Visão geral
Para seguradoras, corretoras de seguros, e resseguradoras, o compliance operacional tem um regulador concreto com ciclos de fiscalização regulares: a SUSEP. A diferença entre uma seguradora que passa em uma auditoria com ressalvas mínimas e uma que sai com apontamentos graves raramente é de política escrita. É de evidência de execução. A seguradora que documentou cada etapa do seu processo de subscrição, gestão de sinistro, e controle interno consegue responder a qualquer pergunta do auditor em minutos. A que confia na memória dos gestores passa a auditoria em modo de apagação de incêndio.
O setor de seguros tem um risco de compliance particular: a cadeia de responsabilidade é longa e fragmentada. A seguradora responde por atos do corretor na venda, pelo processo de subscrição que definiu o risco aceito, pelo processo de liquidação do sinistro, e pelo cumprimento de todas as normas SUSEP sobre provisões técnicas e informação ao consumidor. Quando qualquer ponto dessa cadeia não tem registro de execução, o regulador interpreta como ausência de controle, não como boa-fé.
Os controles operacionais que a SUSEP verifica com mais frequência são quatro: subscrição (existe processo documentado de avaliação e aceitação de risco?), liquidação de sinistros (os prazos regulatórios foram cumpridos e existe evidência?), informação ao consumidor (as condições gerais foram entregues e a entrega está documentada?), e controles internos conforme a Resolução CNSP n. 416/2021. Cada um desses pontos tem uma exigência de evidência diferente.
Registre cada etapa dos seus processos regulatórios automaticamente
O Cadenio transforma subscrição, liquidação e controles internos em workflows com registro automático de cada ação: quem fez, quando, em qual versão do processo. Pronto para SUSEP sem preparação de emergência.
Começar gratuitamenteA Resolução CNSP n. 416/2021 é o marco regulatório central de controles internos para seguradoras. Ela exige que a estrutura de controles internos seja adequada ao porte e à complexidade da operação, que os riscos sejam identificados e avaliados formalmente, que os controles sejam testados periodicamente, e que os achados sejam registrados com plano de tratamento e prazo. Não é suficiente ter a política: é preciso ter o registro de execução do ciclo de controles.
O processo de liquidação de sinistros é onde mais auditorias encontram achados evitáveis. A SUSEP tem prazos regulatórios específicos: comunicação ao segurado em até 10 dias úteis do recebimento do aviso, e liquidação em até 30 dias da documentação completa. O problema mais comum não é o descumprimento do prazo: é a ausência de registro que prove que o prazo foi cumprido. Uma liquidação realizada no prazo sem timestamp de cada etapa é indistinguível, para o auditor, de uma liquidação atrasada.
Preparar uma auditoria SUSEP não deveria ser uma mobilização de emergência. Deveria ser a extração de registros que já existem como subproduto do processo operacional. Cada subscrição deveria gerar um registro de avaliação de risco. Cada sinistro deveria gerar um registro de cada etapa do processo de liquidação com timestamp. Cada ciclo de controles internos deveria gerar um relatório de achados com status de tratamento. Quando esses registros existem como saída natural do processo, a auditoria é uma verificação, não uma descoberta.
Os controles que a SUSEP verifica em uma fiscalização operacional
Uma fiscalização SUSEP operacional examina cinco áreas com frequência consistente. Subscrição: existe processo documentado de avaliação de risco para cada produto? Os critérios de aceitação estão formalizados? As exceções ao processo padrão têm registro de aprovação? Liquidação de sinistros: os prazos regulatórios estão sendo cumpridos? Existe registro de cada comunicação ao segurado? Os pagamentos têm evidência de autorização formal?
As outras três áreas são informação ao consumidor (condições gerais entregues e entrega documentada, alterações de produto comunicadas no prazo), provisões técnicas (bases técnicas adequadas e documentadas), e controles internos (existe função de auditoria interna com ciclos de avaliação documentados e achados tratados formalmente).
O auditor SUSEP não espera perfeição. Espera evidência de que a seguradora tem controles, os executa, e trata os achados quando os controles falham. Uma seguradora com três não conformidades documentadas e plano de tratamento em andamento passa melhor em auditoria do que uma com zero não conformidades declaradas mas sem evidência de que os controles foram executados.
Como documentar o processo de subscrição e liquidação para auditoria
O processo de subscrição auditável começa antes da emissão da apólice. Para cada risco aceito acima de um threshold de valor ou complexidade, deve existir um registro: dados do risco analisado, critérios aplicados na avaliação, decisão (aceitar, recusar, ou aceitar com condições), e responsável pela aprovação. Esse registro é o que o auditor vai pedir para verificar se a subscrição está sendo feita conforme a política interna e as normas SUSEP.
O processo de liquidação auditável tem seis etapas com timestamp obrigatório: recebimento do aviso (início do prazo regulatório), comunicação inicial ao segurado (prazo: 10 dias úteis), solicitação de documentação, confirmação de documentação completa (início do prazo de 30 dias para liquidação), decisão de liquidação com valor e justificativa, e pagamento ou comunicação de recusa com fundamentação. Qualquer etapa sem registro de data é um achado potencial em auditoria, mesmo que o prazo tenha sido cumprido.
A documentação de sinistros complexos (valores elevados, sinistros em litígio, acionamento de resseguro) precisa de um nível adicional: registro das consultas realizadas (laudo pericial, parecer jurídico, aprovação de comitê), com timestamp e responsável para cada uma. Sinistros que chegam em auditoria sem esse registro são interpretados como decisões arbitrárias, mesmo que a decisão tenha sido correta.
Estruturando controles internos conforme a Resolução CNSP n. 416/2021
A Resolução CNSP n. 416/2021 organiza os controles internos em três linhas de defesa: a primeira linha é a operação (gerentes e equipes que executam os processos), a segunda linha é a função de compliance e gestão de riscos (que monitoram se os controles estão funcionando), e a terceira linha é a auditoria interna (que avalia independentemente se as duas primeiras estão operando como deveriam).
Para a maioria das seguradoras de médio porte, o requisito prático da Resolução é: documentar os processos críticos, executar ciclos de avaliação periódicos (pelo menos anual para processos de alto risco), registrar os achados, e evidenciar o tratamento. O ponto onde mais seguradoras falham não é na ausência de controles: é na ausência de registro de que os controles foram executados no período.
Um ciclo de controles internos auditável tem quatro saídas documentadas: mapa de processos avaliados com periodicidade e responsável, relatório de achados com classificação de risco, plano de ação para cada achado com prazo e responsável, e registro de follow-up com status atual. Quando esses quatro documentos existem e são atualizados a cada ciclo, a seguradora tem uma estrutura de controles internos que resiste a qualquer fiscalização SUSEP.