icone para o facebook icone para o instagram icone para o twitter icone para o linkedin icone para o youtube icone para o youtube icone para o youtube icone para o youtube
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Novidades do Grupo

Somos uma organização 100% compliance. E o que isso significa?

Grupo IAG Saúde
10/12/2021
Pioneirismo, foco em pessoas e respeito a normas e preceitos éticos. Veja a trajetória que o Grupo IAG Saúde seguiu para receber as declarações de conformidade com a LGPD e a ISO 19600:2014 e ser uma empresa compliance!    A implantação de normas de compliance e LGPD nas organizações busca – além de garantir o cumprimento normas, leis, padrões éticos e regulamentos internos e externos – respeitar as pessoas impactadas pelos processos daquela organização. Além disso, essas práticas de gestão estimulam o orgulho dos colaboradores e garantem benefícios para os demais atores envolvidos, como clientes, fornecedores e parceiros. Um sistema de gestão, segundo a norma ISO 19600, é o “conjunto de elementos interrelacionados ou interativos de uma organização, para estabelecer políticas, objetivos e processos para atingir estes objetivos”.  Esta norma, que trata sobre sistemas de gestão de compliance, é baseada nos princípios da boa governança, da transparência e da sustentabilidade. Não é uma norma certificável, podendo ser adotada como norma orientadora independente ou conjugada com outros padrões e normas existentes – como a ISO 9001:2015, que preconiza os requisitos de um sistema de gestão da qualidade.  “Não diferente das outras normas da família ISO, a construção e implementação do Programa de Compliance são baseadas no PDCA, chamado também de princípio da melhoria contínua”, explica Rafaela Coleta, Chief Compliance Officer do Grupo IAG Saúde. A sigla PDCA se refere aos verbos em inglês Plan - Do - Check - Act e, dentro do Programa de Compliance, os grandes requisitos deste processo são:  Contexto da Organização – a organização deve compreender o seu contexto interno e externo, como aqueles relacionados à conformidade e riscos relevantes para impactar no seu propósito. Devem ser considerados os contextos regulatório, social e cultural, além da situação da economia, da política, os procedimentos, processos e os recursos internos. É importante determinar as partes interessadas, seus requisitos e o escopo do programa de compliance. O mapeamento dos riscos em que a organização e seus processos estão expostos é fundamental, assim como as não conformidades já existentes com a identificação das causas e consequências desses descumprimentos.  Liderança – a alta direção da organização deve definir e garantir o cumprimento do sistema de gestão de compliance. É recomendado o estabelecimento de uma Política de Compliance com a descrição do escopo, contexto, grau de incorporação da conformidade, princípios das relações entre as partes interessadas, padrões exigidos, diretrizes de conduta e responsabilidades e as consequências do não cumprimento.  Planejamento – no planejamento do sistema de gestão de compliace, a organização deve considerar os riscos de conformidades, os objetivos de conformidade e o planejamento para alcançá-los.  Suporte – a organização deve fornecer os recursos necessários para alcançar os objetivos de compliance, bem como determinar as competências das pessoas e desenvolvê-las. A cultura de compliance é fundamental e deve ser estimulada na organização. Todas as informações tratadas devem seguir regras: de criação, atualização, acesso e guarda.  Operacional – para os processos existentes deve haver objetivos, critérios, controles e guarda da informação documentada. Os riscos de conformidades têm que ser sempre considerados e, os controles, incorporados nos processos organizacionais. Os processos que são terceirizados precisam atender as mesmas diretrizes.  Avaliação de desempenho – para garantir um bom desempenho do sistema de gestão e compliance, um plano de monitoramento contínuo deve ser estabelecido com a definição do que será monitorado, analisado e avaliado. É importante criar um sistema de feedback do desempenho para as partes interessadas. Um programa de auditoria com intervalos planejados deve ser traçado.  Melhoria – o processo de melhoria contínua deve considerar que, diante das não conformidades, é essencial definir ações de controle, correção e corretivas. Além disso, as oportunidades de melhoria, a partir das análises de desempenho, necessitam ser tratadas.  Sistema de Compliance e LGPD: como se relacionam? A Lei nº 13.709/2018 é a legislação brasileira que regula as atividades de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A importância da Lei Geral de Proteção de Dados Pessoais (LGPD) está exatamente no que ela pretende proporcionar: a segurança da informação e a privacidade dos dados das pessoas.   Mas qual é a relação entre LGPD e compliance? “O termo compliance significa cumprir, estar de acordo com ou estar conforme a algo. Então, no atual cenário do Brasil, estar em compliance é garantir também a conformidade com as imposições da LGPD”, esclarece Rafaela Coleta. É importante perceber, ainda, que existe uma forte  relação entre essas duas normas e um Sistema de Gestão da Qualidade (SGQ). Segundo a CCO do Grupo IAG Saúde, “A conformidade e satisfação dos clientes são princípios básicos de um sistema de gestão da qualidade, e é por isso que ambos andam juntos”.  Para alcançar a excelência em gestão, é necessário que a organização esteja em conformidade com as normas regulamentares que são aplicáveis ao seu negócio. Nesse sentido, a LGPD, bem como as outras diversas legislações, são atribuições que os processos internos da empresa precisam cumprir – por isso devem, necessariamente, estar integradas ao escopo do SGQ. Grupo IAG Saúde descreve sua trajetória de LGPD e compliance O Grupo IAG Saúde, holding criadora da plataforma Valor Saúde Brasil by DRG Brasil, entende que a adequação dos produtos e processos para estar em total conformidade com as leis e regulamentações existentes não deve ser feita como uma ação isolada. Muito pelo contrário. As instituições precisam, a cada dia, adotar boas práticas e seguir normas sociais, ambientais e empresariais, sempre de maneira integrada.  “Ao buscar as referências sobre compliance e LGPD, o Comitê de Compliance do Grupo IAG Saúde estabeleceu um programa com oito macroações para a revisão do sistema de gestão já existente”, relata Rafaela. As etapas do programa de adequação do sistema de gestão aos requisitos de compliance e LGPD foram as seguintes:  1º - Suporte da Alta Direção: o primeiro passo foi nomear o responsável pela função de compliance e o encarregado pela proteção de dados, assegurando autoridade para essas figuras. A Alta Direção aprovou o Programa de Compliance e disponibilizou recursos humanos, financeiros e tecnológicos para sua implementação, avaliação e manutenção. Além disso, participou dos treinamentos de compliance, do desenvolvimento e implementação das políticas institucionais e da comunicação interna sobre a importância de estar compliance. É indispensável que as lideranças acompanhem periodicamente o desempenho do sistema de gestão de compliance por meio dos indicadores estipulados e de auditorias internas e externas.  2º - Avaliação de Riscos: neste passo foi realizado o mapeamento das normas, leis e dos riscos aplicáveis aos processos da empresa. Os riscos foram analisados e controles foram determinados.  3º - Código de Ética e Conduta e Políticas Institucionais: os princípios de ética existentes foram reestruturados e ampliados para um novo Código de Ética e Conduta. A partir da definição do comitê, foram desenvolvidas políticas institucionais com as diretrizes para as relações externas e internas à empresa, bem como as responsabilidades e atribuições dos membros da equipe. 4º - Treinamento e Comunicação: em seguida, foi construído um plano de comunicação duradouro e um programa de treinamento completo a contar do início da implantação do programa de compliance. 5º - Canal de Ouvidoria: no site oficial da empresa foi criado o canal de ouvidoria, com garantia do anonimato dos registros enviados (sugestões, dúvidas, reclamações ou denúncias).  6º - Investigações Internas: neste momento, o comitê especificou as responsabilidades de investigação dos registros gerados no canal de ouvidoria. 7º - Due Diligence: com o objetivo de verificar riscos nas relações com terceiros, o Grupo IAG Saúde padronizou o processo Due Diligence – isto é, diligência prévia – e aplicou o questionário aos fornecedores e parceiros. 8º - Auditoria e Monitoramento: os indicadores de processos e os indicadores estratégicos foram revisados e pela alta direção e o processo de auditoria interna de compliance foi estabelecido pela área responsável.  Auditoria externa independente: importância e resultados “No ano de 2021, o Grupo IAG Saúde contratou a DNV GL Business Assurance Avaliações e Certificações Brasil para avaliar a conformidade dos processos e atividades realizadas pela empresa em relação à privacidade de dados e ao sistema de gestão compliance”, conta a CCO do Grupo. Os processos auditados foram: 
  • Atração de clientes; 
  • Comercialização; 
  • Desenvolvimento e implantação de novos produtos tecnológicos e novos produtos de consultoria; 
  • Ensino;
  • Desenvolvimento de clientes para melhoria de resultados;
  • Qualidade e compliance;
  • Administrativo e financeiro trabalhista;
  • Infraestrutura e segurança da informação;
  • Pessoas;
  • Estatística;
  • Capacitação e suporte no uso de softwares.
Desde de 2021 é realizada a auditoria de privacidade de dados, verificando o grau de aderência dos processos implementados pela empresa em relação à Lei Geral de Proteção de Dados Pessoais, vigente conforme seu artigo 65º. “Quanto a este escopo, a equipe de avaliação externa independente atestou que a empresa está em conformidade em relação à LGPD”, comemora Rafaela. Já em outubro de 2022, foi realizada nova auditoria para avaliar o grau de adequação e conformidade, desta vez frente às diretrizes expostas pela ABNT ISO 19600:2014, incluindo o Artigo 42 do Decreto 8.420/15 – Programa de Integridade.  Os resultados dessa avaliação permitiram atestar que o Sistema de Gestão de Compliance do Grupo IAG Saúde, que desde 1992 cumpre a missão de transformar o sistema de saúde brasileiro e a vida das pessoas, está adequadamente implementado e eficaz. Com isso, a organização recebeu as declarações de conformidade de Privacidade dos Dados segundo a LGPD e do Sistema de Gestão de Compliance em relação à norma ISO 19600:2014, documento atualizado a cada nova auditoria e disponível nos sites das unidades de negócio do Grupo IAG Saúde. De acordo com Rafaela Coleta, “o Grupo IAG Saúde, representado pela sua Alta Direção, decidiu vivenciar estes procedimentos de auditoria para verificar e atestar a integridade e a conformidade dos seus processos”.  A Chief Compliance Officer deixa, ainda, algumas dicas para organizações que desejam traçar o mesmo percurso. Anote!
  1. Crie um comitê e estabeleça um encarregado de proteção de dados 
  2. Mapeie os dados pessoais tratados na sua organização
  3. Realize o mapeamento de riscos e implemente mecanismos de segurança
  4. Faça testes de segurança 
  5. Revise contratos 
  6. Estabeleça políticas e código de conduta
  7. Invista em treinamentos e conscientização
  8. Estabeleça processos de investigação de incidentes e comunicação as partes interessadas
  9. Elabore o relatório de impacto à proteção de dados pessoais
  10. Realize ciclos de auditoria interna e externa
Quer saber mais informações sobre o que é estar em compliance no Grupo IAG Saúde? Assista ao vídeo abaixo e veja a explicação simples e objetiva de quem é especialista no assunto! -- Créditos/Imagens: