Logomarca do Banco Central do Brasil
   Busca de normas
 
16/10/2018 02:48 
  [NORFW0003]
Texto Original




                        RESOLUCAO N. 003380                          
                        -------------------                          

                                   Dispõe  sobre  a implementação  de
                                   estrutura   de  gerenciamento   do
                                   risco operacional.                

         O  BANCO  CENTRAL  DO BRASIL, na forma do  art.  9º  da  Lei
4.595,  de  31  de  dezembro de 1964, torna público  que  o  CONSELHO
MONETÁRIO  NACIONAL, em sessão realizada em 29 de junho de  2006, com
base nos arts. 4º, inciso VIII, da referida lei, 2º, inciso VI, 8º  e
9º  da Lei 4.728, de 14 de julho de 1965, e 20 da Lei 4.864, de 29 de
novembro  de  1965, na Lei 6.099, de 12 de setembro de 1974,  com  as
alterações introduzidas pela Lei 7.132, de 26 de outubro de 1983,  na
Lei   10.194,  de  14  de  fevereiro  de  2001,  com  as   alterações
introduzidas pela Lei 11.110, de 25 de abril de 2005, e no art. 6o do
Decreto-lei 759, de 12 de agosto de 1969,                            

R E S O L V E U:                                                     

         Art.  1º   Determinar às instituições financeiras  e  demais
instituições autorizadas a funcionar pelo Banco Central do  Brasil  a
implementação de estrutura de gerenciamento do risco operacional.    

         Parágrafo único.  A estrutura de que trata o caput deve  ser
compatível  com  a natureza e a complexidade dos produtos,  serviços,
atividades, processos e sistemas da instituição.                     

         Art.  2º   Para  os efeitos desta resolução, define-se  como
risco operacional a possibilidade de ocorrência de perdas resultantes
de falha, deficiência ou inadequação de processos internos, pessoas e
sistemas, ou de eventos externos.                                    

         §  1º  A definição de que trata o caput inclui o risco legal
associado  à  inadequação ou deficiência em contratos  firmados  pela
instituição,  bem  como  a  sanções em  razão  de  descumprimento  de
dispositivos   legais  e  a  indenizações  por  danos   a   terceiros
decorrentes das atividades desenvolvidas pela instituição.           

         § 2º  Entre os eventos de risco operacional, incluem-se:    

         I - fraudes internas;                                       

         II - fraudes externas;                                      

         III  - demandas trabalhistas e segurança deficiente do local
de trabalho;                                                         

         IV  - práticas inadequadas relativas a clientes, produtos  e
serviços;                                                            

         V  -  danos  a  ativos  físicos  próprios  ou  em  uso  pela
instituição;                                                         

         VI  - aqueles que acarretem a interrupção das atividades  da
instituição;                                                         

         VII - falhas em sistemas de tecnologia da informação;       

         VIII   -  falhas  na  execução,  cumprimento  de  prazos   e
gerenciamento das atividades na instituição.                         

         Art.  3º   A estrutura de gerenciamento do risco operacional
deve prever:                                                         

         I  -  identificação,  avaliação, monitoramento,  controle  e
mitigação do risco operacional;                                      

         II  - documentação e armazenamento de informações referentes
às perdas associadas ao risco operacional;                           

         III  -  elaboração,  com  periodicidade  mínima  anual,   de
relatórios  que  permitam a identificação e correção  tempestiva  das
deficiências de controle e de gerenciamento do risco operacional;    

         IV  -  realização, com periodicidade mínima anual, de testes
de   avaliação  dos  sistemas  de  controle  de  riscos  operacionais
implementados;                                                       

         V  -  elaboração e disseminação da política de gerenciamento
de  risco   operacional ao pessoal da instituição, em  seus  diversos
níveis,  estabelecendo papéis e responsabilidades, bem  como  as  dos
prestadores de serviços terceirizados;                               

         VI  -  existência  de  plano  de  contingência  contendo  as
estratégias a serem adotadas para assegurar condições de continuidade
das  atividades  e  para limitar graves perdas decorrentes  de  risco
operacional;                                                         

         VII  -  implementação, manutenção e divulgação  de  processo
estruturado de comunicação e informação.                             

         §  1º  A política de gerenciamento do risco operacional deve
ser  aprovada  e revisada, no mínimo anualmente, pela  diretoria  das
instituições de que trata o art. 1º e pelo conselho de administração,
se houver.                                                           

         §  2º   Os  relatórios mencionados no inciso III  devem  ser
submetidos à diretoria das instituições de que trata o art. 1º  e  ao
conselho   de  administração,  se  houver,  que  devem  manifestar-se
expressamente  acerca das ações a serem implementadas  para  correção
tempestiva das deficiências apontadas.                               

         §  3º  Eventuais deficiências devem compor os relatórios  de
avaliação  da qualidade e adequação do sistema de controles internos,
inclusive  sistemas  de  processamento  eletrônico  de  dados  e   de
gerenciamento de riscos e de descumprimento de dispositivos legais  e
regulamentares,  que tenham, ou possam vir a ter impactos  relevantes
nas  demonstrações  contábeis ou nas operações da entidade  auditada,
elaborados   pela  auditoria  independente,  conforme   disposto   na
regulamentação vigente.                                              

         Art.  4o  A descrição da estrutura de gerenciamento do risco
operacional   deve  ser evidenciada em relatório de  acesso  público,
com periodicidade mínima anual.                                      

         §  1º   O conselho de administração ou, na sua inexistência,
a  diretoria da instituição deve fazer constar do relatório  descrito
no caput sua responsabilidade pelas informações divulgadas.          

         §   2º    As  instituições  mencionadas  no  art.  1º  devem
publicar,  em  conjunto  com as demonstrações  contábeis  semestrais,
resumo  da  descrição  de  sua estrutura de  gerenciamento  do  risco
operacional, indicando a localização do relatório citado no caput.   

         Art.  5º   A estrutura de gerenciamento do risco operacional
deve estar capacitada a identificar, avaliar, monitorar, controlar  e
mitigar  os riscos associados a cada instituição individualmente,  ao
conglomerado  financeiro, conforme o Plano Contábil das  Instituições
do Sistema  Financeiro Nacional - Cosif, bem  como  a  identificar  e
acompanhar  os  riscos associados às demais empresas  integrantes  do
consolidado econômico-financeiro, definido na Resolução 2.723, de  31
de maio de 2000.                                                     

         Parágrafo  único.  A estrutura, prevista no caput, deve tam-
bém estar capacitada a identificar e monitorar  o  risco  operacional
decorrente de serviços terceirizados relevantes para o  funcionamento
regular da instituição, prevendo os respectivos planos de  contingên-
cias, conforme art. 3º, inciso VI.                                   

         Art.  6º   A atividade de gerenciamento do risco operacional
deve   ser   executada  por  unidade  específica   nas   instituições
mencionadas no art. 1º.                                              

         Parágrafo  único.  A unidade a que se refere  o  caput  deve
ser segregada da unidade executora da atividade de auditoria interna,
de que trata o art. 2º da Resolução 2.554, de 24 de setembro de 1998,
com a redação dada pela Resolução 3.056, de 19 de dezembro de 2002.  

         Art.  7º  Com relação à estrutura de gerenciamento de risco,
admite-se a constituição de uma única unidade responsável:           

         I  - pelo gerenciamento de risco operacional do conglomerado
financeiro e das respectivas instituições integrantes;               

         II  -  pela  atividade de identificação e acompanhamento  do
risco  operacional  das  empresas  não  financeiras  integrantes   do
consolidado econômico-financeiro.                                    

         Art.  8º   As  instituições mencionadas no  art.  1º  devem 
indicar diretor responsável pelo gerenciamento do risco operacional. 

         Parágrafo  único.   Para  fins da  responsabilidade  de  que
trata  o  caput,  admite-se que o diretor indicado desempenhe  outras
funções na instituição, exceto a relativa à administração de recursos
de terceiros.                                                        

         Art.  9º   A estrutura de gerenciamento do risco operacional
deverá ser implementada até 31 de dezembro de 2007, com a observância
do seguinte cronograma:                                              

         I  -  até  31  de  dezembro de 2006:  indicação  do  diretor
responsável  e  definição  da  estrutura organizacional  que  tornará
efetiva sua implementação;                                           

         II  -  até  30  de  junho  de 2007:  definição  da  política
institucional,  dos  processos,  dos  procedimentos  e  dos  sistemas
necessários à sua efetiva implementação;                             

         III  - até 31 de dezembro de 2007: efetiva implementação  da
estrutura de gerenciamento de risco operacional, incluindo  os  itens
previstos no art. 3º, incisos III a VII.                             

         Parágrafo único.  As definições mencionadas nos incisos I  e
II deverão ser aprovadas pela diretoria das instituições de que trata
o  art.  1º  e pelo conselho de administração, se houver, dentro  dos
prazos estipulados.                                                  

         Art. 10.  O Banco Central do Brasil poderá:                 

         I  -  determinar a adoção de controles adicionais, nos casos
de  inadequação  ou insuficiência dos controles do risco  operacional
implementados pelas instituições mencionadas no art. 1º;             

         II  -  imputar  limites  operacionais  mais  restritivos   à
instituição  que  deixar  de  observar,  no  prazo  estabelecido,   a
determinação de que trata o inciso I.                                

         Art.  11.   Esta  resolução entra em vigor na  data  de  sua
publicação.                                                          

                                       Brasília, 29 de junho de 2006.


                                   Henrique de Campos Meirelles      
                                   Presidente