Resolução CNSP nº 416/2021: Regras e critérios do Sistema de Controles Internos, Estrutura de Gestão de Riscos e Atividade de Auditoria Interna

O Conselho Nacional de Seguros Privados (CNSP) publicou a Resolução CNSP nº 416/2021, que dispõe sobre o Sistema de Controles Internos (“SCI”), a Estrutura de Gestão de Riscos (“EGR”) e a atividade de Auditoria Interna (“AI”), que devem ser compatíveis com a natureza, porte, complexidade, perfil de risco e modelo de negócio da supervisionada. A Resolução decorre da Consulta Pública n.º 14/2021, por meio da qual a SUSEP reuniu comentários e sugestões do mercado para a elaboração da norma.

A nova Resolução é aplicável às seguradoras, entidades abertas de previdência complementar (EAPCs), sociedades de capitalização, resseguradores locais, escritórios de representação dos resseguradores admitidos e corretoras de resseguro. Quanto às corretora de seguro, somente àquelas com faturamento bruto anual igual ou superior a R$ 12.000.000,00 (doze milhões de reais) estão sujeitas às novas regras.

Com relação ao SCI, os principais aspectos que merecem destaque são:

• Os controles internos deverão ser implementados e operacionalizados de forma eficaz, de modo a permear os diversos níveis da organização, e integrar as atividades rotineiras da supervisionada.
• As disposições do SCI deverão estar formalizadas e acessíveis a todos os colaboradores, contendo os requisitos mínimos indicados na Resolução.
• A implementação de uma Política de Conformidade para garantir a atenção aos princípios éticos por parte dos colaboradores da supervisionada que contenha canais de denúncia, internos e externos, na hipótese de desvio de conduta.
• A designação de um Diretor Estatutário para garantir o pleno cumprimento dos controles internos estabelecidos, o qual poderá praticar outras atribuições atinentes à governança, sendo vedada a atuação em funções que impliquem sua assunção de riscos relevantes ao negócio, devendo o estatuto dispor expressamente sobre suas atribuições.
• Constituição de uma “unidade de conformidade”, que será responsável por monitorar e garantir a adequação das atividades praticadas pelos colaboradores, tendo por finalidade, também, o auxílio e capacitação destes no que concerne à ética e conduta. Estão dispensadas da constituição as supervisionadas S4 e as corretoras de seguro e resseguro, devendo o diretor responsável pelos controles internos possuir as mesmas atribuições.

Por sua vez, sobre a EGR, chamam atenção as seguintes disposições:

• Integração ao SCI, de modo a se complementarem para que os controles internos tenham especial foco nos riscos capazes de influenciar a consecução dos objetivos da supervisionada.
• Estabelecimento de procedimentos capazes de auxiliar a identificação e avaliação de riscos materiais que a supervisionada possa estar exposta.
• Análise prévia de mudanças que podem impactar na EGR ou na operação da supervisionada.
• Utilização de sistemas completos, seguros e auditáveis, que forneçam suporte à gestão de riscos.
• A inclusão de informações complementares referentes aos riscos identificados, sendo necessário quantificar seus impactos a valor de mercado.

Além disso, a Resolução também estabelece a obrigatoriedade de formalização de políticas institucionais com o propósito garantir a atuação das supervisionadas no mercado em linha com as diretrizes de gestão de riscos implementadas, com apresentação do seu apetite por risco e elaboração de uma política de gestão de riscos.

Além das políticas institucionais citadas na Resolução, a supervisionada também deverá constituir (i) uma unidade de gestão de riscos, a qual será responsável monitorar e suportar continuamente sua gestão de risco; e (ii) um Comitê de Riscos,  ao qual competirá fornecer auxílio ao órgão de administração no desempenho relativo à gestão de riscos, competindo a avaliação da eficiência da EGR e a revisão da política de gestão de riscos. A constituição do referido Comitê está dispensada às seguradoras do segmento S3 e S4, mas, nesta hipótese, as atribuições deverão ser desempenhadas pelo diretor responsável pelos controles internos.

Por fim, a Resolução determina a obrigatoriedade de implementação da AI, da qual sintetizamos os principais aspectos:

• As corretoras de seguros não estão sujeitas às regras de implementação da AI.
• A AI deverá considerar todas as funções e atividades da supervisionada, inclusive as terceirizadas.
• A supervisionada deverá elaborar um regulamento específico para a AI, atendendo aos requisitos dispostos na Resolução.
• As supervisionadas deverão constituir uma unidade de AI, que reporte ao órgão máximo de administração da supervisionada e que possua um canal de comunicação permanente com este, além de ser independente das outras unidades que esta possua. Ressalta-se que, para os escritórios de resseguradores admitidos, corretoras de resseguro ou àquelas enquadradas nos segmentos S3 ou S4, é admissível que as atribuições da AI sejam desempenhadas por auditor independente, desde que observados os requisitos elencados na Resolução.

Caso a SUSEP entenda que as disposições da Resolução não estejam sendo cumpridas ou respeitadas, poderá determinar a adoção de controles e procedimentos adicionais pelas supervisionadas, concedendo prazo para sua implantação.

Finalmente, para a regularização e aplicação das previsões dispostas na norma, a SUSEP concedeu os seguintes prazos:

• 30/06/2022, para as corretoras de seguros com faturamento superior a R$ 12.000.000,00 no exercício de 2020; e
• Para as demais supervisionadas, o prazo se encerrará em (i) 30/06/2022, no que compete a adequação às disposições da norma e constituição do diretor responsável pelos controles internos e unidade de conformidade, bem como da unidade de gestão de riscos e Comitê de Risco; e (ii) 31/12/2022, em relação às vedações para atuação do diretor nomeado e membros da unidade da AI.

A íntegra da Resolução CNSP nº 416/2021 pode ser acessada neste link e o normativo entrará em vigor em 3 de janeiro de 2022.

The National Council of Private Insurance (CNSP) published CNSP Resolution No. 416/2021, which provides for companies´ Internal Control System (“SCI”), Risk Management Framework (“EGR”) and Internal Audit activity (“AI”), which must be compatible with the nature, size, complexity, risk profile and business model of the supervised company. The Resolution stems from Public Consultation No. 14/2021, through which SUSEP gathered comments and suggestions from the market for the preparation of the Resolution.

The new Resolution is applicable to insurance companies, open supplementary pension entities (EAPCs), capitalization companies, local reinsurers, representative offices of admitted reinsurers and reinsurance brokers. As for insurance brokers, only those with annual gross sales equal to or greater than BRL 12,000,000.00 (twelve million reais) are subject to the new rules.

Regarding the SCI, the main aspects to be highlighted are:

• Internal controls must be implemented and operated effectively, in order to involve the various levels of the organization, and to integrate the routine activities of the supervised company.
• The provisions of the SCI must be formalized and accessible to all employees, containing the minimum requirements indicated in the Resolution.
• The implementation of a Compliance Policy must be established, to ensure compliance with ethical principles by the employees of the supervised company, containing internal and external reporting channels in the event of misconduct.
• The appointment of a Board Director is required to ensure full compliance with the established internal controls and who may perform other duties relating to governance. This Director is prohibited from acting in roles that involve his/her assumption of risks relevant to the business, and the bylaws must expressly provide for his/her duties and responsibilities.
• Constitution of a “compliance unit”, which will be responsible for monitoring and ensuring adherence to compliance requirements of the activities performed by employees, also with the purpose of helping and training them as regards ethics and conduct. Supervised companies that fall within the S4 segment as well as insurance and reinsurance brokers are exempt from the constitution of such a unit, and the director responsible for internal controls must assume the equivalent duties and responsibilities.

In turn, regarding the EGR, the following provisions are noteworthy:

• Integration with the SCI, in order to complement each other so that internal controls have a special focus on risks capable of influencing the achievement of the objectives of the supervised company.
• Establishment of procedures capable of assisting in the identification and assessment of material risks that the supervised company may be exposed to.
• Prior analysis of changes that may impact the EGR or the supervised company’s operation.
• Use of complete, secure and auditable systems that provide adequate support for risk management.
• The inclusion of complementary information regarding the identified risks and to, where possible, quantify their impacts at market value.

The Resolution also establishes the obligation to formalize institutional policies, with the purpose of guaranteeing the performance of the supervised companies in the market in line with the implemented risk management guidelines, with the presentation of their risk appetite and the preparation of a policy for risk management.

In addition to the institutional policies mentioned in the Resolution, the supervised company must also set up (i) a risk management unit, which will be responsible for continuously monitoring and supporting its risk management activities; and (ii) a Risk Committee, which will be responsible for providing assistance to the management body in the performance of duties related to risk management, as well as being responsible for evaluating the efficiency of the EGR and reviewing the risk management policy. The constitution of such Committee is waived for insurance companies in the S3 and S4 segment, in which case the referred duties must be performed by the director responsible for internal controls.

Finally, the Resolution determines the mandatory implementation of the AI, of which we summarize the main aspects:

• Insurance brokers are not subject to the AI ​​implementation rules.
• The AI ​​must consider all functions and activities of the supervised company, including those that are outsourced.
• The supervised company must prepare a specific regulation for the AI, meeting the requirements set out in the Resolution.
• The supervised companies must set up an IA unit, which reports to the highest management body of the supervised company and has a permanent communication channel with it, in addition to being independent from the other organizational units. It is noteworthy that, for admitted reinsurance offices, reinsurance brokers or those companies falling into segments S3 or S4, it is permissible that AI duties can be performed by an independent auditor, provided that the requirements listed in the Resolution are observed.

In the case that it is SUSEP’s understanding that the provisions of the Resolution are not being complied with or respected, the regulator may determine the adoption of additional controls and procedures by the supervised companies, establishing a deadline for their implementation.

Finally, for the regularization and application of the provisions set forth in the Resolution, SUSEP has granted the following deadlines:

• June 30, 2022, for insurance brokers with annual gross sales exceeding BRL 12,000,000.00 (twelve million reais) in the year 2020; and
• For the other supervised companies, the term will end on (i) June 30, 2022, to adapt to the provisions of the Resolution and for the constitution of the officer responsible for internal controls as well as the compliance unit, risk management unit and Risk Committee; and (ii) December 31, 2022, in relation to adapting to the specific prohibitions on the performance of the appointed director and members of the AI ​​unit, as set out in greater detail in the Resolution.

The full text of CNSP Resolution No. 416/2021 can be accessed at this link, and the regulation will come into force on January 3, 2022.

Fonte: Demarest, em 30.08.2021