Publicador de Conteúdos e Mídias

Brasão do Brasil

Diário Oficial da União

Publicado em: 31/01/2020 | Edição: 22 | Seção: 1 | Página: 90

Órgão: Ministério da Economia/Banco Central do Brasil/Diretoria Colegiada

CIRCULAR Nº 3.979, DE 30 DE JANEIRO DE 2020

Dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 30 de janeiro de 2020, com base nos arts. 9º, 10, inciso IX, 11, inciso VII, e 37 da Lei nº 4.595, de 31 de dezembro 1964, e tendo em vista o art. 34 da Resolução nº 4.557, de 23 de fevereiro de 2017, a Resolução nº 4.658, de 26 de abril de 2018, e a Resolução nº 4.327, de 25 de abril de 2014, resolve:

CAPÍTULO I

DO OBJETO, DO ESCOPO DE APLICAÇÃO E DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Circular dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional.

Art. 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1) ou no Segmento 2 (S2), nos termos do art. 2º da Resolução nº 4.553, de 30 de janeiro de 2017, devem constituir base de dados de risco operacional, conforme disposto no art. 34 da Resolução nº 4.557, de 23 de fevereiro de 2017, segundo os critérios estabelecidos nesta Circular.

Art. 3º Para fins desta Circular, considera-se:

I - risco operacional: conforme definição estabelecida no art. 32 da Resolução nº 4.557, de 2017;

II - perda operacional: conforme definição estabelecida no § 1º do art. 34 da Resolução nº 4.557, de 2017;

III - risco cibernético: possibilidade de ocorrência de perdas resultantes de incidentes cibernéticos;

IV - incidente cibernético: evento relacionado com o ambiente cibernético que:

a) produz efeito adverso ou representa ameaça aos sistemas de tecnologia da informação (TI) ou à informação que esses sistemas processam, armazenam ou transmitem; ou

b) infringe políticas ou procedimentos de segurança referentes aos sistemas de TI;

V - valor bruto da perda: valor quantificável associado a eventos de risco operacional, incluindo provisões e despesas, antes de eventual recuperação por seguro ou por outros meios;

VI - valor do risco não coberto por provisão: estimativa de perda para os eventos de risco legal em que não há obrigatoriedade do registro de provisão, segundo os critérios estabelecidos no Plano Contábil das Instituições do Sistema Financeiro Nacional (Cosif).

§ 1º A definição de que trata o inciso IV do caput inclui os incidentes relacionados com o ambiente cibernético de que trata a Resolução nº 4.658, de 26 de abril de 2018.

§ 2º O cálculo do valor bruto da perda, de que trata o inciso V do caput, deve incluir:

I - honorários advocatícios e custas processuais;

II - despesas relacionadas a eventos de risco operacional não reconhecidas no seu período de competência, que posteriormente sejam consideradas devidas; e

III - multas, encargos e demais valores incidentes nas despesas de que trata o inciso II deste parágrafo.

CAPÍTULO II

DA BASE DE DADOS DE RISCO OPERACIONAL

Art. 4º A base de dados de risco operacional deve refletir o perfil de risco e as práticas de gerenciamento de riscos da instituição e incluir todos os eventos de risco operacional.

§ 1º Devem ser documentadas a abrangência, a consistência, a integridade e a confiabilidade dos processos de identificação, de coleta e de tratamento das informações constantes da base de dados de risco operacional.

§ 2º Devem constar da base de dados de risco operacional:

I - as perdas operacionais associadas ao risco cibernético e ao risco socioambiental, de que trata a Resolução nº 4.327, de 25 de abril de 2014; e

II - os eventos de risco legal para os quais não há obrigatoriedade do registro de provisão para contingências, segundo os critérios estabelecidos no Cosif.

Art. 5º A base de dados de risco operacional deve conter, para cada evento de risco operacional:

I - o código interno de identificação do evento de risco operacional;

II - a identificação da entidade em que a perda ocorreu;

III - a identificação da unidade de negócio em que se verificou a perda, conforme o Anexo I desta Circular;

IV - as datas de ocorrência, de descoberta e de registro contábil da perda;

V - o valor bruto acumulado da perda;

VI - o valor acumulado da perda recuperado por seguro ou por outros meios;

VII - a fonte do ressarcimento, para eventos de recuperação de perda;

VIII - a indicação, com base em critérios consistentes e passíveis de verificação, da Categoria Nível 1 e da Categoria Nível 2 em que se enquadra o evento de risco operacional, conforme o Anexo II desta Circular;

IX - a identificação, quando aplicável, das perdas operacionais ligadas a:

a) risco de crédito, conforme definido no art. 21 da Resolução nº 4.557, de 2017;

b) risco de mercado, conforme definido no art. 25 da Resolução nº 4.557, de 2017;

c) risco socioambiental, conforme definido na Resolução nº 4.327, de 2014; e

d) risco cibernético, conforme definido no inciso III do art. 3º desta Circular;

X - as fontes de informação sobre a perda;

XI - as rubricas contábeis em que as perdas foram registradas, segundo os critérios estabelecidos no Cosif, incluindo os subtítulos de uso interno da instituição; e

XII - a descrição das perdas operacionais consideradas relevantes, incluindo suas causas.

§ 1º Para as perdas associadas a mais de uma unidade de negócio, a alocação às respectivas unidades deve ser realizada com base em critérios consistentes e passíveis de verificação.

§ 2º A inclusão do valor recuperado da perda, de que trata o inciso VI do caput, deve ser amparada por comprovação documentada do pagamento, por parte do segurador, ou da liquidação do ressarcimento.

§ 3º No caso de múltiplas perdas operacionais relacionadas a um mesmo evento de risco operacional, as perdas a ele associadas devem ser identificadas e agrupadas, com base em critérios consistentes e passíveis de verificação.

§ 4º Não devem ser agrupadas em um mesmo evento de risco operacional as perdas operacionais que não tenham uma causa comum entre elas.

§ 5º Para fins do inciso XII do caput, devem ser considerados os critérios de relevância estabelecidos pelo Banco Central do Brasil.

Art. 6º A base de dados de risco operacional deve conter, adicionalmente, para cada evento de risco legal:

I - a informação sobre a natureza da provisão ou do passivo contingente, bem como a forma de avaliação adotada;

II - a despesa de provisão, bem como as eventuais complementações ou reversões parciais relacionadas à mesma perda;

III - o valor do risco não coberto por provisão; e

IV - a probabilidade de ocorrência da perda, segundo os critérios estabelecidos no Cosif.

CAPÍTULO III

DAS CISÕES, FUSÕES, AQUISIÇÕES E INCORPORAÇÕES

Art. 7º No caso de fusões, incorporações e aquisições, devem ser incluídas na base de dados de risco operacional todas as perdas operacionais de cada instituição envolvida no respectivo processo.

Parágrafo único. O disposto no caput não se aplica às perdas operacionais relativas às instituições dispensadas de constituir base de dados de risco operacional, nos termos da Resolução nº 4.557, de 2017.

Art. 8º No caso de cisões, a base de dados de risco operacional das instituições resultantes do processo deve incluir eventuais alterações em relação à situação anterior à cisão, considerando os produtos, os serviços, as atividades, os processos e os sistemas de cada instituição resultante.

CAPÍTULO IV

DO DESCARTE E DA CORREÇÃO DE DADOS

Art. 9º A instituição deve solicitar ao Banco Central do Brasil aprovação para o descarte de dados incluídos na base de dados de risco operacional, em caráter excepcional, quando considerar o evento registrado não mais relevante para o seu perfil de risco.

§ 1º A solicitação de que trata o caput deve ser devidamente fundamentada e comprovar, em relação ao evento de risco operacional a ser descartado, a ausência de exposição residual ou similar e de associação do evento a outros processos ou produtos da instituição.

§ 2º O descarte de eventos registrados na base de dados de risco operacional somente pode ser solicitado ao Banco Central do Brasil após três anos de sua inclusão, salvo nos casos de operações descontinuadas por parte da instituição.

§ 3º Os dados descartados e sua respectiva documentação devem ser mantidos à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.

Art. 10. A instituição pode efetuar a correção de informações inseridas na base de dados de risco operacional, observados os critérios e os procedimentos definidos na sua política de gerenciamento de riscos.

Parágrafo único. As correções consideradas relevantes pela instituição ou aquelas que acarretem mudanças significativas na base de dados devem ser devidamente justificadas e documentadas.

CAPÍTULO V

DO ENCAMINHAMENTO DE INFORMAÇÕES

Art. 11. Devem ser encaminhadas ao Banco Central do Brasil, na forma a ser por ele estabelecida, as informações constantes da base de dados de risco operacional.

§ 1º As informações de que trata o caput devem:

I - ser encaminhadas ao Banco Central do Brasil com periodicidade semestral, relativamente às datas-bases de 30 de junho e 31 de dezembro; e

II - abranger um período de dez anos.

§ 2º Alternativamente ao disposto no § 1º, inciso II, admite-se a utilização dos seguintes períodos de abrangência de dados:

I - cinco anos, até 31 de dezembro de 2021;

II - seis anos, até 31 de dezembro de 2022;

III - sete anos, até 31 de dezembro de 2023;

IV - oito anos, até 31 de dezembro de 2024; e

V - nove anos, até 31 de dezembro de 2025.

§ 3º Para fins do cômputo do período de abrangência de dados, de que trata o § 1º, inciso II, devem ser consideradas:

I - a data da contabilização, para os eventos de risco operacional reconhecidos como despesa; ou

II - a data de ocorrência, para os eventos de risco legal em que não há obrigatoriedade do registro de provisão.

§ 4º Devem ser encaminhados ao Banco Central do Brasil os eventos de risco operacional com data de contabilização ou de ocorrência não compreendida no período de abrangência de dados, de que trata o § 1º, inciso II, mas com eventual produção de efeitos em data futura.

§ 5º O encaminhamento de informações deve ser realizado de forma individualizada, em relação a cada evento, quando:

I - o valor da perda bruta acumulada, de que trata o inciso V do art. 5º, for igual ou superior a R$1.000,00 (mil reais); ou

II - o valor do risco não coberto por provisão, de que trata o inciso III do art. 6º, for igual ou superior a R$10.000.000,00 (dez milhões de reais).

§ 6º Os eventos de risco operacional cujos valores sejam inferiores aos limites estabelecidos no § 5º devem ser encaminhados de forma agregada.

§ 7º O Banco Central do Brasil poderá, a seu critério, dispensar o encaminhamento de parte das informações mencionadas nos arts. 5º e 6º para os eventos de risco operacional registrados na base de dados antes da entrada em vigor desta Circular.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 12. Os processos relativos à constituição e ao gerenciamento da base de dados de risco operacional devem ser avaliados periodicamente pela auditoria interna da instituição, pelo menos no que diz respeito a sua abrangência, consistência, integridade e confiabilidade.

Art. 13. As informações utilizadas na constituição da base de dados de risco operacional devem ser mantidas à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.

Art. 14. O diretor indicado nos termos do art. 44 da Resolução nº 4.557, de 2017, é responsável pelas informações de que trata esta Circular.

Art. 15. Esta Circular entra em vigor em 1º de dezembro de 2020.

Parágrafo único. Para a instituição enquadrada no S2, admite-se a observância do disposto nesta Circular a partir de 1º de junho de 2021.

OTÁVIO RIBEIRO DAMASO

Diretor de Regulação

ANEXO I

Unidades de Negócio

Varejo

Comercial

Finanças corporativas

Negociação e vendas

Pagamentos e liquidações

Serviços de agente financeiro

Administração de ativos

Corretagem de varejo

ANEXO II

Categorias de Eventos de Risco Operacional

Categoria Nível 1

Categoria Nível 2

Fraudes internas

Atividade não autorizada

Roubo e fraude (origem interna)

Fraudes externas

Roubo e fraude (origem externa)

Segurança de sistemas

Demandas trabalhistas e segurança deficiente do local de trabalho

Relações de trabalho

Segurança do local de trabalho

Diversidade e discriminação

Práticas inadequadas relativas a clientes, produtos e serviços

Adequação de produto a cliente, divulgação de informações sobre produtos e serviços, desrespeito ao dever fiduciário

Práticas impróprias de negócios e em mercados

Falhas no produto

Seleção, patrocínio e exposição

Atividades de assessoramento

Danos a ativos físicos próprios ou em uso pela instituição

Desastres e outros eventos

Situações que acarretem a interrupção das atividades da instituição

Interrupção de atividades

Falhas em sistemas, processos ou infraestrutura de tecnologia da informação

(TI)

Falhas em sistemas, processos ou infraestrutura de TI

Falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição

Captura, execução e manutenção de transações

Monitoramento e reporte

Aquisição de clientes e documentação

Gestão de contas correntes e de não correntistas

Contrapartes em transações

Representantes e fornecedores

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa