25 milhões e pena de prisão para 20 anos. (Paine e Weber, 2004) Segundo Camazano e Arima (2008), a SOx proporciona o aperfeiçoamento dos controles internos, contábeis e das práticas de governança corporativa das empresas e se diferencia de outros normativos pelo caráter mandatório de suas determinações mais do que recomendações gerais. 4.2 REGULAÇÃO DE BANCOS E SEGURADORAS A regulação aplicável às seguradoras e bancos brasileiros atualmente é influenciada diretamente pelas práticas internacionais de regulação recomendadas pelo Novo Acordo da Basiléia (NACB), também chamado de Basiléia II e pelo Projeto Solvência II, respectivamente (Almeida, 2008). Embora possuam origens distintas, os dois movimentos 29 convergem no incentivo às melhores práticas de gestão de risco, transparência e fortalecimento da solvência das instituições reguladas. Conforme Zacharias (2006), ambos mantém forte alinhamento com as exigências da SOx. Importante notar que tanto o NACB quanto o Projeto Solvência II possuem uma ênfase significativa nas exigências de capital regulatório que visam à manutenção da solvência 6 dos regulados. A partir destas exigências desenham-se uma série de recomendações que visam incentivar os mercados regulados a desenvolver e adotar práticas mais consistentes de governança corporativa, com destaque para a gestão de risco – inclusive com o uso de modelos próprios/internos para dimensionamento do capital econômico tanto em bancos quanto em seguradoras. 4.2.1 Acordos de Basiléia Em 1988, o Comitê de Basiléia, na época formado pelos bancos centrais dos 11 países desenvolvidos que faziam parte do G-10 (Alemanha, Bélgica, Canadá, Estados Unidos, França, Itália, Japão, Holanda, Reino Unido, Suécia e Suíça), publicou o primeiro Acordo de Basiléia – também conhecido como Basiléia I, que estabelecia níveis mínimos de capital a serem mantidos pelos bancos como forma de minimizar seu risco de insolvência. (Jorion, 2007). Os termos do acordo foram adotados pelos países do G-10 e por mais de 100 países. Entretanto, a experiência com esta adoção demonstrou que vários bancos já possuíam sistemas de gestão de risco mais avançados do que o exigido por Basiléia I, o que motivou sua 6 Conforme Sandström (2006) não há um conceito único para solvência e, ao longo dos anos, observa-se uma série de abordagens que acrescentam nuances importantes. Para fins deste trabalho será considerada como solvência “a capacidade de uma empresa honrar seus compromissos”, entendemos que esta definição atende ao propósito da presente dissertação e é suficientemente genérica para englobar as diversas definições existentes na literatura. 30 revisão a partir de 1999, culminando com a publicação do NACB em 2004 (Sandström, 2006). O primeiro acordo tinha como foco principal o risco de crédito dos bancos. Com o NACB este foco não só se ampliou para os riscos de mercado e operacional, com incentivo da utilização de modelos internos de dimensionamento do capital econômico, como o escopo das recomendações foi especificamente estabelecido em três pilares que direcionam sua implementação. Estrutura Regulatória de Bancos Pilar I: Pilar II: Pilar III: Requerimentos Mínimos de Capital Processo de Revisão dos Supervisores Disciplina de Mercado Figura 3 – Sistema de três pilares de Basiléia II Fonte: Sandström, 2006. (traduzido) Conforme Jorion (2006), o primeiro pilar consiste nos requerimentos mínimos de capital baseado em risco, mantendo uma exigência com base nos riscos de crédito, mercado e operacional. O segundo pilar é direcionado ao papel dos supervisores para assegurar que os bancos possuam processos internos sólidos para gestão dos riscos e manutenção de seu capital 31 em níveis exigidos no primeiro pilar. O terceiro pilar, de Disciplina de Mercado, visa incentivar os bancos a serem capazes de avaliar seu próprio negócio, divulgando informações relevantes de interesse de seus acionistas, inclusive sobre seu perfil de risco e nível de capitalização. Atualmente, com a entrada de novos países, dentre eles o Brasil, na composição do comitê, e da crise financeira internacional desencadeada em 2008, o Comitê de Basiléia já discute a evolução das recomendações do NACB, no que vem sendo denominado pelo próprio comitê como Basiléia III (BIS, 2010). 4.2.2 Projeto Solvência O projeto surgiu da evolução dos esforços de convergência da regulamentação para o mercado de seguros nos países da União Européia, intensificando-se em 1994 com a criação de um grupo de trabalho que visava analisar as questões de solvência nos países membros. O produto final deste grupo ficou conhecido como o relatório Müller, de 1997, que foi submetido à discussão e reflexão dos países membros e, após uma série de aperfeiçoamentos, deu origem ao processo de revisão das regras prudenciais para o mercado de seguros europeu que ficou conhecido como o Projeto Solvência, a ser implementado em 2 etapas (Sandström, 2006). A primeira etapa – também conhecida como Solvência I – já era considerada transitória e previa o reforço de requerimentos mínimos para capital das seguradoras, mantendo-se a simplicidade de cálculo já existente nos países membros; diretrizes para a constituição de provisões técnicas (provisões que visam garantir as obrigações da seguradora para com seus segurados); e ampliação da atuação dos supervisores de seguros (Almeida, 2008). 32 Uma importante reflexão sobre o projeto, efetivamente aprovado em 2002, é de que já havia consciência da União Européia sobre as limitações das propostas, pois estas não forneciam uma abordagem regulatória flexível o bastante para captar a dinâmica dos riscos a que as seguradoras estavam expostas, não havendo incentivo para melhoria na gestão dos regulados (Sandström, 2006). Diante de tal cenário, a continuidade dos trabalhos dos países europeus, já inspirada nas discussões que culminaram no NACB, deu origem ao que se convencionou chamar de Solvência II, a ser implementado em duas fases distintas: A primeira fase, desenvolvida entre 2001 e 2003, envolveu uma série de levantamentos, estudos técnicos e reflexões sobre o sistema que inspiraram a regulação baseada em princípios que norteiam a segunda fase do projeto. A segunda fase emprega a mesma terminologia do NACB para identificação de suas principais diretrizes: O primeiro pilar trata dos requerimentos mínimos de capital. Assim como Basiléia II, fundamenta-se em uma abordagem sensível ao risco das instituições, acrescentando o risco de subscrição especificamente para o mercado segurador; O segundo pilar trata de aspectos qualitativos da supervisão prudencial das seguradoras, estabelecendo a necessidade de revisão dos processos relacionados aos controles internos e de gestão de risco dos regulados, recomenda ações do regulador local e dispositivos para troca de informações entre reguladores; e 33 O terceiro pilar trata da disciplina de mercado por meio da ampliação da transparência das ações das seguradoras e harmonização das regras contábeis, com forte contribuição do mercado financeiro e das agências de “rating”. Os aspectos recomendados por este pilar devem estar alinhados às medidas compreendidas nos demais pilares. Conforme Almeida (2008), o Solvência II já incorpora princípios de gestão de risco corporativo e tem entre seus benefícios esperados o dimensionamento adequado do capital das seguradoras proporcional ao risco assumido, aumento da importância das práticas de gestão de risco, melhora na transparência e aumento da divulgação de informações. O projeto Solvência II foi finalmente aprovado pela União Européia em abril de 2009, após intensas negociações, e deve ser implementado pelos países membros até o final de 2012. 4.2.3 Regulação dos Bancos no Brasil A regulação dos bancos no Brasil segue as diretrizes e normas gerais expedidas pelo Conselho Monetário Nacional (CMN), cuja entidade supervisora é o Banco Central do Brasil (BCB), autarquia federal criada em 1964 e responsável, dentre outras atribuições, pela supervisão, normatização e fiscalização das instituições financeiras captadoras de depósito à vista. As decisões do CMN são publicadas por meio de Resoluções e aquelas decisões específicas do BCB são determinadas em Circulares. Especificamente nos temas que trata esta dissertação, o ambiente regulatório dos bancos brasileiros tem evoluído a partir das recomendações de Basiléia I com foco inicial nas 34 exigências de capital das instituições financeiras para, a partir das recomendações do NACB, enfim tratar da sua estrutura de gestão de riscos. Em linha com as recomendações do Comitê de Basiléia, uma das contribuições mais importantes que se verificou no país foi a publicação do CMN, em 1998, da Resolução nº 2.554, dispondo sobre a implantação e implementação de sistemas de controles internos nas instituições financeiras. Tal normativo além de formalizar o conceito de controles internos, estabeleceu uma série de exigências, independentemente do porte das instituições, essenciais para as operações do setor, dentre as quais se destacam: definição de responsabilidades da administração, ênfase em aspectos relacionados à comunicação e ao fluxo de informações na empresa, aspectos da atuação da auditoria interna, necessidade de reporte e revisão periódica dos sistemas de controles internos e necessidade de avaliação contínua dos riscos associados às atividades dos regulados. Posteriormente, a referida resolução foi alterada pela Resolução nº 3.056, de 19 de dezembro de 2002, que aperfeiçoou o normativo em aspectos referentes à auditoria interna das instituições financeiras. Ainda em 1998, a publicação da Lei nº 9.613, dispondo sobre lavagem de dinheiro, reconheceu a possibilidade do uso do SFN para prática destes crimes e estabeleceu uma série de exigências de manutenção de registros e controle de atividades financeiras bem como penalidades adicionais aos responsáveis por tais práticas, estabelecendo a obrigatoriedade aos reguladores de que operações e situações suspeitas fossem comunicadas ao Conselho de Controle de Atividades Financeiras (COAF). Em linha com as exigências da lei, o BCB publicou então a Circular nº 2.852, de 3 de dezembro de 1998, na qual impõe aos seus regulados a necessidade de adaptar seus sistemas de modo a manter controles internos sobre 35 as operações, cadastro de clientes e identificação de situações que possam configurar indícios de ocorrência de crimes previstos na referida lei. Assim como a Lei nº 7.492, de 1986 – que trata dos crimes contra o SFN – a referida lei influencia diretamente as atividades de fiscalização do BCB, pautando por muitas vezes a aplicação de penalidades. Em dezembro de 2004, o BCB emitiu o Comunicado nº 12.746, estabelecendo procedimentos a serem adotados na implementação da nova estrutura de capital determinada pelo NACB. Além de reforçar a aplicabilidade dos pilares 2 e 3 para todas as instituições financeiras, o BCB explicitou a perspectiva de expansão das exigências de regulamentação dos riscos de crédito, mercado e operacional, bem como explicita a possibilidade de futura utilização de modelos próprios/internos para alocação de capital para instituições de maior porte. O referido comunicado estabeleceu ainda um cronograma para implementação e revisão da regulamentação referente à alocação de capital e validação de modelos internos no período entre o final do ano de 2005 até 2011. Com o decorrer das discussões com o setor, aliado às experiências com a implementação dos sistemas e controles e com as experiências, este cronograma foi revisto a partir do Comunicado nº 16.137 de 27 de setembro de 2007, prevendo um cronograma que iria até 2012. Posteriormente, em decorrência da crise financeira de 2008, o BCB divulgou o Comunicado n° 19.028, de 29 de outubro de 2009, ajustando um novo cronograma com prazo final no primeiro semestre de 2013. 36 No tocante à adaptação ao NACB há de se ressaltar o reconhecimento do BCB e do CMN quanto à importância dos sistemas e controles para alocação de capital dos regulados inclusive com a publicação de normativos dispondo sobre a estrutura necessária para gestão de cada um dos riscos: Risco Operacional (Resolução nº 3.380, de 2006), Risco de Mercado (Resolução nº 3.464, de 2007) e Risco de Crédito (Resolução nº 3.721, de 2009). Inspirado pelas disposições da SOx, o CMN consolidou as normas vigentes até então para auditoria interna com a publicação da Resolução nº 3.198, de 2004, instituindo a obrigatoriedade de comitê de auditoria para instituições de grande porte e que possuem administração e movimentação significativa de recursos de terceiros em suas atividades (FEBRABAN, 2004). Além de estabelecer a obrigatoriedade de observância de normas e procedimentos emanados pelo CMN – e no que não estiver em conflito, aquelas publicadas pela CVM, IBRACON e CFC - na prestação de serviços de auditoria independente, o normativo estabeleceu periodicidade de 5 anos para troca de auditor independente. Tal exigência foi suspensa pela Resolução nº 3.503, de 2007 e substituída pela exigência da Resolução nº 3.606, de 2008, de que a troca poderia se limitar apenas à equipe responsável pela auditoria, podendo se manter a empresa de auditoria independente. 4.2.4 Regulação de Seguros no Brasil O Conselho Nacional de Seguros Privados (CNSP) é o órgão responsável por fixar as diretrizes e normas da política de seguros privados no Brasil que devem ser executadas pela Superintendência de Seguros Privados (SUSEP), criada em 1966, que também tem entre suas 37 atribuições a regulação, supervisão, fiscalização e incentivo das atividades de seguros, previdência complementar aberta, resseguros e capitalização no país. Assim como o CMN, o CNSP faz parte do Sistema Financeiro Nacional (SFN) que agrega ainda o Conselho Nacional de Previdência Complementar (CNPC) responsável pela regulação geral das entidades fechadas de previdência complementar, ou fundos de pensão, cujo órgão supervisor é a Superintendência Nacional de Previdência Complementar (PREVIC). As decisões do CNSP são expressas por meio de Resoluções, e as específicas da SUSEP por meio de Circulares. Atualmente, a regulação estabelecida no setor tem sido orientada pelas recomendações da International Association of Insurance Supervisors (IAIS) – associação internacional ligada ao BIS que congrega mais de 100 autoridades reguladoras de seguros no mundo e tem como objetivo promover a cooperação entre seus membros na busca por uma convergência regulatória na indústria de seguros dos diversos países - em linha com os princípios do projeto Solvência II (SUSEP, 2007e). Tal influência não é nova e pode ser identificada como a origem das regras de capital regulatório no setor - comumente denominado no mercado segurador como margem de solvência (Almeida, 2008). Assim como nas instituições financeiras, o ambiente regulatório das seguradoras é fortemente permeado pela regulamentação de capital que se encontra em processo de transição para um ordenamento que possua exigências de capital baseado nos riscos a que estão expostas as instituições. Este processo teve como pontapé inicial a publicação da Circular SUSEP nº 253, de 2004, que pretendia mapear como as seguradoras estavam gerindo seus riscos, culminando com a publicação de uma série de normativos que estabeleceram novos parâmetros de 38 intervenção do regulador e regras para o cálculo da exigência de capital - inicialmente diferenciada pelo risco de subscrição (Neto, 2006; CNSP, 2007; SUSEP, 2007a; SUSEP, 2007d; SUSEP, 2007e; CNSP, 2008b). Atualmente há a perspectiva de uma nova modificação desta regulamentação para abarcar o risco de crédito (SUSEP, 2010a). Claramente influenciada pela regulamentação das instituições financeiras abarcadas pela Resolução nº 2.554, de 1998, a SUSEP publicou a Circular SUSEP nº 249, de 2004, dispondo sobre a implantação e implementação de sistema de controles internos de suas atividades, de seus sistemas de informações e do cumprimento das normas legais e regulamentares a elas aplicáveis. A referida Circular foi alterada em 2008 apenas para incluir as resseguradoras no âmbito das exigências já existentes (SUSEP, 2008a). As demandas da Lei nº 9.613, de 1998, desencadearam uma série de regulamentações que obrigam as seguradoras a implementar ações para o combate à lavagem de dinheiro. Os normativos publicados pela SUSEP evoluíram (SUSEP, 1999; SUSEP, 2002a; SUSEP, 2002b; SUSEP, 2002c; SUSEP, 2006; SUSEP, 2007c) até o estabelecimento, pela Circular SUSEP nº 380, de 2008, da exigência de controles internos específicos para prevenção e combate dos crimes previstos na referida lei. Nota-se que as Circulares 249 e 380, tratam de controles internos gerais e específicos, respectivamente. Posteriormente a SUSEP publicou ainda a Circular SUSEP nº 344, de 2007, na qual estabelece a exigência de controles internos específicos para prevenção contra fraudes. No tocante às exigências de auditoria, o CNSP regulou a prestação de serviços de auditoria independente para as sociedades seguradoras, de capitalização e entidades abertas de previdência 39 complementar e instituiu a criação do Comitê de Auditoria por meio da Resolução CNSP nº 118, de 2004. Tal normativo guarda diversas semelhanças com a normatização do CMN, publicada no mesmo ano, estabelecendo ainda o envio à SUSEP de diversas informações auditadas, incluindo relatório sobre a adequação dos controles internos nas seguradoras. Em 2008, a referida resolução foi modificada pela Resolução CNSP nº 193 para – assim como ocorrera com a regulamentação de controles internos - incluir as resseguradoras no âmbito da norma, e para limitar a troca de auditores independentes apenas à equipe responsável pela auditoria – possibilitando a manutenção da empresa de auditoria contratada. 4.3 REGULAÇÃO DA SAÚDE SUPLEMENTAR A regulação da saúde suplementar tem no Conselho de Saúde Suplementar (CONSU) a autoridade responsável pela definição das políticas e diretrizes gerais do setor de saúde suplementar e, na ANS, a entidade que efetivamente faz a regulação do setor, exceto quando já há diretrizes estabelecidas pelo CONSU. Na prática, observa-se que a ANS tem gozado de grande autonomia na construção das principais normas do setor (Gouveia, 2004). Tais decisões são expressas em Resoluções ou Instruções Normativas. A ANS tem como atribuição principal promover o equilíbrio e a eficiência do setor de saúde suplementar, regulando as OPS não só quanto à sua manutenção estrutural e financeira, mas também quanto à qualidade dos serviços de assistência médico-hospitalares e odontológicos oferecidos. Este último aspecto inclusive diferencia de forma significativa a regulação do setor de saúde suplementar da regulação de bancos e de seguradoras. 40 Além do fato das OPS não pertencerem ao SFN, o arcabouço regulatório que os abarca trata de aspectos específicos de suas atividades tais como sua relação com o sistema público de saúde e os prestadores de serviços de saúde que atendem seus beneficiários, programas de promoção à saúde e prevenção de doenças, dentre outros. Inobstante as diferenças existentes entre as atividades de OPS, bancos e seguradoras, alguns aspectos da regulação em saúde suplementar – notadamente aqueles que tratam de questões econômico-financeiras - possuem como objetivos o fortalecimento da saúde financeira e a manutenção da solvência das instituições, presente em outras indústrias. Esta característica explica a forte influência dos normativos do SFN no setor (Gouveia, 2004). Nota-se que embora a regulamentação de capital – e de provisões técnicas - esteja hoje agregada em um único normativo, a ANS reconhece a diferença entre as diversas modalidades do setor, estabelecendo prazos diferenciados para total adaptação de acordo com a data de início de operação, modalidade da OPS e complexidade dos produtos oferecidos (Assistência Médica Hospitalar e Odontológica ou Exclusivamente Odontológica) de tal forma que apenas as seguradoras especializadas em saúde e as OPS que iniciaram suas atividades após o normativo possuem a obrigatoriedade de cumprir a totalidade das exigências atualmente. As demais OPS poderão se adaptar segundo uma escala gradual mensal que deve findar apenas em dezembro de 2017 (ANS, 2009a). Almeida (2008) destaca que, apesar de ser inspirada nas exigências vigentes para a indústria de seguros no Brasil – inicialmente as seguradoras especializadas em saúde seguiram normativos publicados pela SUSEP e convalidados pela ANS (ANS, 2001a) – a regulação aplicável às OPS avança inclusive na possibilidade de utilização de modelos próprios/internos em substituição às exigências de capital regulatório, porém carece de maior “maturidade” para 41 que tal possibilidade seja uma realidade possível de ser alcançada com eficácia nestas empresas. Embora não estejam explicitamente citadas na Lei nº 9.613, de 1998, todas as OPS são alcançadas pelas exigências da RN nº 117, de 2005, que estabelece a obrigatoriedade de manutenção de informações cadastrais e de documentos referentes aos contratos e movimentações financeiras que possam configurar indícios de ocorrência de crimes de lavagem ou ocultação de bens, direitos e valores nas operações de planos de saúde. O referido normativo exige ainda que as OPS desenvolvam e implementem controles internos para detectar indícios dos crimes previstos na referida Lei. Salvo a menção citada no parágrafo anterior, a regulamentação do setor não prevê exigências específicas para a estruturação de controles internos nas OPS. A Instrução Normativa - IN DIOPE nº 36, de 2009, estabelece exigências apenas que os controles analíticos que dão suporte aos lançamentos contábeis fiquem à disposição da ANS para fiscalização ou encaminhamento conforme sua solicitação com assinatura do administrador da operadora e do contador responsável. O referido normativo estabelece ainda a obrigatoriedade de parecer de auditores independentes, registrados na CVM, sobre as informações publicadas nos balanços anuais das OPS, bem como exige a elaboração de relatório circunstanciado dos auditores quanto às deficiências ou ineficácia dos controles internos existentes, dispensando, por fim, da exigência de publicação dos balanços aquelas OPS de pequeno porte (assim entendidas aquelas que possuírem menos de 20 mil beneficiários no encerramento do exercício) que devem encaminhar as demonstrações financeiras e o parecer dos auditores apenas à ANS para que sejam divulgadas na página do órgão regulador na internet. 42 A Resolução Normativa – RN nº 173, de 2008, estabelece a sistemática de encaminhamento das informações financeiras, por meio eletrônico, inclusive para o parecer dos auditores independentes e o relatório circunstanciado contendo observações relativas à deficiência ou à eficácia dos procedimentos de controles internos, ambos de periodicidade anual. Atualmente, com a publicação da RN nº 238, de 2010, que alterou a RN nº 173, de 2008, além das informações periódicas originalmente exigidas, as informações econômico-financeiras referentes 2º trimestre de cada ano – a partir de 2011 - também deverão ser objeto de revisão de auditor independente que elaborará Relatório de Procedimentos Previamente Acordados a ser encaminhado por meio eletrônico em conjunto com as demais informações. Ao final de 2010 a ANS publicou a RN nº 243, de 2010, que reduziu as exigências de envio de informações financeiras por meio eletrônico, provisões técnicas e ativos garantidores de provisões para OPS que operam planos exclusivamente odontológicos e que possuem menos de 20 mil beneficiários. 43 5 ANÁLISE COMPARATIVA Para a análise comparativa dos ambientes regulamentares de bancos, seguradoras, OPS e da SOx, foram consideradas as seguintes referências: Seções 201, 202, 203, 204, 205, 207, 302, 304, 307, 401, 403, 404, 406, 407, 409, 802, 806, 906 e 1.102 da Lei Sarbanes-Oxley, de 2002; Lei nº 6.024, de 1974; Lei nº 7492, de 1986; Lei nº 7.913, de 1989; Lei nº 9.613, de 1998; Lei nº 9.656, de 1998 – alterada pela Medida provisória nº 2.177-44, de 2001; e Lei nº 10.303, de 2001; Resolução nº 2.554, de 1998; Circular nº 2.852, de 1998; Circular nº 2.990, de 2000; Resolução nº 3.056, de 2002; Resolução nº 3.198, de 2004; Resolução nº 3.416, de 2006, Resolução nº 3.503, de 2007; Resolução nº 3.042, de 2008; e Resolução nº 3.606, de 2008 – publicadas pelo BCB; 44 Resolução CNSP nº 118, de 2004; Circular nº 249, de 2004; Circular nº 280, de 2004; Circular nº 344, de 2007; Circular nº 363, de 2008; Resolução CNSP nº 193, de 2008; Circular nº 380, de 2008; Circular nº 408, de 2010 – publicadas pela SUSEP; RN nº 117, de 2005; RN nº 173, de 2008; IN DIOPE nº 36, de 2009; RN nº 238, de 2010; RN nº 243, de 2010 – publicadas pela ANS. A análise foi feita no que se refere aos 4 fatores que, segundo Zacharias (2006), “descrevem o processo de convergência da regulamentação de empresas, bancos e seguradoras”: (1) controles internos, (2) transparência, (3) comitê de auditoria e (4) responsabilização da alta administração. 5.1 CONTROLES INTERNOS Embora haja uma série de definições para controles internos, segundo COSO: Controle interno é um processo, conduzido pelo conselho administrativo, diretoria e outras pessoas de uma entidade, destinado a fornecer uma garantia razoável em relação ao alcance dos objetivos das seguintes categorias: Eficácia e eficiência das operações; Confiabilidade de relatórios financeiros; e Conformidade com leis e regulações aplicáveis. (COSO apud Moeller, 2007, tradução livre) Segundo COSO (2004), a estrutura de controles internos é parte integrante da gestão de riscos corporativos, mas não são garantidores absolutos contra falhas mesmo que estejam adequadamente dimensionados. Assim, não há gestão de risco eficaz sem controles internos efetivos. 45 Conforme Duarte Jr. (2005), os controles internos envolvem uma série de medidas que vão desde a definição de alçadas e limites, autorizações, conciliações de informações de origens distintas, controle de acesso, delimitação de responsabilidade, planos de contingência, até a normatização interna, segregação de funções, validação e treinamento dos funcionários. 5.1.1 Controles Internos na SOx Na seção 302 da SOx, é exigido que o principal diretor executivo ou diretores e o diretor financeiro ou diretores, ou pessoas que exerçam função semelhante, certifiquem todos os relatórios anuais e trimestrais arquivados ou apresentados à SEC, assegurando que tais relatórios tenham sido examinados, não contenham qualquer declaração falsa ou omissão de fatos relevantes, e que os demonstrativos financeiros sejam fidedignos com sua condição financeira. Além disso, tal seção reforça que os diretores que assinam os relatórios são responsáveis: pela criação e manutenção dos controles internos, cuja eficácia deve ser testada e documentada em relatório; pela apresentação aos auditores e ao comitê de auditoria do conselho de administração (ou pessoas que exerçam atividade equivalente), de todas as deficiências de controles que possam afetar a fidedignidade dos relatórios, bem como fraudes – materiais ou não – que envolvam os administradores ou empregados que tenham envolvimento com os controles; e por indicar quaisquer mudanças significativas nos controles internos ou outros fatores que possam afetá-lo posteriormente, indicando as respectivas ações corretivas. 46 A seção 404 da SOx determina que o relatório anual a ser encaminhado à SEC seja acompanhado de um relatório de controles internos, atestado por uma auditoria externa, no qual seja declarado que o estabelecimento e manutenção de uma estrutura de controles internos adequados são de responsabilidade da administração das empresas, devendo conter ainda uma avaliação, ao final de cada ano, da eficácia da estrutura de controles internos e dos procedimentos para emissão de relatórios financeiros. 5.1.2 Controles Internos em Bancos No tocante à regulamentação vigente para as instituições financeiras brasileiras, o principal normativo que trata de controles internos é a Resolução nº 2.554, publicada pelo CMN em 1998, que estabelece que tais empresas devem implantar e implementar controles internos para suas atividades, seus sistemas de informação e para o cumprimento dos normativos. A referida resolução demanda que os controles internos sejam efetivos e consistentes com a complexidade e os riscos das operações das instituições e que sua diretoria é responsável pela implantação, implementação, estabelecimento dos objetivos, revisão e manutenção periódica, bem como pela cultura organizacional que demonstre e enfatize a importância de tais controles. O normativo detalha que os controles devem ser continuamente revisados e atualizados e devem ser acessíveis a todos os funcionários, assegurando-lhes acesso às informações necessárias às suas atividades, com claras delimitações de responsabilidades e segregação de atividades para evitar conflitos de interesse, prevendo ainda a existência de testes de segurança para os sistemas de informação. 47 A Resolução nº 2.554 explicita ainda que a auditoria interna deve fazer parte do sistema de controles internos, possibilitando que esta atividade seja exercida por auditor externo. Por fim, o normativo determina que todo o acompanhamento do sistema de controles internos deve ser documentado em relatórios, no mínimo semestrais, no qual constem: as conclusões dos exames, as recomendações a respeito das deficiências acompanhadas de cronograma para seu saneamento e manifestação dos responsáveis pela área em que foram detectadas as deficiências. Tais relatórios devem ser submetidos ao conselho de administração e à auditoria externa, ficando à disposição do BCB por 5 anos. A Circular nº 2.852, de 1998, estabelece explicitamente que as instituições financeiras devem manter controles internos para verificar a correta identificação dos clientes, a compatibilidade entre a correspondente movimentação de recursos, atividade econômica e sua capacidade financeira visando detectar operações que caracterizem ocorrência dos crimes previstos na Lei nº 9.613, de 2008 – que trata da prevenção e combate à lavagem de dinheiro. O normativo detalha ainda uma série de ações a serem feitas pelas instituições dentre as quais a promoção de treinamento adequado aos funcionários para identificação e comunicação de operações ou situações suspeitas previstas na citada lei. 5.1.3 Controles Internos em Seguradoras O principal normativo a tratar de controles internos nas seguradoras é a Circular nº 249, de 2004, posteriormente alterada pela Circular nº 363, de 2008, apenas para incluir as resseguradoras e sociedades corretoras de seguros no âmbito do normativo já existente. 48 A Circular nº 249 basicamente estabelece para as seguradoras as mesmas determinações constantes da Resolução nº 2.554 – vigente para as instituições financeiras. Estão lá as determinações: a) de que as seguradoras implantem sistemas de controles internos efetivos de suas atividades, seus sistemas de informação e para o cumprimento dos normativos, consistentes com a natureza, complexidade e risco das operações realizadas; b) de que a diretoria das seguradoras é responsável pelo estabelecimento dos objetivos, revisão e manutenção periódica dos controles internos, bem como pela cultura organizacional que demonstre e enfatize a importância de tais controles; c) de que controles devem ser continuamente revisados e atualizados e devem ser acessíveis a todos os funcionários, assegurando-lhes acesso às informações necessárias às suas atividades, com claras delimitações de responsabilidades e segregação de atividades, bem como a necessidade de testes periódicos de segurança para os sistemas de informação mantidos em meio eletrônico ou não; d) de que a auditoria interna deve fazer parte do sistema de controles internos; e) de que o acompanhamento dos controles conste de relatórios, no mínimo semestrais, constando conclusões, recomendações quanto às deficiências detectadas e manifestações dos responsáveis pelas áreas com controles deficientes; 49 f) de que o relatório semestral sobre os controles internos seja submetido ao conselho de administração e à auditoria externa, sendo mantido à disposição da SUSEP pelo prazo de 5 anos. A SUSEP publicou ainda dois normativos que tratam de controles internos específicos: a Circular nº 344, de 2007, e a Circular nº 380, de 2008. A Circular nº 344, estabeleceu a obrigatoriedade das seguradoras implantarem controles internos específicos para a prevenção de fraudes. A estrutura de controles deve ser montada com base em estudo das seguradoras sobre o risco de fraudes, englobando em linhas gerais, no mínimo: o estabelecimento de uma política de prevenção, detecção, divulgação e correção de fraudes; elaboração de critérios e implementação de procedimentos de identificação de riscos de fraude; manualização e implementação, bem como a extensão dos procedimentos de prevenção, monitoração e identificação de fraudes; treinamento contra fraudes para os funcionários e pessoas com as quais mantenham relacionamento comercial; e elaboração e execução de programa de auditoria interna que verifique o cumprimento de todas as exigências da norma. A referida Circular estabeleceu que as seguradoras enviem à SUSEP, anualmente, um relatório circunstanciado sobre os critérios adotados para avaliação da exposição ao risco de fraude e sua adequação aos riscos e aos controles existentes, mantendo toda documentação pertinente aos estudos e às operações de que tratam a norma à disposição da SUSEP, por pelo menos 5 anos. Para atendimento às demandas da Lei nº 9.613, de 2008, a SUSEP publicou uma série de normativos desde 1999, culminando com a Circular nº 380, que dispõe sobre a 50 obrigatoriedade das seguradoras implementarem controles internos específicos para a prevenção e combate dos crimes de lavagem ou ocultação de bens, direitos e valores que contemplem: o estabelecimento de política específica sobre o tema; a elaboração de critérios, manualização e implementação de procedimentos para manutenção de informações cadastrais e documentos referentes a seus contratos e movimentações financeiras que possam configurar indícios de ocorrência de crimes de lavagem ou ocultação de bens, direitos e valores; a elaboração de programa de treinamento de funcionários quanto à referida lei; e elaboração e execução de programa anual de auditoria interna que verifique o cumprimento dos procedimentos constantes da Circular. 5.1.4 Controles Internos em OPS No que tange aos controles internos, não foi identificada na regulamentação do setor qualquer normativo com exigências específicas para a sua estruturação nas OPS. As principais referências explícitas a controles internos constantes dos normativos estão relacionadas aos procedimentos contábeis e à prevenção e combate à lavagem de dinheiro no setor. O anexo I da IN DIOPE nº 36, de 2009, estabelece apenas exigências de que os controles gerenciais fiquem à disposição da ANS para fiscalização, devendo ser encaminhados sempre que solicitados acompanhados de documento assinado pelo administrador e pelo responsável pela contabilidade da OPS. Tais controles consistem de registros das operações contabilizadas nos demonstrativos financeiros das empresas. Apesar de não estabelecer a estrutura mínima de controles internos para as OPS, o referido anexo da IN DIOPE nº 36 determina que o relatório circunstanciado contendo as observações do auditor independente, relativamente às deficiências ou à ineficácia dos controles internos, 51 deve permanecer na operadora à disposição da ANS, sendo obrigatório ainda, de acordo com a RN nº 173, de 2008, seu envio anual por meio eletrônico, em conjunto com o parecer do auditor sobre as demonstrações financeiras. A RN nº 117, de 2005 estabelece que as OPS devem manter informações cadastrais e documentos referentes a seus contratos e movimentações financeiras que possam configurar indícios de ocorrência de crimes de lavagem ou ocultação de bens, direitos e valores, implementando procedimentos e controles internos para detectar indícios de crimes de que trata a Lei nº 9.613, de 1998. Ao contrário dos normativos similares da SUSEP e BCB, não há detalhamento explícito da estrutura mínima para os controles a serem implementados. 5.2 TRANSPARÊNCIA Transparência constitui-se em um dos princípios básicos das boas práticas de governança corporativa. Segundo o IBGC (2004): Mais do que "a obrigação de informar", a Administração deve cultivar o "desejo de informar", sabendo que da boa comunicação interna e externa, particularmente quando espontânea, franca e rápida, resulta um clima de confiança, tanto internamente, quanto nas relações da empresa com terceiros. A comunicação não deve restringir-se ao desempenho econômicofinanceiro, mas deve contemplar também os demais fatores (inclusive intangíveis) que norteiam a ação empresarial e que conduzem à criação de valor. (IBGC, 2004) Naturalmente, as informações a serem fornecidas devem ser confiáveis e corretas, razão pela qual a transparência está muito relacionada com os controles internos nas empresas. Conforme Zacharias (2006), “a qualidade e a quantidade das informações são pré-requisitos essenciais para suportar as decisões e a administração de riscos”. 52 Fortes referências para o ambiente regulatório de bancos e seguradoras, tanto o NACB, quanto o Projeto Solvência II, consideram o aumento da transparência e a divulgação de informações nas instituições como fatores fundamentais para a disciplina de mercado, aumentando a responsabilidade das instituições perante seus investidores e “stakeholders” que, por sua vez, poderão avaliar melhor o perfil de risco das empresas, bem como seu desempenho e suas atividades. Ambas as iniciativas prevêem um fluxo crescente de divulgação de informações essenciais para os investidores como conseqüência do fortalecimento dos controles internos e da atuação mais exigente dos supervisores. 5.2.1 Transparência na SOx A SOx possui diversos dispositivos que exigem maior responsabilização dos administradores sobre os sistemas de controles internos das empresas, com submissão de avaliações periódicas ao Conselho de Administração e aos auditores externos como forma de aumentar a transparência das ações das empresas para investidores, supervisores e “stakeholders”. A seção 302 da SOx exige a certificação de todos os relatórios anuais e trimestrais arquivados ou apresentados pela administração que, por sua vez, deve assegurar a fidedignidade das informações constantes dos relatórios, divulgando aos auditores e ao comitê de auditoria todas as deficiências de controles, bem como ações corretivas para os problemas identificados. Praticamente todas as seções do capítulo IV da SOx tratam de exigências que visam o fortalecimento da transparência nas empresas: A seção 401 reforça que todos os relatórios que contenham informações financeiras, encaminhados à SEC devem conter correções identificadas de acordo com os 53 princípios contábeis geralmente aceitos. Além disso, são exigidas a divulgação de transações, acordo e obrigações das empresas com partes relacionadas que possam impactar na condição financeira das empresas e que não constem dos seus demonstrativos financeiros. Na seção 403 são apresentadas exigências de divulgação de transações envolvendo principais acionistas e diretores. A seção 404 estabelece a exigência de que seja encaminhado um relatório anual, atestado pela auditoria, com a avaliação da administração sobre a eficácia dos controles internos e dos procedimentos que deram origem aos relatórios financeiros. Tal relatório, na teoria, aumenta a responsabilidade da administração que, na prática, assume não só a implementação e eficácia de todos os controles, mas também assegura que as informações financeiras originadas destes controles são reais e corretas. A seção 406 exige a divulgação de que a empresa adotou, ou não, um código de ética para a diretoria (especialmente diretor financeiro, de contabilidade e controller, ou pessoas que assumam funções similares). Caso a empresa não tenha adotado o referido código, deve apresentar as razões pelas quais deixou de fazê-lo. A seção 407 estabelece que as empresas devem divulgar se o comitê de auditoria é composto por pelo menos um profissional especialista financeiro e, caso negativo, a justificativa para tal fato. 54 A seção 409 estabelece que os relatórios financeiros devem fornecer informações adicionais e transparentes aos investidores quanto a quaisquer mudanças materiais que possam afetar a condição financeira da empresa. Adicionalmente, a seção 806 garante proteção a qualquer empregado que denuncie qualquer conduta que ela acredite que possa infringir a legislação, bem como contribua com investigações a respeito da suposta violação. Tal determinação contribui para promover um ambiente favorável para qualquer pessoa denuncie irregularidades sem temer represálias da empresa. 5.2.2 Transparência em Bancos Embora a Resolução nº 2.554, de 1998, tenha como principal foco a regulamentação dos controles internos, o normativo contribui para transparência das instituições à medida que exige que os controles sejam acessíveis aos funcionários de forma a assegurar o conhecimento de suas funções e responsabilidades na instituição, e forneçam informações confiáveis, tempestivas e compreensíveis para o desenvolvimento de suas tarefas. Segundo o referido normativo, os sistemas de controles internos devem, ainda, ser objeto de monitoramento documentado em relatórios periódicos, no mínimo semestrais, que devem ser submetidos ao Conselho de Administração ou à Diretoria (na falta do primeiro) e à auditoria externa. Tais relatórios devem ser mantidos à disposição do BCB por 5 anos. Por fim, dentre as obrigações relacionadas à transparência, que foram estabelecidas pela Resolução nº 2.554 para a diretoria das instituições financeiras, está a “promoção de elevados padrões éticos e de integridade e de uma cultura organizacional que demonstre e enfatize, a 55 todos os funcionários, a importância dos controles internos e o papel de cada um no processo”. Em relação aos controles específicos para identificações de situações que possam configurar lavagem de dinheiro, regulamentados pela Circular nº 2.852, de 1998, o BCB exige que os bancos lhe comuniquem operações que envolvam montantes financeiros ou outros ativos de 10 mil reais ou mais; operações feitas no conglomerado de 10 mil reais ou mais; ou transações e propostas que possam configurar indício de ocorrência dos crimes de que trata a circular. A Resolução nº 3.198, de 2004, além de consolidar a regulamentação da prestação de serviços de auditoria, estabeleceu que o comitê de auditoria das instituições financeiras deve elaborar o relatório do comitê de auditoria, a cada 6 meses, no qual constem suas atividades; a avaliação da efetividade dos sistemas de controles internos, com ênfase no cumprimento da Resolução nº 2.554, de 1998, evidenciando as deficiências detectadas acompanhadas de manifestação e justificativa da diretoria quanto às ações tomadas; a avaliação da efetividade das auditorias independentes e interna; e a qualidade das demonstrações contábeis quanto à aplicação das práticas contábeis, apontando as deficiências apuradas. Todas estas informações deverão ser resumidas e divulgadas, semestralmente, em conjunto os demonstrativos contábeis publicados. O referido normativo obriga que o auditor independente e o comitê de auditoria, em conjunto ou individualmente, informem ao BCB a existência ou evidências de erro ou fraudes identificadas. Tal identificação pode ser feita no decorrer dos trabalhos do auditor ou do referido comitê, como pode ser originada de comunicação da diretoria, prestadores de serviço ou da auditoria interna da instituição. 56 Por fim, nos termos da Resolução nº 3.042, de 2008, o BCB recebe informações cadastrais, financeiras e estatísticas periódicas (mensais, trimestrais ou semestrais conforme grupos de instituições diferenciados no anexo do normativo). Dentre os documentos enviados pelas instituições financeiras podemos destacar o Documento de Informações Financeiras Trimestrais – IFT (regulamentado pela Circular nº 2.990, de 2000), contendo informações gerenciais, financeiras e estatísticas que estão sujeitas à revisão especial de auditoria independente e são disponibilizadas pelo BCB para consulta na internet. 5.2.3 Transparência em Seguradoras Da mesma forma que para os bancos, as principais exigências referentes à transparência para as seguradoras estão fortemente relacionadas com os controles internos, e estão presentes na Circular nº 249, de 2004; Circular nº 280, de 2004 e na Circular nº 363, de 2008. Neste sentido, a Circular nº 249 basicamente possui os mesmos dispositivos da Resolução nº 2.554 – exigida para os bancos, quais sejam: Exigência de acessibilidade do sistema de controles internos aos funcionários assegurando o conhecimento de suas funções e responsabilidades na instituição, com previsão de canais de comunicação que possam os prover de informações confiáveis, tempestivas, compreensíveis e relevantes para a execução de suas tarefas; Exigência de relatórios semestrais de monitoramento dos controles, que devem ser submetidos ao Conselho de Administração ou à Diretoria (na falta do primeiro) e à auditoria externa, e mantidos à disposição da SUSEP por 5 anos; 57 Exigência de que a diretoria promova elevados padrões éticos e de integridade e de uma cultura organizacional que demonstre e enfatize, a todos os funcionários, a importância dos controles internos e o papel de cada um no processo. Adicionalmente, é exigido que dois diretores atestem, em uma declaração assinada, a veracidade e a fidedignidade das informações enviadas à SUSEP por meio de sistemas eletrônicos. A SUSEP, por meio da Circular nº 280, detalhou os procedimentos mínimos a serem observados no relatório sobre a adequação dos controles internos, exigindo a avaliação da eficácia e eficiência dos controles em relação aos riscos suportados que destaque as deficiências encontradas face os principais processos existentes na sociedade dentre os quais o ambiente de controle, a avaliação de riscos, as atividades e procedimentos de controles, os processos de informação e comunicação, e a monitoração. Ao assumir a supervisão das atividades de resseguro, a SUSEP rapidamente tratou de ampliar as exigências da Circular nº 249 para as resseguradoras com a publicação da Circular nº 363, de 2008. No que tange aos controles internos específicos para fraudes e para prevenção e combate dos crimes de lavagem de dinheiro exigidos pela Circular nº 344, de 2007, e pela Circular nº 380, de 2008, respectivamente, são exigidos que: as seguradoras encaminhem, anualmente, à SUSEP, o relatório circunstanciado dos auditores sobre os critérios adotados para avaliação da exposição ao risco de fraude e adequação dos controles aos riscos existentes; 58 as seguradoras e corretores comuniquem à SUSEP, todas as situações e operações financeiras que são especificadas na Circular nº 380, como passíveis de investigação para fins de identificação de ocorrência de crimes de lavagem ou ocultação de bens, direitos ou valores. A Resolução CNSP nº 118, de 2004, ao regulamentar a prestação de serviços de auditoria independentes, exige que os auditores produzam ao final dos seus trabalhos, além do seu parecer sobre as demonstrações contábeis, relatórios quanto: a adequação dos procedimentos contábeis e das práticas de divulgação de suas informações; a adequação dos controles internos; e sobre o descumprimento de dispositivos legais que possam impactar as demonstrações das seguradoras. Tais relatórios deverão ser enviados pelas seguradoras, semestralmente, à SUSEP, acompanhadas de comentários e o plano de ação da administração para solucionar os problemas eventualmente detectados pela auditoria. As seguradoras brasileiras são obrigadas a enviar mensalmente o Formulário de Informações Periódicas – FIP - para a SUSEP, no qual são detalhadas informações cadastrais, financeiras, societárias e estatísticas que dão suporte ao monitoramento feito por aquela autarquia. A regulamentação que trata do assunto é atualizada anualmente em conjunto com as normas contábeis de cada exercício social, sendo a última publicada a Circular nº 408, de 2010. Adicionalmente, em conjunto com o FIP, as seguradoras devem responder a um questionário trimestral que devem ser revisados pelos auditores independentes. As informações financeiras enviadas pelas seguradoras são disponibilizadas pela SUSEP a todo o mercado por meio de seu site na internet. 59 Os auditores independentes e o comitê de auditoria são obrigados a informar à SUSEP a qualquer evidência ou constatação de erros ou fraudes, mantendo canal de comunicação com auditoria interna e a diretoria da seguradora acerca do assunto. 5.2.4 Transparência em OPS Quanto à transparência das informações, a IN DIOPE nº 36, de 2009, diferencia a exigência de publicação das demonstrações financeiras das OPS de acordo com o porte da empresa (avaliado de acordo com o número de beneficiários). Aquelas OPS com menos de 20 mil beneficiários não são obrigadas a publicar seus demonstrativos, entretanto devem encaminhálos à ANS em conjunto com o parecer dos auditores externos para divulgação na internet. De acordo com a RN nº 117, de 2005, as OPS devem comunicar à ANS todas as situações e operações financeiras que são especificadas no normativo como potenciais indícios de ocorrência dos crimes de lavagem ou ocultação de bens, direitos ou valores. A RN nº 173, de 2008, prevê que as OPS devem encaminhar o Documento de Informações Periódicas – DIOPS à ANS, com informações cadastrais e financeiras na seguinte periodicidade: mensal, para as informações referentes ao seu fluxo de caixa; trimestral, para os demonstrativos financeiros; e sempre que houver mudanças nas informações cadastrais. A citada RN estabelece ainda a exigência de envio anual, por meio eletrônico, do relatório circunstanciado contendo observações relativas à deficiência ou à eficácia dos procedimentos de controles internos. A RN nº 243, de 2010, diferenciou a exigência de envio do DIOPS para as OPS que operam planos exclusivamente odontológicos, dispensando-as da obrigatoriedade de envio mensal de 60 seu fluxo de caixa e estabelecendo o envio dos demonstrativos financeiros por meio eletrônico anualmente. Com a publicação da RN nº 238, de 2010, as OPS devem enviar em conjunto com o DIOPS, um Relatório de Procedimentos Previamente Acordados contendo uma série de avaliações feitas pelos auditores externos quanto às informações financeiras geradas pelas OPS. As informações financeiras enviadas pelas OPS por meio do DIOPS são integralmente disponibilizadas pela ANS em sua página na internet. 5.3 COMITÊ DE AUDITORIA Segundo o Código das Melhores Práticas de Governança Corporativa do IBGC: Os Conselhos de Administração devem estimular a instituição do Comitê de Auditoria para analisar as demonstrações financeiras, promover a supervisão e a responsabilização da área financeira, garantir que a Diretoria desenvolva controles internos confiáveis, que a auditoria interna desempenhe a contento o seu papel e que os auditores independentes avaliem, por meio de sua própria revisão, as práticas da Diretoria e da auditoria interna. O Comitê deve ainda zelar pelo cumprimento do código de conduta da organização. (IBGC, 2004) Neste sentido, o Comitê de Auditoria, na prática, constitui-se em um órgão especializado de auxilio direto ao Conselho de Administração. Devido à importância e a amplitude das suas atividades, a composição do comitê merece grande atenção das empresas, pois a qualificação e o comprometimento dos profissionais que o compõem é que vão ditar a efetividade das suas ações. Comumente as principais atividades do comitê de auditoria estão diretamente relacionadas aos serviços prestados pelos auditores independentes. Conforme Hawkins e Cohen (2003), os 61 auditores desempenham importante papel no desenvolvimento dos mercados à medida que contribuem para aumentar a percepção de confiabilidade nas informações financeiras divulgadas pelas instituições que encorajam os investimentos nas empresas. Os usuários das informações financeiras esperam que estes profissionais ajudem a prevenir manipulações de dados e tragam integridade, independência, objetividade e competência técnica ao processo de divulgação das informações financeiras, sendo crucial que seu trabalho seja feito de forma independente e livre de conflitos de interesse. 5.3.1 Auditoria na SOx A SOx, em sua seção 205, apresenta uma definição para o Comitê de Auditoria como sendo um comitê estabelecido pelo, e entre, o Conselho de Administração com o propósito de supervisionar os processos de emissão de relatórios financeiros e contábeis e de auditoria dos demonstrativos financeiros. Na ausência de um comitê específico, tais atividades devem ser exercidas pelo próprio Conselho de Administração. A seção 203 prevê o rodízio do sócio responsável e do sócio revisor da auditoria a cada 5 anos. Porém, na seção 207, a própria lei contempla a possibilidade de revisão desta exigência a partir de conclusões advindas de estudo de impacto dos efeitos do rodízio de auditoria nas empresas. No tocante ao rodízio de auditores, Braunbeck e Carvalho (2008) comentam que estudos no mundo inteiro fornecem evidências que o rodízio de auditores tem pouco efeito na qualidade das demonstrações financeiras e os eventuais efeitos do tempo de relacionamento seriam mitigados pelas práticas de gestão e transparência, motivo pelo qual a obrigatoriedade de rodízio vem sendo questionada em diversos países. 62 Na seção 204 da lei foi estabelecido que o relatório do auditor externo, para o comitê de auditoria, deve relatar: todas as políticas e práticas contábeis utilizadas; todos os tratamentos alternativos dados às informações financeiras que tenham sido discutidos com os administradores da empresa; bem como sua forma de divulgação e todas as comunicações entre a administração e a contabilidade (cartas, fax, etc). A prestação de serviços pelos auditores externos está sujeita à aprovação e divulgação pelo Comitê de Auditoria (seção 202), sendo proibida a prestação concomitante de serviços de auditoria e outros que não de auditoria (consultoria, implementação de sistemas, gestão de áreas e de recursos humanos, etc) pela mesma empresa (seção 201). Além disso, a lei estabelece ainda que a contratação de firmas de auditoria para trabalhos que não sejam de auditoria deve ser divulgada aos investidores. Na seção 407, a SOx exige que, pelo menos, um dos membros do Comitê de Auditoria possua “expertise” em finanças (assim considerada a formação e experiência em contabilidade ou auditoria; experiência como “controller”, diretor financeiro ou contábil; ou posição com funções semelhantes). Caso não haja membros com esta especialização, tal fato deve ser justificado e relatado à SEC. 5.3.2 Auditoria em Bancos A Resolução nº 3.198, de 2004, consolidou a regulamentação para a prestação de serviços de auditoria independente nas instituições financeiras, estabelecendo a obrigatoriedade de constituição de um “Comitê de Auditoria” para instituições que possuam nos dois últimos exercícios sociais: 63 Patrimônio de Referência (PR) igual ou superior a R$ 1.000.000.000,00 (um bilhão de reais); Administração de recursos de terceiros em montante igual ou superior a R$ 1.000.000.000,00 (um bilhão de reais); ou Somatório das captações de depósitos e de administração de recursos de terceiros em montante igual ou superior a R$ 5.000.000.000,00 (cinco bilhões de reais). Os comitês de auditoria de instituições que são líderes de conglomerados financeiros, também serão responsáveis pelas empresas do grupo, mesmo que estas não sejam obrigadas individualmente a constituir este comitê. O comitê deve ser composto de 3 membros, com mandato fixo de 5 anos para as empresas de capital aberto, e sem prazo definido para empresas de capital fechado. Pelo menos um dos membros dever ter comprovado conhecimento nas áreas de contabilidade e auditoria que o qualifiquem para a função, sendo obrigatório o atendimento às condições estabelecidas no normativo7. Segundo a regulamentação, o comitê de auditoria deve se reportar diretamente ao conselho de administração, ou na sua inexistência, à diretoria da instituição. Dentre as principais atribuições do comitê estão: recomendar a entidade de auditoria independente a ser contratada, bem como sua eventual substituição; revisar as publicações das demonstrações semestrais; avaliar a efetividade das auditorias independentes e auditoria interna; avaliar o cumprimento das recomendações feitas pelos auditores à administração; recomendar à administração da instituição aprimoramento de políticas, práticas e procedimentos da 7 A Resolução nº 3.416, de 2006, atualizou as condições básicas para o exercício de integrante do comitê de auditoria. 64 empresa, a ser discutido com o conselho fiscal e de administração; reunir-se, no mínimo trimestralmente, com a diretoria da instituição e os auditores para tratar dos trabalhos de auditoria. Semestralmente, o comitê deve elaborar o relatório de comitê de auditoria com: a avaliação dos controles internos e das auditorias (independente e interna); a avaliação da qualidade das demonstrações contábeis; e as recomendações apresentadas à diretoria e o tratamento a elas dispensado. Este relatório deve ser resumido para publicação em conjunto com as demonstrações contábeis. Os auditores independentes devem observar os procedimentos contábeis determinados pelo CMN, e no que couber, às determinações da CVM, CFC e IBRACON e: elaborar os relatórios com o seu parecer de auditoria sobre as demonstrações contábeis; a avaliação da qualidade dos controles internos, inclusive os sistemas eletrônicos e de gerenciamento de risco, explicitando as deficiências encontradas; e o descumprimento dos dispositivos legais e regulamentares que possam impactar os demonstrativos da instituição. A Resolução nº 3.198, de 2004, elencou ainda as condições e restrições a serem observadas na contratação dos auditores a fim de preservar sua independência e, por fim, estabeleceu o rodízio dos auditores independentes a cada 5 anos. Com a publicação da Resolução nº 3.503, de 2007 e, posteriormente, da Resolução nº 3.606, de 2008, a exigência de rodízio de auditores se limitou à equipe responsável pela auditoria e não às empresas de auditoria como inicialmente previsto. 65 5.3.3 Auditoria em Seguradoras A Resolução CNSP nº 118, de 2004, estabelece a obrigatoriedade do Comitê de Auditoria para as seguradoras que nos dois últimos exercícios, apresentou: Patrimônio Líquido Ajustado (PLA) igual ou superior a R$ 500.000.000,00 (quinhentos milhões de reais); ou Provisões Técnicas em montante igual ou superior a R$ 700.000.000,00 (setecentos milhões de reais). O Comitê de Auditoria das seguradoras deve ser composto de 3 membros, com mandato fixo de 5 anos. Pelo menos um dos membros dever ter comprovado conhecimento nas áreas de contabilidade e auditoria, sendo obrigatória a observância das condições e restrições para o exercício de membro do comitê, conforme estabelecidas no normativo. As demais exigências da Resolução CNSP nº 118, de 2004, são rigorosamente as mesmas constantes da Resolução nº 3.198, de 2004 – aplicável aos bancos: exigência de reporte direto ao conselho de administração, ou na sua inexistência, à diretoria da instituição; atribuições do comitê de auditoria; obrigatoriedade do relatório do comitê de auditoria e a publicação semestral de seu resumo em conjunto com as demonstrações contábeis. Os auditores independentes devem observar os procedimentos de auditoria determinados pela CVM, CFC e IBRACON, subsidiariamente às disposições do CNSP e SUSEP, e elaborar relatórios com: o seu parecer de auditoria sobre as demonstrações contábeis; com a avaliação da adequação dos controles internos aos riscos suportados pela seguradora, bem como os procedimentos contábeis e práticas de divulgação das informações nas demonstrações; avaliação sobre o descumprimento dos dispositivos legais e regulamentares que possam impactar os demonstrativos da instituição. 66 A princípio, a Resolução CNSP nº 118, de 2004, estabeleceu o rodízio das empresas de auditoria a cada 5 anos. Posteriormente, com a publicação da Resolução CNSP nº 193, de 2008, este rodízio ficou limitado à equipe responsável pela auditoria. De fato, além da alteração mencionada, a Resolução CNSP nº 193, ampliou todas as exigências de auditoria constantes da Resolução CNSP nº 118 para as resseguradoras. 5.3.4 Auditoria em OPS Não há, no ambiente regulamentar das OPS, qualquer normativo que estabeleça requisitos ou discipline a constituição de comitês de auditoria nestas entidades. Entretanto, conforme Anexo I da IN DIOPE nº 36, de 2009, a ANS exige que os balanços contábeis anuais de todas as OPS sejam encaminhados em conjunto com o parecer dos auditores independentes (independentemente da sua obrigatoriedade de publicação) no qual conste a opinião da auditoria quanto às demonstrações contábeis elaboradas pela administração da OPS. Além do mencionado documento, exige-se que os auditores independentes elaborem relatório circunstanciado acerca das deficiências ou ineficácia dos controles internos, que deve permanecer na OPS e ser enviado para a ANS de acordo com regulamentação própria. Por fim, a IN DIOPE n° 36, de 2009, prevê que a ANS poderá comunicar falhas ou irregularidades eventualmente detectadas no trabalho dos auditores ao CFC e à CVM para que sejam apuradas as responsabilidades profissionais, não reconhecendo quaisquer trabalhos realizados por estes profissionais enquanto não houver o julgamento pertinente. 67 O prazo para envio dos relatórios de auditoria exigidos foi regulamentado na RN nº 173, de 2008, que estabelece que as OPS deverão enviá-los anualmente. A partir de 2011, com a publicação da RN nº 238, de 2010, que alterou a RN nº 173, além das informações periódicas originalmente exigidas, os auditores independentes também deverão elaborar o relatório de procedimentos previamente acordados acerca de informações financeiras constantes do DIOPS, a ser encaminhado trimestralmente por meio eletrônico, sem prejuízo das demais informações exigidas. Tal iniciativa busca dar maior confiabilidade às informações periódicas que são enviadas e divulgadas pela ANS. 5.4 RESPONSABILIZAÇÃO O ambiente regulamentar de qualquer setor atribui responsabilidades aos administradores das empresas. Entretanto, a quebra dos pressupostos de ética, integridade, lealdade e honestidade dos administradores comumente estão no centro das principais crises corporativas – desvios da alta administração estão presentes nas principais quebras de empresas americanas nos anos 90 e na mais recente crise financeira internacional iniciada em 2007. Neste sentido, ainda que seja impossível eliminar a possibilidade de ocorrência de irregularidades dos administradores na condução das operações de uma empresa, a definição de responsabilidades, penalidades e a atuação das autoridades supervisoras são mecanismos que contribuem para disciplinar sua atuação no dia a dia. 5.4.1 Responsabilização na SOx Conforme Camazano e Arima (2008), um dos fatores que dá à SOX maior efetividade na responsabilização dos administradores é o caráter mandatório de suas disposições, que não 68 possibilita a discricionariedade quanto ao atendimento às suas exigências, como podem ocorrer, por exemplo, com as recomendações do Comitê de Basiléia. Paine e Weber (2004) citam que o ambiente político e a descrença da sociedade americana quanto ao mercado, decorrente da quebra de grandes empresas como Enron e WorldCom, contribuíram fortemente para que muitas das medidas mais rigorosas estabelecidas na SOx fossem aprovadas no Congresso Americano. Todo o capítulo III da SOx trata de responsabilidade corporativa, dentre as quais merecem destaque as seções 302, 304 e 307. De acordo com a seção 302, o diretor executivo (Chief Executive Officer - CEO) e o diretor financeiro (Chief Financial Officer - CFO) assumem a responsabilidade por certificar todos os relatórios anuais e trimestrais arquivados ou apresentados à SEC, assegurando sua fidedignidade e veracidade; sendo responsáveis ainda pela criação, manutenção e avaliação dos controles internos, bem como a identificação de deficiências e indicação de ações corretivas relativas a estes controles. Com estas exigências, os administradores não podem negar o conhecimento de fatos que possam configurar fraudes, erros ou condutas inapropriadas que mudem significativamente a posição financeira da entidade. De acordo com a seção 304, o CEO e o CFO devem reembolsar às empresas quaisquer bônus ou ganho com vendas de ações da empresa nos 12 meses anteriores de eventuais republicações de informações financeiras em decorrência do não cumprimento das exigências legais. 69 A seção 307 define a obrigatoriedade dos advogados relatarem a seus superiores ou ao CEO qualquer evidência de violação material da lei feita pela empresa ou outro agente. Na ausência de resposta ou ações adequadas dos superiores, os advogados devem informar o fato ao comitê de auditoria do conselho de administração. O capítulo IV estabelece a exigência de melhoria da divulgação de informações financeiras como forma de aumentar a responsabilidade da administração sobre as informações divulgadas. Merece destaque a seção 406 que determina que as empresas divulguem a existência de um código de ética para os administradores e, no caso de inexistência do código, justifiquem o motivo. O capítulo IX trata das penalidades no caso de crimes do colarinho branco, destacando-se a seção 906, na qual são definidas multas de 1 a 5 milhões de dólares, e reclusão de 10 a 20 anos, caso o CEO e CFO certifiquem declarações financeiras sabendo elas não correspondem à realidade. A seção 1.102 estabelece multa e reclusão de até 20 anos para aqueles que venham a tentar ou que alterem, destruam, ou escondam registros ou outros objetos com intenção de prejudicar sua integridade ou disponibilidade em procedimentos oficiais, bem como tentem obstruir, influenciar ou impedir qualquer procedimento oficial. 5.4.2 Responsabilização em Bancos e Seguradoras Bancos e seguradoras são influenciados pelas principais leis que tratam de responsabilização: Lei nº 7.492, de 1986; Lei nº 7.913, de 1989; Lei nº 9.613, de 1998; e a Lei nº 10.303, de 2001. 70 A Lei nº 7.492, de 1986, define os crimes contra o SFN, do qual os bancos e as seguradoras fazem parte. Estão caracterizados crimes e penalidades aplicáveis, dentre os quais se destacam: Multa e reclusão de 2 a 6 anos para: a divulgação de informações falsas ou incompletas sobre a instituição financeira; e por indução de sócios e investidores ao erro quanto a operações ou situação financeira, prestando informações falsas ou sonegando-a; Multa e reclusão de 1 a 5 anos para: fraudes à fiscalização ou ao investidor com falsificação de documentos e declarações; movimentação e manutenção de recursos sem registros contábeis legalmente exigidos; bem como falsificação ou omissão, nas demonstrações contábeis, de informações exigidas pela legislação; e Multa e reclusão de 3 a 12 anos para gestão fraudulenta; e de 2 a 8 anos para gestão temerária. A lei estabelece que uma vez condenados à reclusão, mesmo que primário ou com bons antecedentes, os réus não têm direito à fiança. A Lei nº 7.913, de 1989, possibilita que o Ministério Público adote medidas judiciais para evitar prejuízos ou ressarcir os investidores do mercado nos casos de danos advindos de operação fraudulenta, prática não eqüitativa, manipulação de preços ou criação de condições artificiais de procura, oferta ou preço de ações e títulos; uso de informação relevante e privilegiada por parte dos administradores para obtenção de ganho com valores mobiliários; 71 ou omissão de informação relevante por parte de quem deveria divulgá-la, bem como sua prestação de forma incompleta, falsa ou tendenciosa. Com a Lei nº 9.613, de 1998, foram definidas penas de multa e reclusão de 3 a 10 anos para a ocultação de valores ou bens provenientes de tráfico, terrorismo, contrabando, crimes contra o SFN ou crime organizado. Ainda que tais crimes possam afetar não só os administradores das empresas, a lei estabelece penalidades de advertência, multa e inabilitação para exercício do cargo, de até 10 anos, para os administradores que deixem de manter registros de identificação de clientes e transações financeiras, bem como deixem de comunicar, operações que possam configurar os crimes previstos na lei. A Lei nº 10.303, de 2001, altera e acrescenta dispositivos na Lei 6.404, de 1976, que trata das sociedades por ações, e na Lei 6.385, de 1976, que dispõe sobre o mercado de valores mobiliários, caracterizando crimes e penalidades aos administradores tais como: Pena de reclusão de 1 a 8 anos e multa de até 3 vezes o montante da vantagem ilícita decorrente de crime de manipulação do mercado, com simulação de operações, execução de atividades fraudulentas que alterem o mercado a fim de obter vantagem ou lucro, ou causar danos a terceiros; Pena de reclusão de 1 a 5 anos e multa de até 3 vezes o montante da vantagem ilícita decorrente do uso de informação privilegiada para obtenção de vantagem indevida com valores mobiliários; e Pena de detenção de 2 meses a 2 anos para o exercício irregular de cargo, profissão, atividade ou função no mercado. 72 Os bancos e seguradoras estão ainda sujeitos às penalidades advindas de irregularidades detectadas em processos de intervenção de que trata a Lei nº 6.024, de 1974, sobre intervenção e liquidação extrajudicial de instituições financeiras. Neste caso, os administradores respondem solidariamente pelas obrigações assumidas durante sua gestão. 5.4.3 Responsabilização em OPS As principais cláusulas de responsabilização dos administradores de OPS constam da Lei nº 9.656, de 1998, que estabelece: no artigo 25, que as infrações aos dispositivos legais e aos contratos celebrados com os beneficiários sujeitam as OPS e seus administradores às penas de advertência, multas que variam de 5 mil a 1 milhão de reais e a inabilitação temporária ou permanente para o exercício de cargos em OPS, conforme regulamentação da ANS, sem prejuízo da legislação vigente; no artigo 26, que os administradores das OPS respondem solidariamente pelos prejuízos causados a terceiros, inclusive acionistas, cotistas, cooperados e consumidores, conforme o caso em descumprimento dos normativos referentes às operações de planos de saúde, em especial pela falta de constituição e cobertura de garantias obrigatórias; no artigo 24-D, que se aplicam à liquidação extrajudicial das OPS, no que couber, as exigências da Lei nº 6.024, de 1974, que trata das liquidações extrajudiciais aplicáveis também ao SFN; 73 Embora a Lei nº 9.613, de 1998, não cite expressamente as OPS como entidades abrangidas pela lei, sua aplicabilidade tem sido exigida no setor e inclusive foi regulamentada pela ANS por meio da RN nº 117, de 2005. 74 6 CONSIDERAÇÕES SOBRE OS AMBIENTES REGULAMENTARES E GESTÃO DE RISCO 6.1 QUANTO AOS PROCESSOS DE GESTÃO DE RISCOS Como um resumo das principais abordagens acerca de gestão de riscos corporativos podemos destacar como pré-condições para a implementação bem sucedida de processos deste tipo: O comprometimento da alta administração, integrando todo o processo de gestão de riscos à estratégia de negócio da empresa, a fim de garantir sua continuidade e aperfeiçoamento; A cultura voltada para a identificação, avaliação, mensuração e tratamento dos riscos deve permear toda a empresa e as responsabilidades dos principais envolvidos no processo devem ser formalizadas de forma a evitar conflitos de interesse; A qualificação de profissionais, o uso de tecnologia adequada e controles internos efetivos, independentemente das exigências de reguladores. 75 As práticas modernas de governança corporativa têm revelado a necessidade de uma área específica e especializada para a gestão dos riscos nas empresas, na qual cada vez mais está presente a figura do Chief Risk Officer – CRO, como coordenador das atividades desta área, garantindo que a alta administração esteja munida de informações tempestivas e de qualidade sobre a exposição aos riscos para auxiliar sua tomada de decisão. A comunicação interna e a formalização das atribuições dos envolvidos são fatores cruciais na divulgação e na manutenção da cultura corporativa voltada para riscos. A avaliação do estágio de maturidade de gestão de riscos na empresa pode ajudar a situar a administração quanto ao esforço necessário para melhoria dos processos que viabilizariam a implementação de processos de gestão de risco. O primeiro passo para a implementação de processos de gestão de risco é a identificação dos riscos mais relevantes a que a empresa está exposta. Esta etapa geralmente é seguida do agrupamento (por empresa, unidade de negócio ou processos-chave) e classificação dos riscos, com a devida formalização. Uma alternativa para a classificação dos riscos nas OPS foi apresentada pela própria ANS, por meio da regulamentação de modelos próprios/internos – IN DIOPE nº 14, de 2007 - que prevê a classificação de 5 principais riscos: Subscrição; Crédito; Mercado; Legal e Operacional. Uma forma comumente utilizada para facilitar a avaliação e quantificação dos riscos de uma instituição é a sua representação por meio de matrizes de risco que permitam quantificar a probabilidade de ocorrência e o impacto financeiro associado aos riscos mais relevantes. 76 Uma vez identificados, agrupados, classificados e avaliados os principais riscos, a etapa seguinte consiste na definição de estratégias da alta administração para o seu tratamento, no qual são definidas as ações a serem tomadas para redução ou fortalecimento da empresa face aos riscos que enfrenta por meio da mitigação, eliminação, transferência ou aceitação dos riscos. Devido à dinâmica dos processos de negócio, e como forma de avaliar o efeito das ações tomadas, é essencial que a administração reavalie periodicamente todas as etapas do processo citado, garantindo a otimização dos seus esforços, a continuidade e amadurecimento da atividade na empresa. A manutenção de processos de gestão de risco, em estágios avançados, facilitaria o desenvolvimento de modelos próprios/internos de riscos hoje exigidos para fins de capital regulatório das OPS. A partir destas considerações, podemos propor um desenho esquemático que resume o processo de gestão de riscos corporativos para auxílio à sua adoção nas OPS, conforme a seguinte figura: 77 REQUISITOS Ambiente propício à gestão de risco: Demandas da regulação, boas práticas de Governança Corporativa. Estrutura interna para implementação: Controles Internos, histórico de dados, sistemas de informação e apoio da alta administração. PROCESSO DE GESTÃO DE RISCOS CORPORATIVOS Fluxo de ações para os riscos corporativos: Identificar Identificare e Classificar Classificar Avaliar Avaliare e Quantificar Quantificar Definir Mitigar tratamento Controlar e e Controlar Monitorar Monitorar Classificação: Risco de Subscrição, Risco de Mercado, Risco de Crédito, Risco Operacional e Risco Legal. Coordenação do processo: CRO ou responsável por unidade específica para riscos Modelos próprios/internos: Em um estágio avançado pode fornecer subsídios para modelagem de capital econômico Figura 4 – Resumo esquemático do processo de gestão de riscos corporativos para OPS Fonte: elaborado pelo autor. 6.2 QUANTO AOS CONTROLES INTERNOS Conforme observou-se na análise comparativa da SOx e dos ambientes regulamentares de bancos, seguradoras e OPS, as exigências referentes a controles internos tendem a convergir, exceto para as OPS. As principais exigências observadas para os controles internos podem ser resumidos da seguinte forma: A implantação, manutenção, avaliação periódica de uma estrutura de controles internos efetiva e adequada às operações das empresas é de responsabilidade de sua 78 administração, inclusive quanto à disseminação da sua importância para os funcionários; A avaliação da eficácia da estrutura de controles internos deve ser documentada e disponibilizada aos reguladores por meio de relatório, a ser atestado pela auditoria e submetido ao conhecimento do Conselho de Administração, na qual são explicitadas as deficiências identificadas e as ações corretivas. Este relatório é semestral para seguradoras e bancos brasileiros, no caso da SOx é exigido que relatório semelhante seja encaminhado em conjunto com os relatórios anuais enviados à SEC. Além desta avaliação, a SOX exige ainda a certificação dos controles pelo CEO e CFO; A auditoria tem papel fundamental na validação da estrutura de controles internos implantada; No Brasil, independente da estrutura geral de controles internos, os bancos, seguradoras e OPS, o ambiente regulamentar exige uma estrutura específica para prevenção e combate à lavagem de dinheiro a fim de atender as exigências da Lei nº 9.613, de 1998. No caso das seguradoras ainda há a exigência explícita de uma estrutura de controles internos específicos para prevenção de fraudes que deve ser constituída a partir de estudos internos de riscos de fraude. Um aspecto a ser ressaltado é o fato de que, embora não possua normas que especifiquem exigências de uma estrutura mínima de controles internos para as OPS, a existência de uma estrutura de controles é pressuposta pela ANS tanto de forma geral, como especificamente para prevenção e combate à lavagem e ocultação de bens, direitos e valores. Exige-se, inclusive, que as empresas que atuam no setor encaminhem anualmente um relatório 79 circunstanciado contendo as observações do auditor independente, relativamente às deficiências ou à ineficácia dos controles internos. Tal fato, teoricamente, permitiria à ANS ter uma visão, mesmo que superficial, sobre como os controles internos estão estruturados nas OPS. 6.3 QUANTO À TRANSPARÊNCIA Os sistemas de controles internos, conselhos, comitês e auditorias (interna e externa) são instrumentos que podem ser utilizados pelas empresas para identificação e mitigação de riscos de desvios dos administradores e estão contempladas nos ambientes regulamentares dos principais mercados como forma de garantir credibilidade e transparência das ações dos administradores das empresas aos investidores e à sociedade em geral. Os principais dispositivos que demandam transparência na SOx e nos ambientes regulamentares de seguradoras e bancos brasileiros possuem forte relação com as exigências de controles internos, demandando a elaboração de relatórios e a divulgação de uma série de informações aos conselhos de administração, ao comitê de auditoria e aos reguladores, geralmente contando com auxílio de auditores externos. Inobstante a ausência de requerimentos detalhados para os controles internos, as exigências de relatórios e informações periódicas no ambiente regulamentar das OPS é muito semelhante àquelas constantes do ambiente das seguradoras e bancos, apenas com um grau de detalhamento e periodicidade mais genéricos. Neste contexto, as demandas relacionadas à transparência são muito semelhantes e contemplam: 80 Exigência de elaboração e encaminhamento de um relatório de avaliação da qualidade dos controles internos, constando as deficiências encontradas e as ações para redução dos possíveis efeitos destas deficiências. A exigência para seguradoras e bancos brasileiros é semestral, ao passo que na SOx e para as OPS é anual. Na SOx este relatório é de responsabilidade da administração e deve ser atestado pela auditoria externa. No Brasil, tanto para seguradoras e bancos, como para OPS, tal relatório deve ser elaborado pelos auditores externos e deve ser submetido ao conhecimento da administração. A legislação de seguradoras e bancos explicita ainda a necessidade de discussão das questões levantadas no relatório; Tanto a regulamentação de seguradoras e bancos brasileiros, quanto a SOx, dão ênfase explícita à responsabilidade da administração quanto à ética, fidedignidade, veracidade e confiabilidade das informações prestadas. Não se verifica a mesma ênfase nos normativos aplicáveis às OPS; A SOx adicionalmente exige a certificação de todos os relatórios pelo CEO e CFO, tornando mais rigoroso o processo de divulgação de informações. Além disso, há a preocupação explícita com a criação de um ambiente que possibilite a denúncia de desvios de conduta dos administradores por qualquer empregado, garantindo-lhe maior proteção. No ambiente regulamentar de bancos e seguradoras, a existência ou evidência de erro ou fraude identificada no decorrer dos trabalhos de auditoria ou por meio de comunicação da diretoria, prestadores de serviço ou auditoria interna das empresas deve ser obrigatoriamente informada ao regulador pelos auditores externos e/ou o comitê de auditoria; 81 As informações periódicas prestadas aos reguladores de bancos, seguradoras e OPS são semelhantes e possuem periodicidade mensal, trimestral ou anual. Tanto bancos como OPS possuem ainda prazos diferenciados de envio das informações contábeis para diferentes grupos de instituições reguladas; Tanto a ANS, quanto o BCB e a SUSEP, disponibilizam na internet as informações financeiras que lhes foram enviadas, possibilitando o acompanhamento das contas das instituições por analistas e profissionais do setor. Para 2011, nota-se um esforço adicional da ANS em prover maior confiabilidade a estas informações, solicitando que, da mesma forma que exigido pelo BCB, os auditores externos façam algum tipo de revisão adicional quando do encaminhamento dos dados trimestrais. 6.4 QUANTO AO COMITÊ DE AUDITORIA A SOx e os ambientes regulamentares das seguradoras e bancos brasileiros são convergentes nas principais demandas acerca do Comitê de Auditoria e apresentam as seguintes características em comum: O Comitê de Auditoria deve estar vinculado ao Conselho de Administração, sendo este último responsável pelas atividades típicas do comitê no caso de sua inexistência. Os normativos de seguradoras e bancos brasileiros estabelecem as situações em que a instalação do comitê é obrigatória. No caso da SOx, é exigida independência dos membros do comitê; O comitê tem entre suas atribuições a indicação das empresas de auditoria e a avaliação periódica de trabalhos dos auditores; 82 Os relatórios de auditoria devem ser encaminhados ao comitê que deve ter ciência das recomendações dos auditores para discussão com a administração e acompanhamento das ações originadas destas recomendações; Há um consenso quanto à necessidade de que, pelo menos, um dos membros do comitê possua conhecimentos específicos de finanças, contabilidade ou auditoria. A SOx inclusive caracteriza as situações que configurariam tal especialização. No caso de que não haja membros do comitê com este conhecimento, tal fato deve ser divulgado e justificado à SEC. Nas seguradoras e bancos brasileiros, a presença de um membro especialista no comitê é obrigatória; O Comitê de Auditoria de seguradoras e bancos brasileiros deve elaborar relatório próprio, semestralmente, no qual constem: a avaliação dos controles e das auditorias da empresa; avaliação da qualidade das demonstrações contábeis; recomendações apresentadas à diretoria e o tratamento dado a elas. Um resumo deste relatório deve ser publicado em conjunto com as demonstrações contábeis; Dentre os relatórios que necessitam de algum tipo de revisão do auditor para as empresas submetidas à SOx, para as seguradoras e bancos brasileiros, destacam-se o parecer dos auditores sobre as demonstrações contábeis e o relatório de avaliação sobre a eficiência dos controles internos. Para as seguradoras brasileiras também é exigido um relatório específico a respeito da avaliação dos controles internos para prevenção de fraudes; O rodízio das equipes de auditoria a cada 5 anos é outro ponto em comum constantes da SOx e dos ambientes regulamentares das seguradoras e bancos brasileiros. O efeito 83 deste rodízio é controverso em qualquer dos ambientes pesquisados - a SOx dedica uma seção para a necessidade de estudos adicionais sobre a questão e os ambientes regulamentares brasileiros inicialmente exigiam o rodízio das empresas de auditoria e, após algumas alterações chegaram a forma atual limitando o rodízio apenas às equipes de auditoria. Não se identificou qualquer menção sobre a estruturação deste tipo de comitê para as OPS. Entretanto, a regulamentação aplicável a estas empresas exige o encaminhamento de uma série de relatórios gerados pelos trabalhos de auditoria que vão desde o parecer dos auditores sobre as demonstrações contábeis e o relatório circunstanciado sobre os controles internos da empresa – cuja exigência é anual - e, mais recentemente, o relatório de procedimentos previamente acordados decorrente da revisão das informações eletrônicas encaminhadas à ANS trimestralmente. A ANS prevê a possibilidade de comunicar falhas ou irregularidades identificadas no trabalho dos auditores ao CFC e à CVM, desconsiderando os trabalhos destes profissionais até o julgamento adequado pelos órgãos competentes. 6.5 QUANTO À RESPONSABILIZAÇÃO As melhores práticas de governança corporativas se baseiam na transparência, equidade, na prestação de contas e a responsabilidade corporativa (IBGC, 2004). Uma forma de dar credibilidade e confiança a uma indústria é garantir que os desvios de conduta e o descompromisso com as obrigações e responsabilidades assumidas sejam passíveis de penalidades que reduzam o incentivo a estas práticas, especialmente entre os administradores de empresas que atuam em setores regulados. 84 Como mencionado anteriormente, a SOx foi publicada pelo governo americano em meio ao descrédito crescente em que se encontrava o mercado americano após a quebra de grandes corporações e, como tal, introduziu mecanismos rigorosos de responsabilização dos administradores, exigindo maior comprometimento e transparência das práticas gerenciais e contábeis nas empresas, e estabelecendo penalidades exemplares no caso de identificação de desvios de conduta que possam trazer prejuízos aos investidores e à sociedade. Da mesma forma, a legislação brasileira aplicável às seguradoras e bancos prevê penalidades que podem ser evocadas em caso de desvios de conduta dos administradores destas empresas, ainda que não estejam organizadas sob a forma de empresas de capital aberto, ou que estejam sob regime de intervenção ou liquidação. O ambiente regulamentar das OPS não possui um ordenamento jurídico específico que preveja explicitamente as situações de desvios de conduta dos administradores. A Lei nº 9.656, de 1998, restringe-se a situações genéricas como descumprimento dos dispositivos legais, sem prejuízo das legislações vigentes, exceto nos casos de liquidação extrajudicial, na qual evoca-se a mesma legislação aplicável às seguradoras e bancos brasileiros. A amplitude de possibilidades aberta pela redação da Lei nº 9.656, de 1998, e a diversidade de estruturas societárias das OPS abrem margem para uma série de discussões jurídicas sobre, afinal, quais seriam as legislações vigentes que também seriam aplicáveis aos administradores de OPS. Certamente, as mesmas leis que se aplicam às seguradoras e bancos se aplicariam também às seguradoras especializadas em saúde e às empresas de capital aberto que atuam no setor. Entretanto o mesmo não pode ser dito para as OPS que operam planos exclusivamente odontológicos ou sem fins lucrativos. 85 Por outro lado, situações de equiparação com as leis aplicáveis a seguradoras e bancos merecem maior discussão jurídica. Um exemplo claro ocorre com a Lei nº 9.613, de 1998, que dispõe sobre os crimes de lavagem de dinheiro, que também se aplica às OPS por equiparação e foram inclusive regulamentadas pela ANS, embora não conste da lista de empresas alcançadas pela referida lei qualquer menção específica às OPS. Da mesma forma, outra possibilidade de equiparação que pode ser suscitada se refere à Lei nº 7.492, de 1996, que prevê sua aplicabilidade para qualquer pessoa jurídica que “capte, intermedeie, ou aplique recursos financeiros de terceiros”. Ainda que sujeito à melhor interpretação jurídica, podemos concluir de forma preliminar que a operação de planos de saúde, conforme definida na legislação vigente, enquadra-se em tal situação à medida que – de forma geral - consiste exatamente na captação de recursos financeiros para a garantia de assistência à saúde nos termos contratuais acertados com seus beneficiários, corroborando ainda para a interpretação de equiparação, a exigência de constituição de garantias financeiras que possuam lastro financeiro adequado para o pagamento dos serviços de assistência à saúde executados pelos prestadores de serviços de saúde (médicos, hospitais, clínicas, laboratórios, etc). 86 7 CONCLUSÕES Com base na revisão da literatura podemos concluir que a gestão de riscos corporativos é um processo que deve estar integrado à estratégia das empresas, envolvendo a identificação, avaliação, tratamento e monitoramento sistemático dos principais riscos que podem afetar uma empresa. Dentre os pré-requisitos para a implementação de um processo deste tipo estão: uma cultura organizacional com uma visão de riscos, uma estrutura organizacional que possua controles internos e sistemas de informação adequados; formalização de funções e processos; alta administração que suporte a idéia da implementação com visão clara, convicta e resistente sobre os desafios e oportunidades desta abordagem. É recomendável a criação de uma unidade de negócio que centralize as ações na empresa, composta de pessoal qualificado e por uma liderança que possa auxiliar a tomada de decisão da alta administração a partir de informações tempestivas e de qualidade sobre a exposição aos riscos que a empresa está exposta. 87 Os processos de gestão de riscos corporativos nas OPS facilitariam a adequação destas empresas aos requerimentos legais e regulatórios e, em estágios mais avançados, o desenvolvimento de modelos próprios/internos, aceitos atualmente para o dimensionamento do capital regulatório a ser observado em substituição à abordagem padronizada exigida pela ANS. Da análise dos dispositivos regulamentares foi possível confirmar estudos anteriores que constataram a convergência dos ambientes regulamentares de seguradoras e bancos brasileiros - inspirados nos acordos de Basiléia e no Projeto Solvência, respectivamente - com as exigências da SOx, no que diz respeito aos temas abordados nesta dissertação: controle interno, transparência, comitê de auditoria e responsabilização. Apesar de lidar com uma série de riscos, da influência da regulamentação do SFN nos aspectos econômico-financeiros e a semelhança com as operações de seguros, o ambiente regulamentar das OPS é pouco específico e deve ser aperfeiçoado para mitigar a possibilidade de arbitragem regulatória no setor, especialmente no que diz respeito às exigências de controles internos e de comitê de auditoria que, por sua vez, são essenciais para garantir maior transparência às empresas. A equiparação com as leis que tratam de responsabilização dos administradores em seguradoras e bancos carece de melhor análise jurídica a fim de verificar sua aplicabilidade no setor. A diversidade de estruturas societárias das OPS e o pouco tempo de regulamentação, comparado às seguradoras e bancos brasileiros, podem explicar a abordagem genérica existente na legislação aplicável ao setor. Neste sentido, uma alternativa futura para a ANS seria a introdução de regras diferenciadas para as operadoras proporcionalmente à complexidade dos riscos assumidos e as diferentes estruturas de operação. 88 Apesar da presença de controles internos efetivos serem um dos requisitos para a implementação de processos de gestão de risco, o fato de que o ambiente regulamentar das OPS não exige, explicitamente, um sistema de controles internos mais estruturado do que os ambientes de seguradoras e bancos, não fornece evidências suficientes para afirmar que as empresas do setor sejam mais incipientes no que tange ao tema. Por outro lado, apenas com base no atual ambiente regulamentar, pode-se afirmar que o desenvolvimento de modelos próprios/internos de riscos das OPS que atendam à IN DIOPE nº 14, de 2007, ainda é uma realidade distante do setor, e depende mais da iniciativa própria das empresas no desenvolvimento de processos de gestão de riscos corporativos. Dentre as limitações desta dissertação podemos citar a ausência de uma avaliação empírica do estágio de maturidade da gestão de riscos corporativos nas OPS, seguradoras e bancos, o que poderia agregar questões e experiências mais específicas dos setores. Além da avaliação citada acima sugerem-se como pesquisas futuras: o aprofundamento da discussão sobre a equiparação das leis aplicáveis à responsabilização da alta administração de seguradoras e bancos para as OPS; e a ampliação da análise dos ambientes regulamentares aqui procedidas de forma a englobar os fundos de pensão e as exigências de capital regulatório, completando assim uma visão mais geral dos principais mercados regulados do país. 89 REFERÊNCIAS BIBLIOGRÁFICAS AGÊNCIA NACIONAL DE SAÚDE (ANS). Resolução da Diretoria Colegiada – RDC nº 39, de 27 de outubro de 2000. Rio de Janeiro: ANS, 2000. Disponível em : <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=159&id_original=0>. Acesso em: 14 mai. 2009. ______. Resolução de Diretoria Colegiada – RDC nº 65, de 16 de abril de 2001. Rio de Janeiro: ANS, 2001a. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=135&id_original=0>. Acesso em: 14 mai. 2009. ______. Resolução de Diretoria Colegiada – RDC nº 77, de 17 de julho de 2001. Rio de Janeiro: ANS, 2001b. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=128&id_original=0>. Acesso em: 14 mai. 2009. ______. Resolução Normativa – RN nº 117, de 30 de novembro de 2005. Rio de Janeiro: ANS, 2005. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=798&id_original=0>. Acesso em: 11 jan. 2010. ______. Resolução Normativa – RN nº 137, de 14 de novembro de 2006. Rio de Janeiro: ANS, 2006b. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=929&id_original=0>. Acesso em: 14 mai. 2009. ______. Resolução Normativa – RN nº 160, de 04 de julho de 2007. Rio de Janeiro: ANS, 2007a. Disponível em : <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=1017&id_original=0 >. Acesso em : 14 de maio de 2009. _____. Instrução Normativa – IN nº 14, de 27 de dezembro de 2007, da Diretoria de Normas e Habilitação das Operadoras. Rio de Janeiro: ANS, 2007b. Disponível em : 90 <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=1082&id_original=0 > Acesso em : 14 mai. 2009. ______. Resolução Normativa – RN nº 173, de 14 de novembro de 2008. Rio de Janeiro: ANS, 2008. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=1658&id_original=0 >. Acesso em: 11 jan. 2010. ______. Resolução Normativa – RN nº 209, de 22 de dezembro de 2009. Rio de Janeiro: ANS, 2009a. Disponível em: <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=1970&id_original=0 >. Acesso em: 11 jan. 2010. _____. Instrução Normativa – IN nº 36, de 22 de dezembro de 2009, da Diretoria de Normas e Habilitação das Operadoras. Rio de Janeiro: ANS, 2009b. Disponível em : <http://www.ans.gov.br/portal/site/legislacao/legislacao_integra.asp?id=1967&id_original=0 > Acesso em : 14 de maio de 2009. _______. Caderno de Informação da Saúde Suplementar : beneficiários, operadoras e planos. Rio de Janeiro: ANS, 2010a. Disponível em: <http://www.ans.gov.br/data/files/FF8080822C378C2E012D52D689D44521/Caderno_201012-emb_WEB.pdf> Acesso em : 18 de janeiro de 2011. ______. Resolução Normativa – RN nº 238, de 3 de novembro de 2010. Rio de Janeiro: ANS, 2010b. Disponível em: <http://www.ans.gov.br/data/files/FF8080822C133404012C1752C84B51D7/RN%20238.pdf >. Acesso em: 10 de novembro de 2010. AGOSTINI, L. C de. Algumas Práticas Ofensivas a Direitos Fundamentais Praticadas pelas Operadoras de Planos de Saúde. Revista Direitos Fundamentais e Democracia, v. 1, p. 1448, 2007. ALMEIDA, R. G. de. O Capital baseado em risco: uma abordagem para operadoras de planos de saúde. 2008. Dissertação (Mestrado em Engenharia de Produção) – Universidade Federal Fluminense, Niterói, 2008. ARDEO, V.; BRAZ, A.; NERI, M.; QUADROS, S. A inflação da terceira idade. Conjuntura Econômica, FGV, v. 58, n. 7, p. 68-74, 2004. BAHIA, L. Risco, Seguro e Assistência Suplementar no Brasil. ANS, 2001. Disponível em: <http://www.ans.gov.br/portal/upload/forum_saude/forum_bibliografias/financiamentodoseto r/EE3.pdf> Acesso em 31 de agosto de 2009 91 BANCO CENTRAL DO BRASIL. Circular 2.852. Brasília: Banco Central do Brasil, 1998a. ______. Resolução 2.554. Brasília: Banco Central do Brasil, 1998b. ______. Circular 2.990. Brasília: Banco Central do Brasil, 2000. ______. Resolução 3.056. Brasília: Banco Central do Brasil, 2002. ______. Comunicado 12.746. Brasília: Banco Central do Brasil, 2004a. ______. Resolução 3.170. Brasília: Banco Central do Brasil, 2004b. ______. Resolução 3.198. Brasília: Banco Central do Brasil, 2004c. ______. Resolução 3.380. Brasília: Banco Central do Brasil, 2006a. ______. Resolução 3.416. Brasília: Banco Central do Brasil, 2006b. ______. Comunicado 16.137. Brasília: Banco Central do Brasil, 2007a. ______. Resolução 3.464. Brasília: Banco Central do Brasil, 2007b. ______. Resolução 3.503. Brasília: Banco Central do Brasil, 2007c. ______. Resolução 3.042. Brasília: Banco Central do Brasil, 2008a. ______. Resolução 3.606. Brasília: Banco Central do Brasil, 2008b. ______. Comunicado 19.028. Brasília: Banco Central do Brasil, 2009a. ______. Resolução 3.721. Brasília: Banco Central do Brasil, 2009b. BANK FOR INTERNATIONAL SETTLEMENTS (BIS). International regulatory framework for banks (Basel III). Disponível em: < http://www.bis.org/bcbs/basel3.htm>. Acesso em 8 de novembro de 2010. 92 BARTON, T. L.; SHENKIR, W. G.; Walker, P. L. Making Enterprise Risk Management Pay Off: How leading companies implement risk management. Upper saddle river, NJ. Financial Times/Prentice Hall PTR, 2002. BERRY, A. J.; COAD, A. F.; HARRIS, E. P.; OTLEY, D.T; STRINGER, C. Emerging Themes in Management Control: A review of recent literature. British Accounting Review, n. 41 p. 2-20, 2009. BRASIL. Lei nº 6.024, de 13 de março de 1974. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 13 mar. 1974. ______. Lei nº 7.492, de 16 de junho de 1986. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 18 jun. 1986. ______. Lei nº 7.913, de 07 de dezembro de 1989. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 07 dez. 1989. ______. Lei nº 9.613, de 03 de março de 1998. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 04 mar. 1998a. ______. Lei nº 9.656, de 03 de junho de 1998. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 04 jun. 1998b. ______. Lei nº 10.185, de 12 de fevereiro de 2001. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 14 fev. 2001a. ______. Lei nº 10.303, de 31 de outubro de 2001. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 31 out. 2001b. ______. Medida Provisória nº 2.177-44, de 24 de agosto de 2001. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 27 ago. 2001c. ______. Lei nº 10.406, de 11 de janeiro de 2002. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 11 jan. 2002. ______. Lei nº 10.741, de 1º de outubro de 2003. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 3 out. 2003. ______. Lei nº 11.638, de 28 de dezembro de 2007. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 28 de dezembro de 2007. 93 BRAUMÜLLER, P. IAIS: Desafios num Período de Turbulência. Cadernos de Seguro (FUNENSEG), v. 156, p. 28-36, 2009. BRAUNBECK, G. O.;CARVALHO, L. N. G de. Rodízio Obrigatório de Auditorias: Emenda Pior que o Soneto? In: 8º Congresso USP de Controladoria e Contabilidade, 2008, São Paulo – SP. Anais...São Paulo:USP, 2008. CAMAZANO, M. A.; ARIMA, C. H. Influência do Sarbanes-Oxley Act of 2002 sobre o Gerenciamento do Risco Operacional em Instituições Financeiras Brasileiras. In: 18º Congresso Brasileiro de Contabilidade, 2008, Gramado - RS. 18º Congresso Brasileiro de Contabilidade: "contabilidade: ciência a serviço do desenvolvimento", 2008. CARVALHO, E. J. L. de. Gerenciamento do risco operacional em organizações financeiras. In DUARTE JR., A. M. (Org.); VARGA, G. (Org.). Gestão de Riscos no Brasil. Rio de Janeiro: Financial Consultoria Ltda, 2003. p. 457-482. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management – Integrated Framework. [s.l.]: Committee of Sponsoring Organizations of the Treadway Commission, 2004. CONSELHO NACIONAL DE SEGUROS PRIVADOS. Resolução CNSP nº 118, de 2004. Rio de Janeiro: SUSEP, 2004. ______. Resolução CNSP nº 155, de 2006. Rio de Janeiro: SUSEP, 2006a. ______. Resolução CNSP nº 156, de 2006. Rio de Janeiro: SUSEP, 2006b. ______. Resolução CNSP nº 157, de 2006. Rio de Janeiro: SUSEP, 2006c. ______. Resolução CNSP nº 158, de 2006. Rio de Janeiro: SUSEP, 2006d. ______. Resolução CNSP nº 178, de 2007. Rio de Janeiro: SUSEP, 2007. ______. Resolução CNSP nº 193, de 2008. Rio de Janeiro: SUSEP, 2008a. ______. Resolução CNSP nº 200, de 2008. Rio de Janeiro: SUSEP, 2008b. DUARTE JR., A. M. A importância do gerenciamento de riscos corporativos em bancos. In DUARTE JR., A. M. (Org.); VARGA, G. (Org.). Gestão de Riscos no Brasil. Rio de Janeiro:Financial Consultoria Ltda, 2003. p. 3-12. 94 DUARTE JR., A. M.; LÉLIS, R. J. F. Unificando a Alocação de Capital em Bancos e Seguradoras no Brasil. Revista de Administração de Empresas, v. 44, n. 2, p. 73-84, 2004. DUARTE JR., A. M. Gestão de Riscos para Fundos de Investimento. São Paulo: Prentice Hall, 2005.182 p. ECONOMIST INTELLIGENCE UNIT. The Evolution of Risk and Controls: From ScoreKeeping to Stratategic Partnering. KPMG, 2007. ESTADOS UNIDOS DA AMÉRICA. SarbanesOxley Act of 2002. US Government Printing Office. Congresso dos Estados Unidos da América, 30 de julho de 2002. Disponível em: < http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/content-detail.html>. Acesso em 23 de novembro de 2010. FAMÁ, R.; GALDÃO A. A função financeira: uma análise esquemática de sua evolução. In Anais I SEMEAD, USP/SP, 1996. FEDERAÇÃO BRASILEIRA DE BANCOS (FEBRABAN). Função de Compliance. Documento Consultivo, 2004. Disponível em: <http://www.febraban.org.br/Arquivo/Destaques/Funcao_de_Compliance.pdf>. Acesso em 03 de novembro de 2010. FISHKIN, C. A. The Shape of Risk: A New Look at Risk Management. New York: Palgrave Macmillan, 2006. 400 p. FROOT, K. A.; STEIN, J. C. Risk management, capital budgeting and capital strucuture policy for financial institutions: an integrated approach. Journal of Financial Economics, v. 47, n. 1, p. 55-82, 1998. GOUVEIA, M. T. C. S. O modelo de Agência Reguladora e a ANS: construção do regime regulatório na saúde suplementar. 2004. Dissertação (Mestrado Executivo em Saúde Pública) - Escola Nacional de Saúde Pública – Fundação Oswaldo Cruz, Rio de Janeiro, 2004. GUERRA, L. L. Estratégia de Serviços das Empresas que Operam Planos/Seguros de Saúde no Brasil: Cooperativas, Empresas de Medicina de Grupo e Seguradoras. Rio de Janeiro: Funenseg, 1998. Série Caderno de Seguros. HAWKINS, D. F; COHEN, J. Arthur Andersen LLP. Cambridge: Harvard Business School, 2004. Estudo de Caso. IBM Global Business Services. Balancing Risk and Performance with an Integrated Finance Organization: The Global CFO Study 2008. IBM, 2008 95 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das Melhores Práticas de Governança Corporativa. 3ª ed. – São Paulo: IBGC, 2004. 48p. ______. Guia de Orientação para Gerenciamento de Riscos Corporativos. São Paulo: IBGC, 2007. 48p. INTERNATIONAL ACTUARIAL ASSOCIATION (IAA). Note on Enterprise Risk Management for Capital and Solvency Purposes in the Insurance Industry. [Ottawa]: International Actuarial Association, 2009. Disponível em: <http://www.actuaries.org/CTTEES_FINRISKS/Documents/Note_on_ERM.pdf>. Acesso em 17 de julho de 2009. INTERNATIONAL ASSOCIATION OF INSURANCE SUPERVISORS (IAIS). Guidance Paper on Enterprise Risk Management for Capital Adequacy and Solvency Purposes. [Basel]: International Association of Insurance Supervisors, 2008. Disponível em: <http://www.iaisweb.org/__temp/14__Guidance_paper_No__2_2_5_on_ERM_for_capital_ad equacy_and_solvency_purposes.pdf>. Acesso em 17 de julho de 2009. JORION, P. Value at Risk: The New Benchmark for Managing Financial Risk. 3ª ed. New York: McGraw-Hill, 2006. 600 p. KLEFFNER, A. E.; LEE R. B.; McGANNON, B. The Effect of Corporate Governance on the use of Enterprise Risk Management: Evidence from Canada. Risk Management and Insurance Review, v. 6, n. 1, p. 53-73, 2003. KPMG BRASIL. A Evolução dos Riscos e Controles Internos na Visão dos Executivos Brasileiros: Transformando Dados em Decisões. KPMG Brasil, 2008. LUIZ, J. C. Chief Risk Officer - CRO. In DUARTE JR., A. M. (Org.); VARGA, G. (Org.). Gestão de Riscos no Brasil. Rio de Janeiro: Financial Consultoria Ltda, 2003. p. 71-78. MELO, L. M. Gestão de Riscos de Crédito no Mercado Segurador Brasileiro. 2003. Dissertação (Mestrado Profissionalizante em Administração) - Faculdades Ibmec, Rio de Janeiro, 2003. ______. Um Novo Modelo de Supervisão No Mercado Segurador Brasileiro. Revista Brasileira de Risco e Seguros, v. 1, n. 1, p. 1-15, 2005. MOELLER, R. R. COSO Enterprise Risk management: Understanding the New Integrated ERM Framework. New Jersey: John, Wiley & Sons, 2007. 367p. 96 NETO, W. M. L. Risco de Subscrição: uma abordagem integrada. Cadernos de Seguro (FUNENSEG), n. 134, p. 32-38, 2006. NOGUEIRA, C. A. L. Análise da estrutura econômica da saúde suplementar: estrutura eficiente do mercado. 2004. Dissertação (Mestrado Executivo em Saúde Pública) - Escola Nacional de Saúde Pública – Fundação Oswaldo Cruz, Rio de Janeiro, 2004. OCKÉ-REIS, C. O.; ANDREAZZI, M. de F. S. de; SILVEIRA, F. G. O Mercado de Saúde Suplementar: Uma Criação do Estado. R. Econ. contemp., v. 10(1), p. 157-185, 2006. PAINE, L. S.; WEBER, J. The Sarbanes-Oxley Act. Cambridge: Harvard Business School, 2004. Estudo de Caso. SANSDTRÖM, A. Solvency: models, assessment and regulation. Boca Raton: Chapman & Hall/CRC, 2006. 433p. SUPERINTENDÊNCIA DE SEGUROS PRIVADOS (SUSEP). Circular SUSEP nº 89, de 8 de abril de 1999. Rio de Janeiro: SUSEP, 1999. ______. Circular SUSEP nº 181, de 8 de janeiro de 2002. Rio de Janeiro: SUSEP, 2002a. ______. Circular SUSEP nº 187, de 3 de maio de 2002. Rio de Janeiro: SUSEP, 2002b. ______. Circular SUSEP nº 200, de 9 de setembro de 2002. Rio de Janeiro: SUSEP, 2002c. ______. Circular SUSEP nº 249, de 20 de fevereiro de 2004. Rio de Janeiro: SUSEP, 2004a. ______. Circular SUSEP nº 253, de 12 de maio de 2004. Rio de Janeiro: SUSEP, 2004b. ______. Circular SUSEP nº 280, de 30 de dezembro de 2004. Rio de Janeiro: SUSEP, 2004c. ______. Circular SUSEP nº 327, de 29 de maio de 2006. Rio de Janeiro: SUSEP, 2006. ______. Alteração das Regras de Solvência do Mercado Segurador – Resoluções CNSP 155 a 158. 2007a. Apresentação. Disponível em: <http://www.susep.gov.br/download/menudownload/Subsc7-8Maio.pdf>. Acesso em: 15 mai. 2009. 97 ______. Circular SUSEP nº 344, de 21 de junho de 2007. Rio de Janeiro: SUSEP, 2007b. ______. Circular SUSEP nº 349, de 09 de agosto de 2007. Rio de Janeiro: SUSEP, 2007c. ______. Circular SUSEP nº 355, de 14 de dezembro de 2007. Rio de Janeiro: SUSEP, 2007d. ______. Regulação das Linhas de Ação Preventivas e Capital de Subscrição do Mercado Segurador Brasileiro. Rio de Janeiro: SUSEP, 2007e. Disponível em : <http://www.susep.gov.br/download/menudownload/ArtigoSubscMercadoBrasileiro.pdf> Acesso em: 15 mai. 2009. ______. Circular SUSEP nº 363, de 21 de maio de 2008. Rio de Janeiro: SUSEP, 2008a. ______. Circular SUSEP nº 380, de 29 de dezembro de 2008. Rio de Janeiro: SUSEP, 2008b. ______. Circular SUSEP nº 408, de 23 de agosto de 2010. Rio de Janeiro: SUSEP, 2010a. ______. Risco de Crédito. Relatório. Rio de Janeiro: SUSEP, 2010. Disponível em: <http://www.susep.gov.br/download/menumercado/RelInicialRiscoCred.pdf> Acesso em: 01 nov. 2010b. SUTTON JR., H. L.; WELLER, W. C. Health Risk-Based Capital (RBC): Pricing and Financial Implications. In: Record of the Society of Actuaries, v.21, n. 3A, 1995, [s.l]. Proceedings…[s.l.]: Society of Actuaries, 1995. VICENTE, L. A. B. G. Risco de Liquidez – Aspectos conceituais e Alternativas para sua Modelagem. In DUARTE JR., A. M. (Org.); VARGA, G. (Org.). Gestão de Riscos no Brasil. Rio de Janeiro: Financial Consultoria Ltda, 2003. p 259-277. ZACHARIAS, C. C. Uma Análise Comparativa das Regulamentações Existentes par Empresas, Bancos e Seguradoras, com Ênfase na Lei Sarbanes-Oxley. 2006. Dissertação (Mestrado Profissionalizante em Administração) Faculdades Ibmec, Rio de Janeiro, 2006. ZENO, J. M. C. Risco Legal: Uma Introdução ao seu gerenciamento no Atual Cenário Corporativo. 2007. Dissertação (Mestrado Profissionalizante em Administração) Faculdades Ibmec, Rio de Janeiro, 2007. 98 APÊNDICE – RESUMO DA ANÁLISE COMPARATIVA CONTROLES INTERNOS: SOx BANCOS SEGURADORAS OPS A implantação, manutenção, avaliação periódica de uma estrutura de controles internos efetiva e adequada às operações das empresas é de responsabilidade de sua administração Auditoria faz parte do sistema de controles internos A avaliação da eficácia da estrutura de controles internos deve ser documentada em relatório e disponibilizada aos reguladores, a ser atestado pela auditoria e submetido ao conhecimento do Conselho de Administração Controles internos devem ser acessíveis aos funcionários Relatório de avaliação de controles internos anual Relatório de avaliação de controles internos semestral Relatório anual sobre deficiências e ineficácia de controles internos Certificação dos controles internos pelo CEO e CFO, divulgando aos auditores e ao comitê de auditoria as deficiências dos controles Estrutura de controles internos específicos para combate e prevenção à lavagem de dinheiro Estrutura de controles internos específicos para detectar e prevenir fraudes 99 Arcabouço regulatório pesquisado em controles internos: SOx Seções 302 e 404 BANCOS Resolução 2.554, de 1998; Circular 2.852, de 1998. SEGURADORAS Circular nº 249, de 2004; Circular nº 344, de 2007; Circular nº 363, de 2008; Circular nº 380, de 2008. OPS Anexo I da IN DIOPE nº 36, de 2009; RN nº 117, de 2005; RN nº 173, de 2008. TRANSPARÊNCIA: SOx Certificação dos controles internos pelo CEO e CFO, divulgando aos auditores e ao comitê de auditoria as deficiências BANCOS SEGURADORAS OPS Informações enviadas ao regulador, por meio eletrônico, devem ter declaração assinada por 2 diretores Informações com declaração assinada por diretor e contador, quando solicitado pelo regulador Divulgação de transações, acordos e obrigações relevantes que não constem dos demonstrativos financeiros e transações envolvendo principais acionistas e diretores A avaliação da eficácia da estrutura de controles internos deve ser documentada em relatório e disponibilizada aos reguladores, a ser atestado pela auditoria e submetido ao conhecimento do Conselho de Administração Divulgação sobre a existência de código de Diretoria promove elevados padrões éticos e ética para diretoria, de integridade e de cultura organizacional justificando sua eventual com ênfase em controles internos inexistência Divulgação e justificativa para o caso do comitê de auditoria não possuir um especialista financeiro Proteção especial a funcionários que denunciem desvios de conduta. Controles internos devem ser acessíveis aos funcionários Comunicação de operações e situações que possam configurar indício de lavagem de dinheiro ou ocultação de valores 100 SOx BANCOS SEGURADORAS Comitê de auditoria deve divulgar semestralmente, em conjunto com os demonstrativos financeiros, resumo do relatório do comitê de auditoria OPS Manutenção de canal de comunicação entre auditores e comitê de auditoria sobre fraudes, que devem ser informadas ao regulador caso detectadas. Encaminhamento de Encaminhamento de Encaminhamento de informações informações informações financeiras financeiras financeiras mensais ao trimestrais com divulgação trimestrais revisadas regulador com na internet. A partir de 2011 por auditores com divulgação na internet. deve haver revisão de divulgação na Questionário trimestral auditores internet revisado por auditores Relatório dos auditores sobre os critérios adotados para avaliação da exposição ao risco de fraude e adequação dos controles aos riscos existentes Relatório de avaliação de controles internos anual Relatório de avaliação de controles internos semestral Relatório de avaliação de controles internos anual Arcabouço regulatório pesquisado em transparência: SOx Seções 302, 401, 403, 404, 406, 407, 409, 806. BANCOS Resolução nº 2.554, de 1998; Circular nº 2.852, de 1998; Circular nº 2.990, de 2000; Resolução nº 3.198, de 2004; Resolução nº 3.042, de 2008. SEGURADORAS Circular nº 249, de 2004; Circular nº 280, de 2004; Resolução CNSP nº 118, de 2004; Circular nº 363, de 2008; Circular nº 408, de 2010. OPS Anexo I da IN DIOPE nº 36, de 2009; RN nº 117, de 2005; RN nº 173, de 2008; RN nº 238, de 2010; RN nº 243, de 2010. 101 COMITÊ DE AUDITORIA: SOx BANCOS SEGURADORAS Comitê de auditoria ligado ao conselho de administração OPS Membros do comitê Mínimo 3 integrantes com mandato máximo de 5 devem ser independentes anos Comitê avalia tratamentos alternativos dados às informações financeiras que tenham sido discutidos entre auditores e os administradores da empresa Comitê avalia o cumprimento, pela administração, das recomendações feitas pelos auditores externos Pelo menos 1 membro deve ser especialista, caso contrário empresa deve justificar Pelo menos 1 membro do comitê deve ser especialista Comitê elabora relatório com resumo publicado nas demonstrações contábeis semestrais Comunicação ao órgão supervisor pelo auditor externo e comitê sobre a identificação de erro Atividades de auditoria estão submetidas à supervisão e avaliação do comitê de auditoria Reunião no mínimo trimestral entre o comitê e a auditoria externa Auditores devem elaborar parecer de auditoria Auditores devem sobre as demonstrações contábeis; a avaliação da elaborar parecer de qualidade dos controles internos, inclusive os auditoria sobre as sistemas eletrônicos e de gerenciamento de risco, demonstrações explicitando as deficiências encontradas; e o contábeis; a avaliação descumprimento dos dispositivos legais e das deficiências e regulamentares que possam impactar os ineficácia dos controles demonstrativos da instituição. internos Rodízio de equipe responsável pela auditoria a cada 5 anos Estudo sobre o impacto de exigir rotatividade das empresas de auditoria Pré aprovação de serviços de auditores que não sejam de auditoria (consultoria, gestão de áreas, implantação de sistemas, etc), com respectiva de divulgação 102 Arcabouço regulatório pesquisado em comitê de auditoria: SOx Seções 201, 202, 203, 204, 205, 207, 407. BANCOS Resolução nº 3.198, de 2004; Resolução nº 3.056, de 2002; Resolução nº 3.503, de 2007; Resolução nº 3.606, de 2008. SEGURADORAS Resolução CNSP nº 118, de 2004; Resolução CNSP nº 193, de 2008. OPS Anexo I da IN DIOPE nº 36, de 2009; RN nº 173, de 2008; RN nº 238, de 2010. RESPONSABILIZAÇÃO: SOx BANCOS SEGURADORAS OPS Certificação dos controles internos pelo CEO e CFO, bem como todos os relatórios gerados CEO e o CFO devem reembolsar bônus ou ganho com vendas de ações da empresa nos 12 meses anteriores de republicações de informações financeiras Reclusão de 1 a 8 anos e multa proporcional à vantagem ilícita em caso de obtenção de ganhos com valores mobiliários Advogados devem relatar a seus superiores ou ao CEO qualquer evidência de violação material da lei feita pela empresa ou outro agente Multas de 1 a 5 milhões de dólares, e reclusão de Multa e reclusão de 2 a 6 anos para: a divulgação 10 a 20 anos, caso o CEO de informações falsas ou incompletas sobre a e CFO certifiquem instituição financeira declarações financeiras sabidamente falsas Multa e reclusão de até Multa e reclusão de 1 a 5 anos para: fraudes à 20 anos para alteração, fiscalização ou ao investidor com falsificação de destruição, ocultação de documentos e declarações; movimentação e registros ou outros manutenção de recursos sem registros contábeis objetos, bem como legalmente exigidos; bem como falsificação ou obstrução, influência ou omissão, nas demonstrações contábeis, de impedimento de qualquer informações exigidas pela legislação procedimento oficial 103 SOx BANCOS SEGURADORAS OPS Multa e reclusão de 3 a 12 anos para gestão fraudulenta; e de 2 a 8 anos para gestão temerária. Multa e reclusão de 3 a 10 anos para a ocultação de valores ou bens provenientes de tráfico, terrorismo, contrabando, crimes contra o SFN ou crime organizado Penalidades advindas de irregularidades detectadas em processos de intervenção e liquidação extrajudicial de instituições financeiras Responsabilidade solidária pelos prejuízos no caso de descumprimento dos normativos referentes às operações de planos de saúde, em especial pela falta de constituição e cobertura de garantias obrigatórias Arcabouço regulatório pesquisado em responsabilização: SOx Seções 302, 304, 307, 406, 906, 1.102. BANCOS e SEGURADORAS Lei nº 6.024, de 1974; Lei nº 7.492, de 1986; Lei nº 7.913, de 1989; Lei nº 9.613, de 1998; Lei nº 10.303, de 2001. OPS Lei nº 9.656, de 1998, alterada pela Medida provisória nº 2.177-44, de 2001; Lei nº 9.613, de 1998. 104