No ecossistema brasileiro de seguros, o CGRC — Governança, Riscos e Controles — se mantém como pilar estratégico para organizações reguladas pela SUSEP. A prática não envolve apenas cumprir requisitos formais, mas estruturar decisões, operações, dados e relacionamento com o cliente com base em políticas claras, papéis bem definidos e uma trilha de evidências que facilite a supervisão, a auditoria e a melhoria contínua. O arcabouço da SUSEP, articulado com o CNSP, aponta diretrizes que visam maior previsibilidade, integridade financeira e proteção ao consumidor, exigindo que empresas de seguros, resseguro, corretoras e demais atores do sistema demonstrem governança robusta e controles eficazes. Este texto oferece uma leitura prática para gestores de risco, compliance e operações integrarem CGRC ao dia a dia, evitando armadilhas comuns e fortalecendo a resiliência organizacional.
Ao longo desta leitura, vamos explorar como transformar diretrizes em ações concretas: políticas de governança, identificação e monitoramento de riscos, controles internos, documentação e governança de dados. O objetivo é fornecer orientações úteis para equipes de gestão de risco de frotas, seguradoras, corretoras e entidades correlatas, com foco em clareza, responsabilidade e confiabilidade. No mercado brasileiro, a implementação de CGRC tende a favorecer decisões baseadas em dados, facilitar comunicação entre áreas e criar um ecossistema de proteção ao cliente que resista a choques operacionais, climáticos ou tecnológicos. A ideia é trazer passos práticos e um checklist de evidências para apoiar a conformidade contínua, sem perder a agilidade necessária ao negócio.
CGRC na prática: o que esperar do marco regulatório da SUSEP
Dentro do marco da SUSEP, o CGRC se traduz em um conjunto de práticas que conectam governança, gestão de riscos e controles internos com as exigências regulatórias. A SUSEP, em alinhamento com o CNSP, busca que as organizações demonstrem governança efetiva, políticas formais de gestão de risco, trilhas de auditoria e mecanismos de monitoramento que permitam detectar desvios, tomar ações corretivas rápidas e manter a proteção ao consumidor como prioridade. Em termos práticos, isso significa mapear responsabilidades, estabelecer políticas claras, monitorar indicadores de risco e manter evidências consistentes para trilhas de conformidade. Para entender as diretrizes aplicáveis, é recomendável consultar o portal da SUSEP e as resoluções pertinentes.
A governança eficaz está no centro de qualquer gestão de risco — sem ela, os controles tendem a se tornar reativos e insuficientes.
Estrutura de governança para entidades reguladas pela SUSEP
Para atender às exigências da SUSEP, é fundamental que as organizações de seguros organizem uma estrutura de governança integrada, envolvendo conselho, diretoria, áreas de risco, compliance e operações. Essa arquitetura precisa refletir a complexidade dos negócios, incluindo subscrição, precificação, gestão de sinistros, resseguro, dados e tecnologia, assegurando que decisões estratégicas estejam apoiadas por informações confiáveis e controles adequados. A governança, portanto, não é apenas um conjunto de políticas, mas um sistema de dutos que facilita a responsabilização, a transparência e a melhoria contínua.
Políticas, diretrizes e comitês
Política de CGRC deve descrever objetivos, princípios, papéis, responsabilidades e métricas de sucesso. Os comitês — de risco, de compliance, de TI e de continuidade de negócios — precisam ter cadência regular, atas formais e decisões documentadas. Em ambientes regulados, a formalização dessas estruturas ajuda a evidenciar conformidade durante auditorias e inspeções, ao mesmo tempo em que cria um mecanismo de comunicação entre áreas para decisões rápidas e coordenadas.
Arquitetura de responsabilidades (RACI)
Uma matriz de responsabilidades tipo RACI (Responsible, Accountable, Consulted, Informed) evita lacunas entre áreas. Definir quem executa cada atividade, quem aprova, quem consulta e quem recebe informações reduz ambiguidades operacionais, principalmente em processos críticos como subscrição, cobrança, sinistros e tratamento de dados sensíveis. A clareza de papéis facilita também a avaliação de falhas, a responsabilização e a melhoria de controles ao longo do tempo.
Trilhas de controles internos
Os controles internos devem cobrir tanto prevenção quanto detecção de falhas, com trilhas de auditoria que permitam rastrear alterações, acessos, decisões e aprovações. Controles podem incluir segregação de funções, validações de dados, regras de autorização, backup de informações, monitoração de acessos e testes periódicos de efetividade. O objetivo é que cada processo crítico tenha controles alinhados aos riscos identificados, com evidências disponíveis para revisões internas e externas.
Gestão de riscos: identificação, avaliação e monitoramento
A gestão de riscos no universo regulado pela SUSEP envolve uma identificação sistemática de riscos operacionais, regulatórios, de mercado, de crédito, de terceiros e de tecnologia. Cada risco deve ter uma hipótese clara de impacto, probabilidade de ocorrência e relação com os objetivos estratégicos da organização. A partir disso, desenvolve-se uma cartografia de riscos com ações mitigadoras, indicadores de risco (KRIs) e planos de mitigação. O monitoramento contínuo, por meio de dashboards e revisões periódicas, é essencial para manter a organização em estado de prontidão frente a alterações legislativas, condições de mercado e eventos climáticos que possam afetar operações, capital e atendimento ao cliente.
Riscos bem mapeados permitem respostas mais rápidas, com menos custo e maior aderência à estratégia de negócio.
Controles internos, documentação e evidências
Na prática, a conformidade com o marco da SUSEP requer não apenas políticas e controles, mas também uma documentação bem organizada que facilite auditorias, governança de dados e continuidade de negócios. Em termos de evidência, espera-se que haja registros de decisões, atas de comitês, resultados de testes de controles, planos de ação, evidências de treinamento e trilhas de acesso aos sistemas. Além disso, é comum que as organizações mantenham um inventário de ativos críticos, contratos com terceiros, dados de clientes e processos de subcontratação bem documentados, com políticas de proteção a dados e de confidencialidade alinhadas às exigências regulatórias.
- Mapear processos críticos (subscrição, emissão de apólice, cobrança, sinistros, resseguro) e definir proprietários.
- Definir políticas e diretrizes de CGRC, com metas e prazos.
- Estabelecer comitês e cadência de reuniões para monitoramento de riscos e controles.
- Implementar controles internos preventivos e detectivos com trilhas de auditoria.
- Implementar indicadores de risco (KRIs) e de conformidade para cada área.
- Realizar treinamentos regulares e fomentar cultura de compliance.
- Conduzir testes de efetividade de controles e manter registro de resultados e ações corretivas.
- Política CGRC vigente
- Matriz de responsabilidades (RACI)
- Mapa de riscos com KRIs
- Planos de continuidade e recuperação
- Inventário de ativos críticos e contratos com terceiros
Em síntese, a aplicação prática do CGRC no marco regulatório da SUSEP requer organização, disciplina e foco em evidências. Quando governança clara, controles bem desenhados e uma documentação acessível caminham juntos, as organizações tendem a melhorar a qualidade das decisões, reduzir perdas operacionais e reforçar a proteção aos clientes. Para manter a conformidade, vale revisar políticas e evidências periodicamente, investir em capacitação das equipes e consultar a apólice, o corretor ou a seguradora para entender impactos contratuais, franquias e exclusões — sempre com a lente da gestão de risco financeiro.
