RESOLUÇÃO 3.380 DO BANCO CENTRAL DO BRASIL

RESOLUCAO 3.380

Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.

O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei4.595, de 31 de dezembro de 1964, torna público que o CONSELHOMONETÁRIO NACIONAL, em sessão realizada em 29 de junho de 2006, combase nos arts. 4º, inciso VIII, da referida lei, 2º, inciso VI, 8º e9º da Lei 4.728, de 14 de julho de 1965, e 20 da Lei 4.864, de 29 denovembro de 1965, na Lei 6.099, de 12 de setembro de 1974, com asalterações introduzidas pela Lei 7.132, de 26 de outubro de 1983, naLei 10.194, de 14 de fevereiro de 2001, com as alteraçõesintroduzidas pela Lei 11.110, de 25 de abril de 2005, e no art. 6o doDecreto-lei 759, de 12 de agosto de 1969,
R E S O L V E U:

Art. 1º Determinar às instituições financeiras e demaisinstituições autorizadas a funcionar pelo Banco Central do Brasil aimplementação de estrutura de gerenciamento do risco operacional. Parágrafo único. A estrutura de que trata o caput deve sercompatível com a natureza e a complexidade dos produtos, serviços,atividades, processos e sistemas da instituição.
Art. 2º Para os efeitos desta resolução, define-se comorisco operacional a possibilidade de ocorrência de perdas resultantesde falha, deficiência ou inadequação de processos internos, pessoas esistemas, ou de eventos externos.
§ 1º A definição de que trata o caput inclui o risco legalassociado à inadequação ou deficiência em contratos firmados pelainstituição, bem como a sanções em razão de descumprimento dedispositivos legais e a indenizações por danos a terceirosdecorrentes das atividades desenvolvidas pela instituição.
§ 2º Entre os eventos de risco operacional, incluem-se: I - fraudes internas;

II - fraudes externas;

III - demandas trabalhistas e segurança deficiente do local de
trabalho;

IV - práticas inadequadas relativas a clientes, produtos e
serviços;

V - danos a ativos físicos próprios ou em uso
pelainstituição; VI - aqueles que acarretem a interrupção das atividades dainstituição;

VII - falhas em sistemas de tecnologia da informação;

VIII - falhas na execução, cumprimento de prazos egerenciamento das atividades na instituição.

Art. 3º A estrutura de gerenciamento do risco operacionaldeve prever:
I - identificação, avaliação, monitoramento, controle emitigação do risco operacional;
II - documentação e armazenamento de informações referentesàs perdas associadas ao risco operacional;
III - elaboração, com periodicidade mínima anual, derelatórios que permitam a identificação e correção tempestiva dasdeficiências de controle e de gerenciamento do risco operacional;
IV - realização, com periodicidade mínima anual, de testesde avaliação dos sistemas de controle de riscos operacionaisimplementados;
V - elaboração e disseminação da política de gerenciamentode risco operacional ao pessoal da instituição, em seus diversosníveis, estabelecendo papéis e responsabilidades, bem como as dos prestadores de serviços terceirizados;
VI - existência de plano de contingência contendo asestratégias a serem adotadas para assegurar condições de continuidadedas atividades e para limitar graves perdas decorrentes de risco operacional;
VII - implementação, manutenção e divulgação de processoestruturado de comunicação e informação.
§ 1º A política de gerenciamento do risco operacional deveser aprovada e revisada, no mínimo anualmente, pela diretoria dasinstituições de que trata o art. 1º e pelo conselho de administração,se houver.
§ 2º Os relatórios mencionados no inciso III devem sersubmetidos à diretoria das instituições de que trata o art. 1º e aoconselho de administração, se houver, que devem manifestar-seexpressamente acerca das ações a serem implementadas para correçãotempestiva das deficiências apontadas.
§ 3º Eventuais deficiências devem compor os relatórios deavaliação da qualidade e adequação do sistema de controles internos,inclusive sistemas de processamento eletrônico de dados e degerenciamento de riscos e de descumprimento de dispositivos legais eregulamentares, que tenham, ou possam vir a ter impactos relevantesnas demonstrações contábeis ou nas operações da entidade auditada,elaborados pela auditoria independente, conforme disposto naregulamentação vigente.
Art. 4o A descrição da estrutura de gerenciamento do riscooperacional deve ser evidenciada em relatório de acesso público,com periodicidade mínima anual.
§ 1º O conselho de administração ou, na sua inexistência,a diretoria da instituição deve fazer constar do relatório descritono caput sua responsabilidade pelas informações divulgadas.
§ 2º As instituições mencionadas no art. 1º devempublicar, em conjunto com as demonstrações contábeis semestrais,resumo da descrição de sua estrutura de gerenciamento do riscooperacional, indicando a localização do relatório citado no caput.
Art. 5º A estrutura de gerenciamento do risco operacionaldeve estar capacitada a identificar, avaliar, monitorar, controlar emitigar os riscos associados a cada instituição individualmente, aoconglomerado financeiro, conforme o Plano Contábil das Instituiçõesdo Sistema Financeiro Nacional - Cosif, bem como a identificar eacompanhar os riscos associados às demais empresas integrantes doconsolidado econômico-financeiro, definido na Resolução 2.723, de 31de maio de 2000. Parágrafo único. A estrutura, prevista no caput, deve tam-bém estar capacitada a identificar e monitorar o risco operacionaldecorrente de serviços terceirizados relevantes para o funcionamentoregular da instituição, prevendo os respectivos planos de contingên-cias, conforme art. 3º, inciso VI.
Art. 6º A atividade de gerenciamento do risco operacionaldeve ser executada por unidade específica nas instituiçõesmencionadas no art. 1º.
Parágrafo único. A unidade a que se refere o caput deveser segregada da unidade executora da atividade de auditoria interna,de que trata o art. 2º da Resolução 2.554, de 24 de setembro de 1998,com a redação dada pela Resolução 3.056, de 19 de dezembro de 2002.
Art. 7º Com relação à estrutura de gerenciamento de risco,admite-se a constituição de uma única unidade responsável:
I - pelo gerenciamento de risco operacional do conglomerado financeiro e das respectivas instituições integrantes;
II - pela atividade de identificação e acompanhamento dorisco operacional das empresas não financeiras integrantes doconsolidado econômico-financeiro.
Art. 8º As instituições mencionadas no art. 1º devem indicar diretor responsável pelo gerenciamento do risco operacional.
Parágrafo único. Para fins da responsabilidade de quetrata o caput, admite-se que o diretor indicado desempenhe outrasfunções na instituição, exceto a relativa à administração de recursosde terceiros. Art. 9º A estrutura de gerenciamento do risco operacionaldeverá ser implementada até 31 de dezembro de 2007, com a observânciado seguinte cronograma:
I - até 31 de dezembro de 2006: indicação do diretorresponsável e definição da estrutura organizacional que tornaráefetiva sua implementação;
II - até 30 de junho de 2007: definição da políticainstitucional, dos processos, dos procedimentos e dos sistemasnecessários à sua efetiva implementação;
III - até 31 de dezembro de 2007: efetiva implementação daestrutura de gerenciamento de risco operacional, incluindo os itensprevistos no art. 3º, incisos III a VII.
Parágrafo único. As definições mencionadas nos incisos I eII deverão ser aprovadas pela diretoria das instituições de que tratao art. 1º e pelo conselho de administração, se houver, dentro dosprazos estipulados.
Art. 10. O Banco Central do Brasil poderá: I - determinar a adoção de controles adicionais, nos casosde inadequação ou insuficiência dos controles do risco operacionalimplementados pelas instituições mencionadas no art. 1º;
II - imputar limites operacionais mais restritivos àinstituição que deixar de observar, no prazo estabelecido, adeterminação de que trata o inciso I.
Art. 11. Esta resolução entra em vigor na data de suapublicação. Brasília, 29 de junho de 2006. Henrique de Campos Meirelles Presidente