RESOLUÇÃO CNSP nº 416/2021: INTEGRAÇÃO E PAPÉIS DO SISTEMA DE CONTROLES INTERNOS, ESTRUTURA DE GESTÃO DE RISCOS E AUDITORIA INTERNA

SUMÁRIO: 1 Histórico. 2 Resolução CNSP nº 416/2021. 2.1 Sistema de Controles Internos (SCI). 2.2 Estrutura de Gestão de Riscos (EGR). 2.3 Auditoria Interna. 2.4 Grupo Prudencial. 4 Destaques. Referências.

1 HISTÓRICO

No âmbito do mercado segurador, o recente arcabouço regulatório brasileiro sobre controles internos, estrutura de gestão de riscos e auditoria interna, vem evoluindo, buscando harmonizar-se com as melhoras práticas internacionais e também com o sistema financeiro nacional.

O primeiro tratamento do tema “controles internos” pela SUSEP ocorreu na Circular SUSEP nº 249/2004, que trata da implantação e implementação de sistema de controles internos nas sociedades seguradoras, nas sociedades de capitalização e nas entidades abertas de previdência complementar.

Ao longo dos anos, diversas Circulares foram editadas (Circular SUSEP nº 327/2006, Circular SUSEP nº 380/2008 e Circular SUSEP nº 455/2012) para tratar dos controles internos específicos visando a prevenção e combate aos crimes de “lavagem de dinheiro” ou de ocultação de bens, direitos e valores, ou aos crimes que com eles possam relacionar-se. Estas normativas impuseram a comunicação e o acompanhamento das operações propostas e realizadas com pessoas politicamente expostas, bem como a prevenção e coibição do financiamento ao terrorismo. Atualmente, a norma que trata do assunto é a Circular SUSEP nº 612/2020.

Em 21/07/2021, foi publicada a Resolução CNSP nº 416/2021, em vigor a partir de 03/01/2022, dispondo sobre o sistema de controles internos, a estrutura de gestão de riscos e a atividade de auditoria interna, de forma integrada.

Na prática, essa Resolução CNSP não revogou a Circular SUSEP nº 249/2004, por se tratar de atos normativos editados por autoridades distintas (CNSP e SUSEP). Mas considerando que a Resolução possui hierarquia superior e trata inteiramente da matéria da Circular, pode-se dizer que a Circular SUSEP nº 249/2004 será revogada tacitamente pela Resolução CNSP nº 416/2021, nos termos do art. 2º, §1º da Lei de Introdução às Normas do Direito brasileiro.

Quanto ao tema “estrutura de gestão de riscos”, o primeiro tratamento pela SUSEP deu-se com a publicação da Circular SUSEP nº 521/2015, que modificou e incluiu um novo capítulo sobre a “Estrutura de Gestão de Riscos” na Circular SUSEP nº 517/2015.

Um ano antes, em 2014, a Susep havia iniciado a exigência de uma constituição de estrutura de gestão de riscos, através da obrigação de constituição de banco de dados de perdas operacionais nas seguradoras (BDPO), através da Circular SUSEP nº 492/2014. No início do ano seguinte, a Susep consolidou várias normas de provisões, risco, solvência e contabilidade em uma única circular, a de nº 517.

Em 2015, foi publicado a Circular SUSEP nº 521/2015, que incluiu capítulo II na Circular SUSEP nº 517/15, determinando a implantação de Estrutura de Gestão de Risco nas empresas seguradoras. A vigência desse capítulo iniciou-se em 1º de janeiro de 2016, tendo sido concedidos dois anos de prazo (até 31 de dezembro de 2017) para que as supervisionadas se adequassem completamente às suas diretrizes. Controles Internos e Gestão de Riscos, portanto, eram tratados separadamente.

2 RESOLUÇÃO CNSP Nº 416/2021

A Resolução CNSP nº 416/2021 aplica-se às (i) sociedades seguradoras, entidades abertas de previdência complementar, sociedades de capitalização, resseguradores locais, escritórios de representação dos resseguradores admitidos e sociedades corretoras de resseguro; e (ii) sociedades corretoras de seguros faturamento bruto anual igual ou superior a R$ 12.000.000,00 (arts. 1º e 2º).

A Estrutura de Gestão de Riscos, o Sistema de Controles Internos e a atividade de Auditoria Interna deverão ser compatíveis com a natureza, o porte, a complexidade, o perfil de risco e o modelo de negócio da supervisionada (art. 3º).

Quanto ao porte, inclusive, há diversas disposições específicas ao longo da Resolução para a hipótese de a companhia ser do segmento S1, S2, S3 ou S4, diferenciando as exigências.

Para fins da resolução, conceitua-se (art. 4º):

II – Controles internos: conjunto coerente, abrangente e contínuo de processos e procedimentos realizados pela organização com o objetivo de assegurar minimamente:

a) a eficiência operacional de suas atividades;
b) a existência e prestação de informações financeiras e não financeiras às partes interessadas internas e externas, de forma tempestiva, fidedigna e completa;
c) a conformidade de suas operações com as leis e regulamentações aplicáveis, boas práticas e suas próprias políticas e normativos internos; e
d) a condução prudente dos negócios;

III – Sistema de Controles Internos (SCI): conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, operacionalização, monitoramento, análise crítica e melhoria contínua dos controles internos através de toda a organização;

IV – Gestão de riscos: processos e procedimentos empregados de forma coordenada para identificar, avaliar, mensurar, tratar, monitorar e reportar os riscos da organização, tendo por base a adequada compreensão dos tipos de risco, de suas características e interdependências, das fontes de riscos e de seu potencial impacto sobre o negócio;

V – Estrutura de Gestão de Riscos (EGR): conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, operacionalização, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização;

2.1 Sistema de Controles Internos (SCI)

As supervisionadas deverão implementar e manter sistema de controles internos – SCI (art. 5º), obedecendo, em suma, aos seguintes requisitos.

Os controles internos deverão ser elaborados, implementados e operacionalizados de forma eficaz e eficiente; permear os diversos níveis da organização, abrangendo processos, unidades e a supervisionada como um todo; e estar integrados às atividades de rotina da supervisionada (art. 6º).

As disposições do SCI deverão estar formalizadas e acessíveis a todos os colaboradores da supervisionada, em linguagem clara, acessível e em nível de detalhamento compatível com as funções que desempenham (art. 7º).

As supervisionadas deverão elaborar e manter um inventário dos riscos materiais identificados e das correspondentes atividades de fiscalização (art. 7º, § único), e possuir uma política de conformidade (art. 8º);

Também deverão designar um diretor estatutário como responsável pelos controles internos, cujas atribuições deverão estar expressas no estatuto ou contrato social (art. 9º, caput e §5º).

A nomeação/destituição do diretor de controles internos e do gestor da unidade de conformidade devem ser aprovadas pelo órgão de administração máximo da supervisionada e comunicadas à SUSEP (art. 12).

Compete ao diretor responsável pelos controles internos: (a) orientar e supervisionar a implementação e operacionalização do SCI e da EGR e as atividades das unidades de conformidade e de gestão de riscos; (b) prover as unidades de conformidade e de gestão de riscos com recursos necessários ao adequado desempenho de suas atividades; e (c) informar periodicamente, e sempre que considerar necessário, os órgãos de administração e o Comitê de Riscos, se existente, de quaisquer assuntos materiais relativos a controles internos, conformidade e gestão de riscos (art. 35).

É vedado ao diretor de controles internos, direta ou indiretamente, acumular funções relativas à gestão, de caráter executivo ou operacional, ou que implique em assunção de riscos relevantes relativos ao negócio, ou seja, por ele monitorados (art. 8º, §2º).

A vedação ao acúmulo de determinadas funções prevista no §2º do art. 9º decorre do princípio da segregação de funções, que visa afastar conflitos entre atribuições e eventual prejuízo ao dever de supervisão. Assim, a legislação estabelece uma regra para mitigar o risco de o sistema de controles internos não ser eficaz. Quanto aos incentivos, também é vedado ao diretor de controles internos receber bônus ou incentivos remuneratórios atrelados ao desempenho das unidades de negócios (art. 9º, 4º).

As supervisionadas deverão constituir uma unidade de conformidade (compliance), responsável exclusivamente por monitorar e suportar continuamente as atividades destinadas à garantia da conformidade (art. 10).

É vedado aos membros da unidade de conformidade que: (a) participem da avaliação de processos nos quais tenham atuado nos últimos 12 meses, salvo algumas exceções; (b) receber bônus ou incentivos remuneratórios atrelados ao desempenho das unidades de negócios (art. 10, §7º).

No mesmo sentido, as vedações visam afastar o risco de que a unidade de conformidade não seja eficaz.

2.2 Estrutura de Gestão de Riscos (EGR)

Além disso, as supervisionadas deverão implementar e manter estrutura de gestão de riscos – EGR, atendendo, em suma, aos seguintes requisitos.

A Estrutura de Gestão de Riscos deve se integrar ao Sistema de Controles Internos (art. 14) e prever, no mínimo, (a) a adoção de uma cultura de riscos e de mecanismos que visem a incentivar a observância do apetite por risco, da política de gestão de riscos e dos limites de exposição definidos pela supervisionada, bem como coibir ações que sejam incompatíveis com estes; (b) processos, metodologias e ferramentas para identificar, avaliar, mensurar, tratar, monitorar e reportar, tanto em nível individual como agregado, todos os riscos materiais a que a supervisionada encontra-se exposta, (c) análise prévia de mudanças significativas na estrutura ou nas operações da supervisionada, que tenham potencial para alterar substancialmente seu perfil de risco; e (d) IV – utilização de sistemas de informação completos, atualizados, fidedignos, seguros e auditáveis, que forneçam suporte adequado à gestão de riscos (art. 15).

As supervisionadas deverão possuir uma política de gestão de riscos, estabelecendo, inclusive, seu apetite por risco (arts. 16 e 17); constituir uma unidade de gestão de riscos, responsável exclusivamente por monitorar e suportar continuamente sua gestão de riscos (art. 18); e constituir um Comitê de Riscos, responsável por auxiliar seu órgão de administração máximo no desempenho de suas atribuições relativas à gestão de riscos (art. 21).

Ainda, deverão elaborar um plano de continuidade de negócios (PCN), para os riscos que possam ocasionar interrupção total ou redução significativa dos processos críticos de negócio (art. 22); e elaborar uma política de liquidez, destinados à gestão do risco de liquidez, ou seja, da possibilidade de a supervisionada não ser capaz de cumprir eficientemente suas obrigações financeiras, esperadas ou não, no momento em que forem devidas, seja pela impossibilidade de realizar tempestivamente seus ativos ou pelo fato de tal realização resultar em perdas significativas e/ou no descumprimento de requisitos regulatórios (arts. 23 e 24).

A nomeação/destituição do gestor da unidade de gestão de riscos deve ser aprovada pelo órgão de administração máximo da supervisionada (CA) e comunicada à SUSEP (art. 20).

2.3 Auditoria Interna

Por fim, as supervisionadas também deverão implementar e manter atividade de Auditoria Interna, que é prestigiada pela norma, atendendo, em suma, aos seguintes requisitos.

Deverão possuir uma atividade de Auditoria Interna contínua, efetiva e independente das atividades auditadas e deverá se reportar funcionalmente ao órgão de administração máximo da supervisionada (arts. 25 e 26);

Também deverão possuir um regulamento específico para a atividade de Auditoria Interna (art. 28) e constituir uma unidade de Auditoria Interna, que será exclusivamente responsável por realizar a atividade de Auditoria Interna, e deverá ser independente e segregada das demais unidades organizacionais, inclusive das unidades de conformidade e gestão de riscos, reportando-se funcionalmente ao órgão de administração máximo da supervisionada, podendo tal reporte se dar de forma indireta, por meio do Comitê de Auditoria, se existente (art. 29).

É vedado aos membros da unidade de Auditoria Interna: (a) participar da auditoria de atividades nas quais tenham atuado nos últimos 12 meses anteriores, ressalvadas as atividades típicas de auditoria; (b) envolver-se no desenvolvimento e implementação de medidas específicas relativas aos controles internos; (c) acumular quaisquer outras funções ou atividades, salvo algumas exceções; e (d) receber bônus ou incentivos remuneratórios atrelados ao desempenho das unidades de negócio (art. 29, §3º). Essas vedações visam garantir a eficácia e independência da Auditoria Interna.

Por fim, as supervisionadas deverão realizar anualmente o planejamento da atividade de Auditoria Interna (art. 32).

A nomeação/destituição do gestor da unidade de auditoria interna também deve ser aprovada pelo órgão de administração máximo da supervisionada e comunicada à SUSEP (art. 31).

2.4 Grupo Prudencial

Grupo prudencial, segundo a Resolução CNSP nº 388/2020 é o “conjunto de supervisionadas no qual um mesmo sócio ou grupo de sócios detém o controle ou participa em regime de controle conjunto”.

É possível implementar o SCI e a EGR de forma unificada para empresas de um mesmo grupo prudencial, desde que a empresa responsável pela implementação seja supervisionada (art. 37).

Por sua vez, a unidade de Auditoria Interna pode ser constituída de forma unificada por empresas do mesmo grupo prudencial, inclusive em empresa não supervisionada (art. 41).

DESTAQUES

A Circular SUSEP nº 249/2004 tratava a auditoria interna como parte do sistema de controles internos. Por sua vez, a Resolução CNSP nº 416/2021, de forma acertada, segrega os sistemas de auditoria interna, de um lado, e gestão de riscos e controles internos, de outro, mas explicitamente apontando a necessária integração entre estas funções.

A Resolução ainda diferencia as diversas exigências no tocante a controles internos e gestão de riscos, e também a atividade de auditoria interna, conforme o porte das companhias (S1 a S4), reconhecendo que estas estruturas ou unidades organizacionais (incluindo a unidade de conformidade/compliance) deverão ser compatíveis com a natureza, o porte, a complexidade, o perfil de risco e o modelo de negócio da supervisionada. É o chamado princípio de proporcionalidade.

Como exemplo, o Comitê de Riscos, que não foi criado por esta norma, é exigido apenas para o segmento S1. Este comitê específico deve cumprir uma função de assessoramento e subordinação ao Conselho de Administração e seus integrantes devem cumprir uma série de requisitos dispostos na normativa. Já para o segmento S2, não há necessidade um comitê específico, visto que suas funções podem ser exercidas por outros comitês. Para os segmentos S3 e S4, as atividades que seriam exigidas do comitê, especialmente a de avaliar a efetividade da estrutura gestão de risco, ficou a cargo do diretor de controles internos.

Ainda que os conceitos de grupo segurador e grupo prudencial já tenham sido definidos em resoluções CNSP anteriores, nesta 416/21 é reconhecida a implementação única de estruturas de controle e gestão de riscos (SCI/EGR), para diversas empresas do mesmo “grupo prudencial”, e também da auditoria interna, que até pode estar numa empresa não supervisionada, no caso de um conglomerado financeiro. Até bem recentemente, as normativas e sua fiscalização eram integralmente pautadas “por CNPJ”.

A Resolução CNSP nº 416/2021 é uma norma de caráter principiológico (o que pode trazer algumas dúvidas na sua aplicação), na medida em que o órgão regulador deixa de ditar as regras do que as empresas têm que fazer e passa a definir princípios para que elas mesmas adotem as suas políticas e a forma de trabalhar. Não cabe, portanto, um manual de orientação nos moldes de normativos mais prescritivos, mas a Susep deve publicar um “Perguntas e Respostas”.

As políticas requeridas são: Conformidade, Riscos (apetite, gestão e disseminação da cultura de riscos), Subscrição (produtos, aceitação e sinistros), Investimentos (S1 a S3), Liquidez e ALM (gestão de ativos e passivos), e ainda regulamento da atividade de Auditoria Interna, e política de enfrentamento a riscos específicos que ameacem continuidade dos negócios (PCN).

Em resumo, em função dos pontos anteriores, pode-se afirmar que houve uma certa flexibilização de regras e evolução normativa, buscando harmonização com sistema financeiro. Resta saber como vai se desenrolar a atividade de fiscalização da referida resolução, que sempre pode gerar controvérsias.

REFERÊNCIAS

BRASIL. Conselho Nacional de Seguros Privados. Resolução CNSP nº 416/2021. Dispõe sobre o Sistema de Controles Internos, a Estrutura de Gestão de Riscos e a atividade de Auditoria Interna. Brasília: Superintendência de Seguros Privados. Disponível em: https://www2.susep.gov.br/safe/scripts/bnweb/bnmapi.exe?router=upload/25061

Conseguro 2021. Resolução CNSP nº 416/2021: Fortalecimento Da Estrutura De Governança. Disponível em: https://www.youtube.com/watch?v=aWcHLRxSbqg

Resolução CNSP 416/2021 fortalece a governança das seguradoras. Disponível em: https://cnseg.org.br/noticias/resolucao-cnsp-416-2021-fortalece-a-governanca-das-seguradoras.html

*Luis Felipe Lebert Cozac

Managing Partner na Partenariat. Economista e Administrador de Empresas, atuou na diretoria de diversas seguradoras (Cardif, Luizaseg, Cosesp, BB Mapfre) e como advisor em consultorias e fundo de investimento.

*Amanda Barbieri Estancioni
Advogada Plena em Santos Bevilaqua Advogados. Pós-graduanda em Direito Empresarial pela Faculdade Legale. Bacharel em Direito pela Universidade Estadual Paulista “Júlio de Mesquita Filho” – UNESP.

Esta publicação online se destina a divulgação de textos e artigos de Acadêmicos que buscam o aperfeiçoamento institucional do seguro. Os artigos expressam exclusivamente a opinião do Acadêmico.