Circular nº 3979 DE 30/01/2020
Norma Federal - Publicado no DO em 31 jan 2020
Dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional.
A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 30 de janeiro de 2020, com base nos arts. 9º, 10, inciso IX, 11, inciso VII, e 37 da Lei nº 4.595, de 31 de dezembro 1964, e tendo em vista o art. 34 da Resolução nº 4.557, de 23 de fevereiro de 2017, a Resolução nº 4.658, de 26 de abril de 2018, e a Resolução nº 4.327, de 25 de abril de 2014, RESOLVE :
CAPÍTULO I DO OBJETO, DO ESCOPO DE APLICAÇÃO E DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Circular dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional.
Nota: - Alteração Futura: Art. 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1) ou no Segmento 2 (S2), nos termos da Resolução nº 4.553, de 30 de janeiro de 2017, e os conglomerados classificados como do Tipo 3 enquadrados no S2, nos termos da Resolução BCB nº 197, de 11 de março de 2022, devem constituir base de dados de risco operacional segundo os critérios estabelecidos nesta Circular. (Redação do artigo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
Art. 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1) ou no Segmento 2 (S2), nos termos do art. 2º da Resolução nº 4.553, de 30 de janeiro de 2017, devem constituir base de dados de risco operacional, conforme disposto no art. 34 da Resolução nº 4.557, de 23 de fevereiro de 2017, segundo os critérios estabelecidos nesta Circular.
Art. 3º Para fins desta Circular, considera-se:
Nota: - Alteração Futura: I - risco operacional: conforme definição estabelecida no art. 32 da Resolução nº 4.557, de 23 de fevereiro de 2017, e no art. 34 da Resolução BCB nº 265, de 25 de novembro de 2022, para conglomerado do Tipo 3; (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
I - risco operacional: conforme definição estabelecida no art. 32 da Resolução nº 4.557, de 2017;
Nota: - Alteração Futura: II - perda operacional: conforme definição estabelecida no § 1º do art. 34 da Resolução nº 4.557, de 2017, e no § 1º do art. 36 da Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3; (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
II - perda operacional: conforme definição estabelecida no § 1º do art. 34 da Resolução nº 4.557, de 2017;
III - risco cibernético: possibilidade de ocorrência de perdas resultantes de incidentes cibernéticos;
IV - incidente cibernético: evento relacionado com o ambiente cibernético que:
a) produz efeito adverso ou representa ameaça aos sistemas de tecnologia da informação (TI) ou à informação que esses sistemas processam, armazenam ou transmitem; ou
b) infringe políticas ou procedimentos de segurança referentes aos sistemas de TI;
V - valor bruto da perda: valor quantificável associado a eventos de risco operacional, incluindo provisões e despesas, antes de eventual recuperação por seguro ou por outros meios;
VI - valor do risco não coberto por provisão: estimativa de perda para os eventos de risco legal em que não há obrigatoriedade do registro de provisão, segundo os critérios estabelecidos no Plano Contábil das Instituições do Sistema Financeiro Nacional (Cosif).
Nota: - Alteração Futura: § 1º A definição de que trata o inciso IV do caput inclui os incidentes relacionados com o ambiente cibernético de que tratam a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, e a Resolução BCB nº 85, de 8 de abril de 2021, para conglomerado do Tipo 3. (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
§ 1º A definição de que trata o inciso IV do caput inclui os incidentes relacionados com o ambiente cibernético de que trata a Resolução nº 4.658, de 26 de abril de 2018.
§ 2º O cálculo do valor bruto da perda, de que trata o inciso V do caput, deve incluir:
I - honorários advocatícios e custas processuais;
II - despesas relacionadas a eventos de risco operacional não reconhecidas no seu período de competência, que posteriormente sejam consideradas devidas; e
III - multas, encargos e demais valores incidentes nas despesas de que trata o inciso II deste parágrafo.
CAPÍTULO II DA BASE DE DADOS DE RISCO OPERACIONAL
Art. 4º A base de dados de risco operacional deve refletir o perfil de risco e as práticas de gerenciamento de riscos da instituição e incluir todos os eventos de risco operacional.
§ 1º Devem ser documentadas a abrangência, a consistência, a integridade e a confiabilidade dos processos de identificação, de coleta e de tratamento das informações constantes da base de dados de risco operacional.
§ 2º Devem constar da base de dados de risco operacional:
Nota: - Alteração Futura: (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023):
I - as perdas operacionais associadas:
a) ao risco cibernético, conforme definido no inciso III do caput do art. 3º desta Circular; e
b) ao risco social, ao risco ambiental e ao risco climático, conforme definições estabelecidas pela Resolução nº 4.557, de 2017, e pela Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3; e
I - as perdas operacionais associadas ao risco cibernético e ao risco socioambiental, de que trata a Resolução nº 4.327, de 25 de abril de 2014; e
II - os eventos de risco legal para os quais não há obrigatoriedade do registro de provisão para contingências, segundo os critérios estabelecidos no Cosif.
Art. 5º A base de dados de risco operacional deve conter, para cada evento de risco operacional:
I - o código interno de identificação do evento de risco operacional;
II - a identificação da entidade em que a perda ocorreu;
III - a identificação da unidade de negócio em que se verificou a perda, conforme o Anexo I desta Circular;
IV - as datas de ocorrência, de descoberta e de registro contábil da perda;
V - o valor bruto acumulado da perda;
VI - o valor acumulado da perda recuperado por seguro ou por outros meios;
VII - a fonte do ressarcimento, para eventos de recuperação de perda;
VIII - a indicação, com base em critérios consistentes e passíveis de verificação, da Categoria Nível 1 e da Categoria Nível 2 em que se enquadra o evento de risco operacional, conforme o Anexo II desta Circular;
IX - a identificação, quando aplicável, das perdas operacionais ligadas a:
Nota: - Alteração Futura: a) risco de crédito; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
a) risco de crédito, conforme definido no art. 21 da Resolução nº 4.557, de 2017;
b) risco de mercado; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
b) risco de mercado, conforme definido no art. 25 da Resolução nº 4.557, de 2017;
Nota: - Alteração Futura: c) risco social; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
c) risco socioambiental, conforme definido na Resolução nº 4.327, de 2014; e
Nota: - Alteração Futura: d) risco ambiental; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
d) risco cibernético, conforme definido no inciso III do art. 3º desta Circular;
e) risco climático; e (Alínea acrescentada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
f) risco cibernético; (Alínea acrescentada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
X - as fontes de informação sobre a perda;
XI - as rubricas contábeis em que as perdas foram registradas, segundo os critérios estabelecidos no Cosif, incluindo os subtítulos de uso interno da instituição; e
XII - a descrição das perdas operacionais consideradas relevantes, incluindo suas causas.
§ 1º Para as perdas associadas a mais de uma unidade de negócio, a alocação às respectivas unidades deve ser realizada com base em critérios consistentes e passíveis de verificação.
§ 2º A inclusão do valor recuperado da perda, de que trata o inciso VI do caput, deve ser amparada por comprovação documentada do pagamento, por parte do segurador, ou da liquidação do ressarcimento.
§ 3º No caso de múltiplas perdas operacionais relacionadas a um mesmo evento de risco operacional, as perdas a ele associadas devem ser identificadas e agrupadas, com base em critérios consistentes e passíveis de verificação.
§ 4º Não devem ser agrupadas em um mesmo evento de risco operacional as perdas operacionais que não tenham uma causa comum entre elas.
§ 5º Para fins do inciso XII do caput, devem ser considerados os critérios de relevância estabelecidos pelo Banco Central do Brasil.
§ 6º As definições dos riscos mencionados no inciso IX do caput são aquelas estabelecidas pela Resolução nº 4.557, de 2017, pela Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3, e pelo inciso III do caput do art. 3º desta Circular. (Parágrafo acrescentado pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
Art. 6º A base de dados de risco operacional deve conter, adicionalmente, para cada evento de risco legal:
I - a informação sobre a natureza da provisão ou do passivo contingente, bem como a forma de avaliação adotada;
II - a despesa de provisão, bem como as eventuais complementações ou reversões parciais relacionadas à mesma perda;
III - o valor do risco não coberto por provisão; e
IV - a probabilidade de ocorrência da perda, segundo os critérios estabelecidos no Cosif.
CAPÍTULO III DAS CISÕES, FUSÕES, AQUISIÇÕES E INCORPORAÇÕES
Art. 7º No caso de fusões, incorporações e aquisições, devem ser incluídas na base de dados de risco operacional todas as perdas operacionais de cada instituição envolvida no respectivo processo.
Nota: - Alteração Futura: Parágrafo único. O disposto no caput não se aplica às perdas operacionais relativas às instituições dispensadas de constituir base de dados de risco operacional. (Redação do parágrafo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
Parágrafo único. O disposto no caput não se aplica às perdas operacionais relativas às instituições dispensadas de constituir base de dados de risco operacional, nos termos da Resolução nº 4.557, de 2017.
Art. 8º No caso de cisões, a base de dados de risco operacional das instituições resultantes do processo deve incluir eventuais alterações em relação à situação anterior à cisão, considerando os produtos, os serviços, as atividades, os processos e os sistemas de cada instituição resultante.
CAPÍTULO IV DO DESCARTE E DA CORREÇÃO DE DADOS
Art. 9º A instituição deve solicitar ao Banco Central do Brasil aprovação para o descarte de dados incluídos na base de dados de risco operacional, em caráter excepcional, quando considerar o evento registrado não mais relevante para o seu perfil de risco.
§ 1º A solicitação de que trata o caput deve ser devidamente fundamentada e comprovar, em relação ao evento de risco operacional a ser descartado, a ausência de exposição residual ou similar e de associação do evento a outros processos ou produtos da instituição.
§ 2º O descarte de eventos registrados na base de dados de risco operacional somente pode ser solicitado ao Banco Central do Brasil após três anos de sua inclusão, salvo nos casos de operações descontinuadas por parte da instituição.
§ 3º Os dados descartados e sua respectiva documentação devem ser mantidos à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.
Art. 10. A instituição pode efetuar a correção de informações inseridas na base de dados de risco operacional, observados os critérios e os procedimentos definidos na sua política de gerenciamento de riscos.
Parágrafo único. As correções consideradas relevantes pela instituição ou aquelas que acarretem mudanças significativas na base de dados devem ser devidamente justificadas e documentadas.
CAPÍTULO V DO ENCAMINHAMENTO DE INFORMAÇÕES
Art. 11. Devem ser encaminhadas ao Banco Central do Brasil, na forma a ser por ele estabelecida, as informações constantes da base de dados de risco operacional.
§ 1º As informações de que trata o caput devem:
I - ser encaminhadas ao Banco Central do Brasil com periodicidade semestral, relativamente às datas-bases de 30 de junho e 31 de dezembro; e
II - abranger um período de dez anos.
§ 2º Alternativamente ao disposto no § 1º, inciso II, admite-se a utilização dos seguintes períodos de abrangência de dados:
I - cinco anos, até 31 de dezembro de 2021;
II - seis anos, até 31 de dezembro de 2022;
III - sete anos, até 31 de dezembro de 2023;
IV - oito anos, até 31 de dezembro de 2024; e
V - nove anos, até 31 de dezembro de 2025.
§ 3º Para fins do cômputo do período de abrangência de dados, de que trata o § 1º, inciso II, devem ser consideradas:
I - a data da contabilização, para os eventos de risco operacional reconhecidos como despesa; ou
II - a data de ocorrência, para os eventos de risco legal em que não há obrigatoriedade do registro de provisão.
§ 4º Devem ser encaminhados ao Banco Central do Brasil os eventos de risco operacional com data de contabilização ou de ocorrência não compreendida no período de abrangência de dados, de que trata o § 1º, inciso II, mas com eventual produção de efeitos em data futura.
§ 5º O encaminhamento de informações deve ser realizado de forma individualizada, em relação a cada evento, quando:
I - o valor da perda bruta acumulada, de que trata o inciso V do art. 5º, for igual ou superior a R$1.000,00 (mil reais); ou
II - o valor do risco não coberto por provisão, de que trata o inciso III do art. 6º, for igual ou superior a R$10.000.000,00 (dez milhões de reais).
§ 6º Os eventos de risco operacional cujos valores sejam inferiores aos limites estabelecidos no § 5º devem ser encaminhados de forma agregada.
§ 7º O Banco Central do Brasil poderá, a seu critério, dispensar o encaminhamento de parte das informações mencionadas nos arts. 5º e 6º para os eventos de risco operacional registrados na base de dados antes da entrada em vigor desta Circular.
CAPÍTULO VI DAS DISPOSIÇÕES FINAIS
Art. 12. Os processos relativos à constituição e ao gerenciamento da base de dados de risco operacional devem ser avaliados periodicamente pela auditoria interna da instituição, pelo menos no que diz respeito a sua abrangência, consistência, integridade e confiabilidade
Art. 13. As informações utilizadas na constituição da base de dados de risco operacional devem ser mantidas à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.
Nota: - Alteração Futura: Art. 14. O diretor de gerenciamento de riscos (CRO) é responsável pelas informações de que trata esta Circular. (Redação do artigo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).
Art. 14. O diretor indicado nos termos do art. 44 da Resolução nº 4.557, de 2017, é responsável pelas informações de que trata esta Circular.
Art. 15. Esta Circular entra em vigor em 1º de dezembro de 2020.
Parágrafo único. Para a instituição enquadrada no S2, admite-se a observância do disposto nesta Circular a partir de 1º de junho de 2021.
ANEXO I
Unidades de Negócio |
Varejo |
Comercial |
Finanças corporativas |
Negociação e vendas |
Pagamentos e liquidações |
Serviços de agente financeiro |
Administração de ativos |
Corretagem de varejo |
ANEXO II
Categorias de Eventos de Risco Operacional | |
Categoria Nível 1 | Categoria Nível 2 |
Fraudes internas | Atividade não autorizada |
Roubo e fraude (origem interna) | |
Fraudes externas | Roubo e fraude (origem externa) |
Segurança de sistemas | |
Demandas trabalhistas e segurança deficiente do local de trabalho | Relações de trabalho |
Segurança do local de trabalho | |
Diversidade e discriminação | |
Práticas inadequadas relativas a clientes, produtos e serviços |
Adequação de produto a cliente, divulgação de informações sobre produtos e serviços, desrespeito ao dever fiduciário |
Práticas impróprias de negócios e em mercados | |
Falhas no produto | |
Seleção, patrocínio e exposição | |
Atividades de assessoramento | |
Danos a ativos físicos próprios ou em uso pela instituição |
Desastres e outros eventos |
Situações que acarretem a interrupção das atividades da instituição | Interrupção de atividades |
Falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI) |
Falhas em sistemas, processos ou infraestrutura de TI |
Falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição | Captura, execução e manutenção de transações |
Monitoramento e reporte | |
Aquisição de clientes e documentação | |
Gestão de contas correntes e de não correntistas | |
Contrapartes em transações | |
Representantes e fornecedores |