A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 30 de janeiro de 2020, com base nos arts. 9º, 10, inciso IX, 11, inciso VII, e 37 da Lei nº 4.595, de 31 de dezembro 1964, nos arts. 9º, inciso II, e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o disposto no art. 34 da Resolução nº 4.557, de 23 de fevereiro de 2017, na Resolução CMN nº 4.893, de 26 de fevereiro de 2021, e no art. 36 da Resolução BCB nº 265, de 25 de novembro de 2022, RESOLVE : (Redação do preâmbulo dada pela Resolução BACEN Nº 306 DE 23/03/2023).

CAPÍTULO I DO OBJETO, DO ESCOPO DE APLICAÇÃO E DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Circular dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional.

Nota LegisWeb - Alteração Futura: Art. 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1), no Segmento 2 (S2) ou no Segmento 3 (S3), nos termos da Resolução nº 4.553, de 30 de janeiro de 2017, e os conglomerados classificados como do Tipo 3 enquadrados no S2 ou no S3, nos termos da Resolução BCB nº 197, de 11 de março de 2022, devem constituir base de dados de risco operacional segundo os critérios estabelecidos nesta Circular. (Redação do artigo dada pela Resolução BCB Nº 356 DE 28/11/2023, efeitos a partir de 01/06/2026).

Art. 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil enquadradas no Segmento 1 (S1) ou no Segmento 2 (S2), nos termos da Resolução nº 4.553, de 30 de janeiro de 2017, e os conglomerados classificados como do Tipo 3 enquadrados no S2, nos termos da Resolução BCB nº 197, de 11 de março de 2022, devem constituir base de dados de risco operacional segundo os critérios estabelecidos nesta Circular. (Redação do artigo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

Art. 3º Para fins desta Circular, considera-se:

I - risco operacional: conforme definição estabelecida no art. 32 da Resolução nº 4.557, de 23 de fevereiro de 2017, e no art. 34 da Resolução BCB nº 265, de 25 de novembro de 2022, para conglomerado do Tipo 3; (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

II - perda operacional: conforme definição estabelecida no § 1º do art. 34 da Resolução nº 4.557, de 2017, e no § 1º do art. 36 da Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3; (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

III - risco cibernético: possibilidade de ocorrência de perdas resultantes de incidentes cibernéticos;

IV - incidente cibernético: evento relacionado com o ambiente cibernético que:

a) produz efeito adverso ou representa ameaça aos sistemas de tecnologia da informação (TI) ou à informação que esses sistemas processam, armazenam ou transmitem; ou

b) infringe políticas ou procedimentos de segurança referentes aos sistemas de TI;

V - valor bruto da perda: valor quantificável associado a eventos de risco operacional, incluindo provisões e despesas, antes de eventual recuperação por seguro ou por outros meios;

VI - valor do risco não coberto por provisão: estimativa de perda para os eventos de risco legal em que não há obrigatoriedade do registro de provisão, segundo os critérios estabelecidos no Plano Contábil das Instituições do Sistema Financeiro Nacional (Cosif).

§ 1º A definição de que trata o inciso IV do caput inclui os incidentes relacionados com o ambiente cibernético de que tratam a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, e a Resolução BCB nº 85, de 8 de abril de 2021, para conglomerado do Tipo 3. (Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

§ 2º O cálculo do valor bruto da perda, de que trata o inciso V do caput, deve incluir:

I - honorários advocatícios e custas processuais;

II - despesas relacionadas a eventos de risco operacional não reconhecidas no seu período de competência, que posteriormente sejam consideradas devidas; e

III - multas, encargos e demais valores incidentes nas despesas de que trata o inciso II deste parágrafo.

CAPÍTULO II DA BASE DE DADOS DE RISCO OPERACIONAL

Art. 4º A base de dados de risco operacional deve refletir o perfil de risco e as práticas de gerenciamento de riscos da instituição e incluir todos os eventos de risco operacional.

§ 1º Devem ser documentadas a abrangência, a consistência, a integridade e a confiabilidade dos processos de identificação, de coleta e de tratamento das informações constantes da base de dados de risco operacional.

§ 2º Devem constar da base de dados de risco operacional:

(Redação do inciso dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023):

I - as perdas operacionais associadas:

a) ao risco cibernético, conforme definido no inciso III do caput do art. 3º desta Circular; e

b) ao risco social, ao risco ambiental e ao risco climático, conforme definições estabelecidas pela Resolução nº 4.557, de 2017, e pela Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3; e

II - os eventos de risco legal para os quais não há obrigatoriedade do registro de provisão para contingências, segundo os critérios estabelecidos no Cosif.

Art. 5º A base de dados de risco operacional deve conter, para cada evento de risco operacional:

I - o código interno de identificação do evento de risco operacional;

II - a identificação da entidade em que a perda ocorreu;

III - a identificação da unidade de negócio em que se verificou a perda, conforme o Anexo I desta Circular;

IV - as datas de ocorrência, de descoberta e de registro contábil da perda;

V - o valor bruto acumulado da perda;

VI - o valor acumulado da perda recuperado por seguro ou por outros meios;

VII - a fonte do ressarcimento, para eventos de recuperação de perda;

VIII - a indicação, com base em critérios consistentes e passíveis de verificação, da Categoria Nível 1 e da Categoria Nível 2 em que se enquadra o evento de risco operacional, conforme o Anexo II desta Circular;

IX - a identificação, quando aplicável, das perdas operacionais ligadas a:

a) risco de crédito; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

b) risco de mercado; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

c) risco social; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

d) risco ambiental; (Redação da alínea dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

e) risco climático; e (Alínea acrescentada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

f) risco cibernético; (Alínea acrescentada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

X - as fontes de informação sobre a perda;

XI - as rubricas contábeis em que as perdas foram registradas, segundo os critérios estabelecidos no Cosif, incluindo os subtítulos de uso interno da instituição; e

XII - a descrição das perdas operacionais consideradas relevantes, incluindo suas causas.

§ 1º Para as perdas associadas a mais de uma unidade de negócio, a alocação às respectivas unidades deve ser realizada com base em critérios consistentes e passíveis de verificação.

§ 2º A inclusão do valor recuperado da perda, de que trata o inciso VI do caput, deve ser amparada por comprovação documentada do pagamento, por parte do segurador, ou da liquidação do ressarcimento.

§ 3º No caso de múltiplas perdas operacionais relacionadas a um mesmo evento de risco operacional, as perdas a ele associadas devem ser identificadas e agrupadas, com base em critérios consistentes e passíveis de verificação.

§ 4º Não devem ser agrupadas em um mesmo evento de risco operacional as perdas operacionais que não tenham uma causa comum entre elas.

§ 5º Para fins do inciso XII do caput, devem ser considerados os critérios de relevância estabelecidos pelo Banco Central do Brasil.

§ 6º As definições dos riscos mencionados no inciso IX do caput são aquelas estabelecidas pela Resolução nº 4.557, de 2017, pela Resolução BCB nº 265, de 2022, para conglomerado do Tipo 3, e pelo inciso III do caput do art. 3º desta Circular. (Parágrafo acrescentado pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

Art. 6º A base de dados de risco operacional deve conter, adicionalmente, para cada evento de risco legal:

I - a informação sobre a natureza da provisão ou do passivo contingente, bem como a forma de avaliação adotada;

II - a despesa de provisão, bem como as eventuais complementações ou reversões parciais relacionadas à mesma perda;

III - o valor do risco não coberto por provisão; e

IV - a probabilidade de ocorrência da perda, segundo os critérios estabelecidos no Cosif.

CAPÍTULO III DAS CISÕES, FUSÕES, AQUISIÇÕES E INCORPORAÇÕES

Art. 7º No caso de fusões, incorporações e aquisições, devem ser incluídas na base de dados de risco operacional todas as perdas operacionais de cada instituição envolvida no respectivo processo.

Parágrafo único. O disposto no caput não se aplica às perdas operacionais relativas às instituições dispensadas de constituir base de dados de risco operacional. (Redação do parágrafo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

Art. 8º No caso de cisões, a base de dados de risco operacional das instituições resultantes do processo deve incluir eventuais alterações em relação à situação anterior à cisão, considerando os produtos, os serviços, as atividades, os processos e os sistemas de cada instituição resultante.

CAPÍTULO IV DO DESCARTE E DA CORREÇÃO DE DADOS

Art. 9º A instituição deve solicitar ao Banco Central do Brasil aprovação para o descarte de dados incluídos na base de dados de risco operacional, em caráter excepcional, quando considerar o evento registrado não mais relevante para o seu perfil de risco.

§ 1º A solicitação de que trata o caput deve ser devidamente fundamentada e comprovar, em relação ao evento de risco operacional a ser descartado, a ausência de exposição residual ou similar e de associação do evento a outros processos ou produtos da instituição.

§ 2º O descarte de eventos registrados na base de dados de risco operacional somente pode ser solicitado ao Banco Central do Brasil após três anos de sua inclusão, salvo nos casos de operações descontinuadas por parte da instituição.

§ 3º Os dados descartados e sua respectiva documentação devem ser mantidos à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.

Art. 10. A instituição pode efetuar a correção de informações inseridas na base de dados de risco operacional, observados os critérios e os procedimentos definidos na sua política de gerenciamento de riscos.

Parágrafo único. As correções consideradas relevantes pela instituição ou aquelas que acarretem mudanças significativas na base de dados devem ser devidamente justificadas e documentadas.

CAPÍTULO V DO ENCAMINHAMENTO DE INFORMAÇÕES

Art. 11. Devem ser encaminhadas ao Banco Central do Brasil, na forma a ser por ele estabelecida, as informações constantes da base de dados de risco operacional.

§ 1º As informações de que trata o caput devem:

I - ser encaminhadas ao Banco Central do Brasil com periodicidade semestral, relativamente às datas-bases de 30 de junho e 31 de dezembro; e

II - abranger um período de dez anos.

§ 2º Alternativamente ao disposto no § 1º, inciso II, admite-se a utilização dos seguintes períodos de abrangência de dados:

I - cinco anos, até 31 de dezembro de 2021;

II - seis anos, até 31 de dezembro de 2022;

III - sete anos, até 31 de dezembro de 2023;

IV - oito anos, até 31 de dezembro de 2024; e

V - nove anos, até 31 de dezembro de 2025.

§ 3º Para fins do cômputo do período de abrangência de dados, de que trata o § 1º, inciso II, devem ser consideradas:

I - a data da contabilização, para os eventos de risco operacional reconhecidos como despesa; ou

II - a data de ocorrência, para os eventos de risco legal em que não há obrigatoriedade do registro de provisão.

§ 4º Devem ser encaminhados ao Banco Central do Brasil os eventos de risco operacional com data de contabilização ou de ocorrência não compreendida no período de abrangência de dados, de que trata o § 1º, inciso II, mas com eventual produção de efeitos em data futura.

§ 5º O encaminhamento de informações deve ser realizado de forma individualizada, em relação a cada evento, quando:

I - o valor da perda bruta acumulada, de que trata o inciso V do art. 5º, for igual ou superior a R$1.000,00 (mil reais); ou

II - o valor do risco não coberto por provisão, de que trata o inciso III do art. 6º, for igual ou superior a R$10.000.000,00 (dez milhões de reais).

§ 6º Os eventos de risco operacional cujos valores sejam inferiores aos limites estabelecidos no § 5º devem ser encaminhados de forma agregada.

§ 7º O Banco Central do Brasil poderá, a seu critério, dispensar o encaminhamento de parte das informações mencionadas nos arts. 5º e 6º para os eventos de risco operacional registrados na base de dados antes da entrada em vigor desta Circular.

(Parágrafo acrescentado pela Resolução BCB Nº 356 DE 28/11/2023, efeitos a partir de 01/06/2026):

§ 8º Para as instituições enquadradas no S3, admite-se a utilização dos seguintes períodos de abrangência de dados, alternativamente ao disposto no § 1º, inciso II:

I - cinco anos, até 30 de junho de 2026;

II - seis anos, até 30 de junho de 2027;

III - sete anos, até 30 de junho de 2028;

IV - oito anos, até 30 de junho de 2029; e

V - nove anos, até 30 de junho de 2030.

CAPÍTULO VI DAS DISPOSIÇÕES FINAIS

Art. 12. Os processos relativos à constituição e ao gerenciamento da base de dados de risco operacional devem ser avaliados periodicamente pela auditoria interna da instituição, pelo menos no que diz respeito a sua abrangência, consistência, integridade e confiabilidade

Art. 13. As informações utilizadas na constituição da base de dados de risco  operacional devem ser mantidas à disposição do Banco Central do Brasil pelo prazo mínimo de dez anos.

Art. 14. O diretor de gerenciamento de riscos (CRO) é responsável pelas informações de que trata esta Circular. (Redação do artigo dada pela Resolução BACEN Nº 306 DE 23/03/2023, efeitos a partir de 01/07/2023).

Art. 15. Esta Circular entra em vigor em 1º de dezembro de 2020.

Parágrafo único. Para a instituição enquadrada no S2, admite-se a observância do disposto nesta Circular a partir de 1º de junho de 2021.

ANEXO I

ANEXO II