ods:
ods:
-
16
Gestão de riscos
Gerir os riscos, sejam eles assistenciais ou não assistenciais, é uma atividade essencial para a sustentabilidade no setor da saúde. Na Rede D’Or, mapeamos e avaliamos adequadamente nossos riscos, bem como asseguramos a gestão ágil e eficiente de cada um deles. Em um avanço desse processo, no último ano consolidamos o relacionamento das nossas áreas de supervisão, fazendo com que aquelas envolvidas no gerenciamento de riscos corporativos compartilhem de uma visão única dos riscos da Companhia.
Contamos com um processo de avaliação e uma matriz de riscos, deliberada anualmente no Conselho de Administração, que também é responsável por avaliar periodicamente os riscos estratégicos. Em 2023, concluímos a Matriz de Risco Climático que foi incorporada ao nosso processo de gestão de riscos (mais informações aqui). Os diretores e Conselhos Executivos definem os objetivos de desempenho e são responsáveis pela supervisão do progresso em direção às metas relacionadas ao clima.
Contamos ainda com uma Política de Gestão de Riscos que traz os princípios, diretrizes, conceitos, ações e responsabilidades que nossos administradores devem observar ao lidarem com eventos incertos capazes de acarretar impactos aos objetivos da Companhia.
A política é submetida à revisão anualmente e acompanhada pelo Conselho de Administração, pelo Comitê de Auditoria, pela Diretoria de Riscos e Controles Internos, pelo Departamento de Compliance e por auditoria interna (que atua de forma independente e objetiva, com reporte ao Comitê de Auditoria).
Avaliação dos riscos da Rede D’Or
A avaliação dos riscos ocorre em cinco etapas: identificação; análise e avaliação; tratamento; monitoramento e análise crítica; registro e relato às partes interessadas (stakeholders).
Construção da Matriz de Riscos Corporativa da Rede D’Or
GRI 2-25
Principais tipos de risco
Formas de mitigação
Crédito: perdas geradas pela inadimplência de clientes, instituições financeiras ou contrapartes de instrumentos financeiros.
Risco de crédito: análises periódicas e adoção de formas eficazes de cobrança.
Liquidez: ausência de recursos suficientes para o cumprimento das obrigações associadas a passivos financeiros.
Risco de liquidez: monitoramento contínuo dos fluxos de caixa. São evitadas aplicações financeiras de caráter especulativo e com alto risco financeiro.
Taxa de juros: impactos em aplicações financeiras, empréstimos, financiamentos e debêntures contratados em moedas locais, decorrentes da variação de taxas.
Cambial: relacionado à variação do valor dos fluxos de caixa futuros de um instrumento financeiro devido a oscilações em moeda estrangeira.
Risco de mercado: acompanhamento do comportamento das taxas de juros e de câmbio, além da busca por instrumentos de proteção patrimonial (hedge).
Conformidade: diz respeito à imposição de sanções legais ou regulatórias e à perda financeira ou de reputação como resultado do descumprimento de leis, acordos, regulamentos, Código de Conduta e das políticas e procedimentos internos.
Risco de conformidade: monitoramento de novas leis e regulamentos aos quais a Companhia possa estar sujeita. Com isso, é possível adotar, se necessário, um plano de ação para alinhar a Rede D’Or a essas novas legislações.
Estratégico: são causados por mudanças no ambiente externo, nas esferas política, econômica, de mercado, de concorrência e de inovação tecnológica, entre outras. Refere-se aos riscos relacionados à nossa estratégia na busca de criação, proteção e crescimento de valor.
Risco estratégico: definição, a cada ano, do planejamento estratégico do período seguinte, com contribuição dos executivos e profissionais-chave. São debatidos os indicadores de desempenho, assim como é elaborado um plano de ação para eventuais correções de curso.
Operacional: envolve atividades ligadas à operação do negócio e à gestão de áreas de suporte. É gerado pela inadequação ou falha na gestão de processos internos ou por pessoas que possam dificultar ou impedir o alcance dos objetivos da Companhia.
Risco operacional: teste dos controles internos pela área de Auditoria, a fim de assegurar sua eficácia e determinar se são suficientes para mitigar os riscos operacionais. Acompanhamento mensal dos indicadores de desempenho dos processos organizacionais.
Cibernético: ameaças que podem explorar vulnerabilidades de nossos ativos, impactando na confidencialidade, na integridade e na disponibilidade das informações.
Tecnológico: ameaças que possam comprometer a confidencialidade, a integridade e a disponibilidade das informações, incluindo propriedade intelectual e dados comerciais e pessoais de pacientes e colaboradores.
Riscos cibernético e tecnológico: Revisão, pela área de Tecnologia da Informação (TI), de todos os controles internos, a fim de aumentar a segurança dos sistemas de informação e a proteção de dados.
Regulatório/Legal: risco de que leis ou regulamentos (incluindo alterações legais ou ausência, parcial ou completa, de sua aplicação) possam trazer impactos estratégicos, de imagem e/ou financeiros, ou ter o poder de afetar significativamente a administração e os negócios.
Risco regulatório/legal: Acompanhamento contínuo do cumprimento das leis e regulamentos aos quais estamos sujeitos.
Socioambiental: possibilidade de perdas em consequência de efeitos negativos no meio ambiente e na sociedade causados por impactos sobre ecossistemas, povos e comunidades nativas, proteção da saúde humana, propriedades culturais e biodiversidade.
Risco socioambiental: Monitoramento contínuo de quaisquer possíveis impactos ambientais ou sociais acarretados pelas nossas atividades (em especial projetos greenfield e brownfield).
Gestão de impactos e de temas críticos
GRI 2-25, 3-3
O ano de 2023 marca o alcance de maturidade e excelência na gestão de riscos em nossa Companhia, evidenciado pela participação ativa dos membros executivos no acompanhamento dos riscos, pelo envolvimento das diversas áreas que atuam na governança do processo e pela ampliação do alcance do processo de gestão de riscos em nossos negócios.
Tratamos todos os riscos identificados, fazendo com que impactos potenciais atrelados ao negócio possam ser antecipados e prevenidos. Os projetos e ações propostos pela diretoria para mitigar riscos e impactos econômico-financeiros e operacionais são acompanhados pela Comissão de Riscos, em reuniões trimestrais, bem como outras pautas que demandem discussões com base na Matriz de Riscos e inputs das diferentes áreas. A Matriz de Riscos Climáticos é utilizada especificamente para a gestão de impactos climáticos, cujos impactos negativos gerenciamos com a adequada reparação.
Em fevereiro do último ano, lançamos um treinamento por Ensino à Distância (EAD) na Academia Rede D’Or, nossa plataforma corporativa de treinamentos que permite aos colaboradores dos níveis de coordenação, supervisão, gerência e da alta administração ter acesso aos conceitos e visão da empresa sobre a gestão de riscos. Também para disseminar a cultura de gestão de riscos entre nosso time, o tema é tratado em reuniões temáticas da Companhia (por meio das comissões e dos comitês).
Adicionalmente, em 2023, participamos de um debate sobre a importância da gestão de riscos não assistenciais, dentro do contexto do desenvolvimento sustentável, promovido pela Associação Nacional de Hospitais Privados (Anahp), ao lado de outros importantes players do setor da saúde. O foco do conteúdo levado pela Rede D’Or esteve na importância do gerenciamento dos múltiplos riscos, considerando a vertente da sustentabilidade e da relevância do estabelecimento de uma cultura de riscos.
Due dilligence
GRI 2-25
Com base em normativo específico sobre identificação e avaliação de riscos socioambientais após as operações de fusões e aquisições, antes e durante as aquisições de novos hospitais, prevemos uma série de análises e investigações (due dilligence) para identificar a existência de riscos ou passivos ambientais. Essas análises são submetidas à nossa alta administração. Se aprovadas, após as aquisições, a empresa atua preventivamente estabelecendo ações e procedimentos de controle para mitigação dos riscos inerentes ao negócio. A área de Compliance atua na definição das regras e dos critérios gerais relacionados aos riscos de integridade de terceiros, de forma integrada ao processo de contratação de compras de materiais, equipamentos e serviços. É responsável também pelas avaliações de riscos antes da formalização de patrocínios, doações, presentes, hospitalidades e parcerias.
Privacidade de dados e segurança da informação
GRI 3-3, 418-1, SASB HC-DY-230a.2, HC-DY-230a.3, HC-DY-230a.4
Estamos comprometidos com a privacidade e a proteção dos dados de nossos pacientes, colaboradores e demais públicos. Para tanto, empregamos processos e ferramentas nas operações que envolvem tratamento de dados pessoais para resguardá-los de situações acidentais e/ou ilícitas, que possam gerar riscos ao direito de privacidade dos titulares.
Zelamos pela proteção dos dados em alinhamento com a Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, oferecendo ao titular gerência sobre suas informações. A partir de um Programa de Governança em Privacidade e Proteção de Dados, estruturamos uma cadeia de gerenciamento de ações, campanhas e processos que envolvem o tratamento de dados pessoais. Entre as iniciativas estão a adoção de um modelo de governança e operação, gestão e processos adequados ao tratamento de dados pessoais e a definição de funções e responsabilidades em relação à privacidade. Em 2023, não tivemos multas e queixas reportadas à Agência Nacional de Proteção de Dados (ANPD) relativas à violação de privacidade.
O nosso Programa de Privacidade foi desenvolvido com base no National Institute Of Standards and Technology (NIST) Privacy Framework e no Guia de Elaboração de Programa de Governança em Privacidade, disponibilizado pelo Ministério da Economia, em demonstração ao nosso respeito aos direitos de liberdade, imagem, honra e privacidade dos indivíduos e da sociedade em geral. O Programa abrange todas as empresas do grupo (Rede D’Or, Oncologia D’Or, GTS, Richet e IDOR) e norteia, por meio dos frameworks citados anteriormente, as principais medidas, objetivos, metas e envolvimento de stakeholders, processos estes intrínsecos desses frameworks os quais embasamos este Programa [GRI 3-3].
Nota: Neste capítulo, fornecemos uma visão contextual de impactos identificados em processo de avaliação de impacto para o tópico "Privacidade do Cliente" do tema Integridade, Risco e combate a corrupção. Para tanto, foi descrita a relevância destes impactos para nossos negócios, suas medidas de gerenciamento e eficácia e envolvimento com stakeholders.
Foi relatado contextualmente o impacto positivo real, sendo este: "Maior uso de dados e tecnologia digital". Identificamos como impacto negativo real a "Exposição dos pacientes em função da violação dos dados (LGPD) [GRI 3-3].
+ 50 mil
realizaram treinamento à distância sobre privacidade
+ 1.500
áreas mapeadas em privacidade
Privacy Management Framework
Princípios de privacidade
Os componentes do framework de privacidade são fundamentos internacionalmente reconhecidos que fornecem a base para a estrutura de gerenciamento de privacidade.
Privacy Management Framework
Os elementos do framework fornecem uma estrutura pragmática para organizar o gerenciamento e a supervisão necessários para mitigar a exposição dos titulares aos riscos de privacidade. São distribuídos entre 12 macrodomínios que tratam diversos aspectos relacionados aos controles e boas práticas de proteção de dados e que ajudam a garantir o cumprimento das leis e regulamentos de privacidade aplicáveis.
O modelo de governança adotado em nosso Programa de Privacidade dispõe de um processo de tomada de decisões aprimorado, o que possibilita a adoção de ações mais eficientes. O Data Protection Officer (DPO), ou encarregado de dados, atualmente possui também a função de Gerente de Privacidade e conta com o apoio da Comissão de Riscos e da Comissão de Privacidade. O profissional é responsável por gerir o cumprimento de todos os pilares do Programa de Privacidade e atuar como ponto focal na interação e no atendimento às requisições dos titulares e junto à Autoridade Nacional de Proteção de Dados (ANPD). [GRI 3-3]
Canais de contato com Encarregado de Dados:
e-mail: [email protected]
Para engajar nossos profissionais no cumprimento das regras dispostas na LGPD, mantemos um programa de treinamento e conscientização com foco em privacidade. Ao longo de 2023, foram realizadas diversas ações de forma estruturada, incluindo mais de 250 planos de ação para acompanhamento nas unidades; treinamento via EAD para mais de 50 mil colaboradores; publicação do Guia do Colaborador para Privacidade II; comunicados; e lançamento de uma revista on-line semestral abordando o tema, entre outras iniciativas. [GRI 3-3]
Ações em Privacidade em 2023
GRI 3-3
Segurança da Informação
Temos o compromisso, através da nossa área de Segurança da Informação, de garantir a proteção dos ativos de informação, aplicando controles e medidas robustas para preservar a confidencialidade, integridade e disponibilidade das informações. Buscamos melhorar constantemente nossos processos de segurança, assegurando a confiança dos nossos pacientes e colaboradores.
Ver detalhes na página oficial "Segurança da Informação".