Seção 1 ISSN 1677-7042 Nº 69, segunda-feira, 11 de abril de 2022

. 1.3.6 A Operadora possui programa de premiação a seus colaboradores de acordo com resultados organizacionais esperados.
Complementar

. Interpretação:
A operadora deverá possuir um programa com critérios definidos de premiação e bonificação dos colaboradores com o objetivo de estimular e motivar o alcance e superação dos
resultados organizacionais esperados.
Programas de premiação apresentam uma boa oportunidade de motivação para os colaboradores. Seu escopo não precisa estar unicamente atrelado ao aspecto pecuniário. O
programa precisa ser justo, reconhecido, entendido e aprovado pelos colaboradores. (PIRES, 2015)
. Possíveis Formas de Obtenção de Evidências:
Verificar a existência de informação documentada que regulamenta o programa bem como sua periodicidade, prazos e critérios de premiação. Verificar evidências que comprovem
a pontuação ou a elegibilidade dos participantes e vencedores do programa - poderá ser evidenciado por meio de atas e/ ou documentos de comunicação dirigido para os envolvidos.
. 1.3.7 A Operadora realiza pesquisa de clima organizacional e implementa plano de ação sobre os resultados apurados, visando a implementação de melhorias.
Complementar

. Interpretação:
O ambiente organizacional é permeado por uma complexa rede de expectativas e percepções individuais e coletivas que influenciam o comportamento dos colaboradores. Assim,
a realização de uma pesquisa de clima organizacional é uma boa prática a ser realizada pelas operadoras e deve ter por objetivo a identificação dos pontos críticos que necessitam de
implementação de melhorias para o atingimento de um melhor clima organizacional. (NEGRÃO, 2017)
. Possíveis Formas de Obtenção de Evidências:
Verificar a realização da pesquisa de clima organizacional, a existência da sua devida documentação (entrevistas, questionários, relatórios consolidados com a compilação e análise
dos resultados, etc.) e a adoção das ações propostas no plano de ação elaborado a partir dos resultados apurados.
. As formas de evidência a serem verificadas dependerão das ações propostas no plano de ação. Relatórios e atas de reuniões, registros de implementação/alteração de rotinas, entrevistas com colaboradores são possíveis exemplos de formas de evidência deste item.
O plano de ação deverá ser devidamente documentado, possuir a designação do(s) responsável(is) pela sua implementação e possuir metas e prazos para a implementação das
melhorias identificadas como necessárias, além de estar vinculado aos objetivos estratégicos da operadora - quando couber.
. 1.3.8 A Operadora possui um Programa de Saúde do Trabalhador que englobe Programa de Saúde Ocupacional, Programa de Qualidade de Vida e Bem-Estar dos trabalhadores.
Excelência
. Interpretação:
Empregadores e instituições que admitem trabalhadores como colaboradores são obrigados a elaborarem e implementarem o Programa de Controle Médico de Saúde Ocupacional
- PCMSO e o Programa de Prevenção de Riscos Ambientais - PPRA. Este item requer que além dos programas anteriormente mencionados, o Programa de Saúde do Trabalhador da
Operadora contemple aspectos referente à Saúde Ocupacional e de Qualidade de Vida e Bem-Estar.
Esta integração de programas pode trazer benefícios em termos de custos diretos (assistência médica) ou indiretos (produtividade, absenteísmo) às operadoras.
Observação: O PCMSO é estabelecido pela Portaria nº 24/94 do MTE/SSST e o PPRA pela portaria nº 25/94 do MTE/SSST. (OGATA, 2015)
. Possíveis Formas de Obtenção de Evidências:
Verificar a existência do Programa de Saúde do Trabalhador e se este engloba aspectos referente à Saúde Ocupacional e de Qualidade de Vida e Bem-Estar.
O programa deverá ter seus critérios definidos pela empresa. Alguns exemplos são citados a seguir:
(1) Projeto de apoio psicológico; (2) Ginástica laboral; (3) Formação de gestores para mediação de conflitos; (4) Incentivo à participação de colaboradores em atividades culturais;
(5) Programas de combate ao tabagismo e abuso do consumo de álcool; (6) Combate ao sedentarismo com incentivos à realização de atividades físicas; entre outros.
. Esses programas poderão ser executados através de uma área específica ou por meio de comitês/grupos internos na operadora supervisionados pelo departamento de gestão de pessoas e incentivados pela alta direção.
Controles e evidências de participação dos colaboradores nas atividades definidas também são formas de comprovação da realização desses programas.
. 1.3.9 A Operadora possui programa ou ações institucionalizadas de incentivo à inovação e manifestação de ideias. Excelência
. Interpretação:
A operadora deve apresentar sistemas de incentivos a ideias que gerem resultados em inovação. Destaca-se, ainda, que a criatividade é apontada por especialistas como uma das
importantes alavancas da inovação. Encorajar a criatividade pressupõe características organizacionais facilitadoras e requer práticas de gestão de pessoas que incorporem essa
perspectiva.
Os programas de incentivo à inovação e manifestação de ideias, devem ser baseados no planejamento estratégico da operadora, onde os temas mais relevantes deverão ser definidos.
(PAROLIN, 2010)
. Possíveis Formas de Obtenção de Evidências:
Verificar a existência documentada do programa ou de ações institucionalizadas de incentivo à inovação e manifestação de ideias e se estes são embasados no planejamento
estratégico da operadora. Tais programas, podem considerar as seguintes ações elencadas a seguir:
- Canal de sugestões de colaboradores e Programa de ideias;
- Fluxo de análise de sugestões;
- Evidência de disponibilização de canal para sugestão. Por exemplo: e-mail específico, caixa de sugestões.
. - Programa de incentivos à Criatividade;
- Realização de concurso interno para Prêmios em Inovação entre os colaboradores;
- Evidência da formação de Grupos de Trabalho ou comitês para o tratamento das manifestações encaminhadas;
- Evidências de implementação das manifestações encaminhadas;
. 1.3.10 A Operadora possui Política ou diretrizes documentadas e implementadas, de recrutamento e seleção com critérios que considerem aspectos relativos à diversidade. Excelência
. Interpretação:
A gestão de diversidade no ambiente de trabalho pode ser facilitada através de uma política de recrutamento e seleção que valorize a diversidade de seus colaboradores sobre os
mais variados aspectos: gênero, raça, cultura, origem etc. Tal política deve visar a atração e retenção dos melhores talentos, a promoção da criatividade e inovação, a flexibilidade
organizacional e não deve se prender às exigências legais, como por exemplo a definição de cotas para pessoas com deficiências.
Como insumo para a elaboração da política de recrutamento e seleção que considere critérios relativos à diversidade, o departamento responsável pela gestão de pessoas poderá
elaborar uma análise da composição da sua atual força de trabalho (através de suas informações cadastrais e questionários complementares qualificados). Nesta análise, poderá ser
identificada a percepção de seus colaboradores quanto à diversidade. (FLEURY, 2000)
. Possíveis Formas de Obtenção de Evidências:
Evidenciar se a Política ou as diretrizes documentadas e implementadas de recrutamento e seleção, bem como os documentos de recrutamento e seleção (ex.: manuais) consideram
aspectos relativos à diversidade.
. 1.4 Tecnologia da Informação
. Interpretação:
A aplicação de recursos tecnológicos e organizacionais na construção de capacidades de Tecnologia de Informação (TI) pode contribuir significativamente para o desempenho das
operadoras. Este requisito procura identificar como a operadora gerencia este importante ativo e minimiza os riscos de falha no funcionamento devido a imprevistos e às situações mais
emergenciais, além de questões envolvendo a escalabilidade de recursos de infraestrutura.
. 1.4.1 A Operadora possui plano diretor de tecnologia da informação alinhado ao planejamento estratégico para disponibilizar recursos a fim de atender às necessidades tecnológicas e de informação da organização.
Essencial
. Interpretação:
O Plano Diretor de Tecnologia da Informação (PDTI) é um instrumento de diagnóstico, planejamento e gestão dos recursos e processos de tecnologia da informação, que visa atender
às necessidades tecnológicas e de informação de uma organização, para um determinado período, devendo estar alinhado ao planejamento estratégico e fornecer informações relevantes
para o processo de tomada de decisão.
O PDTI permite otimizar a gestão e antecipar o futuro, orientando e priorizando as atividades e projetos de TI necessários para atender ao planejamento estratégico da
organização.
. Possíveis Formas de Obtenção de Evidências:
Verificar a existência documentada do PDTI e o seu alinhamento ao planejamento estratégico da organização. O PDTI deverá ser revisto, no mínimo, quando da atualização do
planejamento estratégico da operadora.
. É recomendável que o PDTI contemple os seguintes itens:
(1) Histórico, contexto em torno do seu desenvolvimento e as mudanças ocorridas;
(2) Descrição e avaliação das condições de instalações, recursos e de pessoal;
(3) Referencial estratégico;
(4) Inventário das necessidades apuradas;
. (5) Definição das responsabilidades;
(6) Plano de metas, ações, orçamento, gestão dos recursos, investimento, custeio e gestão de riscos;
(7) Fatores críticos de sucesso para a sua implementação;
(8) Plano de Contingência para a garantia de condições mínimas de operação.
. 1.4.2 O plano diretor de tecnologia da Informação contempla a existência de mecanismos tecnológicos para proteção de informações sensíveis de Essencial
cadastro e transações operacionais.
. Interpretação:
O PDTI deverá prever os mecanismos tecnológicos que asseguram a proteção/integridade das informações geradas internamente e aquelas proveniente de beneficiários e prestadores
por intermédio do padrão TISS. Informações sensíveis não devem ser apropriadas pela concorrência ou pelo público em geral. Exemplo de informações consideradas sensíveis: dados clínicos,
ligados à condição de saúde, cadastro e diagnósticos dos beneficiários, valores monetários, cadastro de colaboradores e transações operacionais.
Há algumas técnicas de criptografia para comunicação e modelos de "anoniminização" de dados. Cabe registrar que segurança de informação envolve etapas de planejamento,
monitoramento e gerenciamento, entre outras funções.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD). (VALLE, 2010)
. Possíveis Formas de Obtenção de Evidências:
A seguir apresentam-se algumas práticas recomendáveis em relação a gestão de dados e troca de informações:
- Gestão dos dados: Os auditores deverão verificar, entre outras ações se a operadora possui uma política de segurança de dados; utiliza criptografia para proteger dados sensíveis,
possui controle de acesso aos sistemas por usuário e senha; se os perfis de acesso são revisados periodicamente para evitar acessos indevidos.
. Aliado a isso, os auditores deverão realizar uma avaliação de documentos (política); solicitar a apresentação de arquivos criptografados e a exemplificação da tecnologia utilizada; realizar uma verificação de sistemas utilizados pela operadora; solicitar relatórios de revisão de acesso,
registro dos logs de acessos e tentativas de acesso ao sistema de informação.
- Troca de informações: Os auditores deverão verificar ainda se a operadora possui Certificado Digital instalado em seu servidor para Troca de Informações com os prestadores
conveniados e a familiaridade da operadora com as determinações da ANS (ANS, 2012), que cita os componentes do TISS, os quais são periodicamente atualizados na página da ANS.
. 1.4.3 O plano diretor de tecnologia da Informação contempla plano de contingência de serviços de TI para garantir a disponibilidade dos serviços em situações emergenciais. Essencial
. Interpretação:
O Plano de Contingência visa a manutenção e disponibilidade dos serviços da Operadora no caso de situações emergenciais e deve fazer parte da gestão de segurança da operadora
complementando desta maneira o planejamento estratégico. Nele são especificados procedimentos preestabelecidos que deverão ser observados nas tarefas de recuperação do ambiente
de sistemas e negócio, de modo a diminuir o impacto causado por incidentes que não possam ser evitados pelas medidas de segurança em vigor. (AMARO, 2004). (EIOPA, 2014)
. Possíveis Formas de Obtenção de Evidências:
Verificar se o PDTI contempla plano de contingência de serviços de TI que garantam a disponibilidade dos serviços em situações emergenciais.

Este documento pode ser verificado no endereço eletrônico 103 Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
http://www.in.gov.br/autenticidade.html, pelo código 05152022041100103 que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.