A Circular BACEN 3979/2020, publicada em 30 de Janeiro de 2020 dispõe sobre a constituição e a atualização da base de dados de risco operacional e a remessa ao Banco Central do Brasil de informações relativas a eventos de risco operacional. A norma equipara risco cibernético ao risco operacional agindo de forma preventiva para construção de um sistema financeiro mais robusto, visando, de forma geral, a proteção dos dados dos clientes.
Na Resolução 4658/2018 o BACEN já havia regulamentado sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Então, a atual circular 3979/2020 BACEN vem complementar a circular mencionada de 2018, cuidando de como as instituições financeiras protegem os dados sob sua custódia.
Detalhes da Circular 3979/2020 BACEN
As instituições devem manter uma base de dados de risco operacional e mandar informes regulares ao BACEN. A base de dados de risco operacional deve refletir o perfil de risco e as práticas de gerenciamento de riscos da instituição e incluir todos os eventos de risco operacional. Além disso, devem ser documentadas a abrangência, a consistência, a integridade e a confiabilidade dos processos de identificação, de coleta e de tratamento das informações que estiverem contidas na base de dados de risco operacional. Devem constar ainda nessa base as perdas operacionais associadas ao risco cibernético e ao risco socioambiental, além dos eventos de risco legal para os quais não há obrigatoriedade do registro de provisão para contingências, segundo os critérios estabelecidos no Cosif.
A base de dados de risco operacional deve conter, para cada evento de risco operacional:
- o código interno de identificação do risco;
- a identificação da entidade em que a perda ocorreu;
- a identificação da unidade de negócio onde a perda ocorreu;
- as datas de ocorrência, de descoberta e de registro contábil da perda;
- o valor bruto acumulado da perda;
- o valor acumulado da perda recuperado por seguro ou por outros meios;
- a fonte do ressarcimento, para eventos de recuperação de perda;
- a indicação, com base em critérios consistentes e passíveis de verificação (Categoria Nível 1 ou Nível 2) em que se enquadra o evento de risco operacional;
- a identificação, quando aplicável, das perdas operacionais ligadas a risco de crédito, risco de mercado, risco socioambiental, risco cibernético;
- as fontes de informação sobre a perda;
- as rubricas contábeis em que as perdas foram registradas, incluindo os subtítulos de uso interno da instituição; e
- a descrição das perdas operacionais consideradas relevantes, incluindo suas causas.
A base de dados de risco operacional deve conter para cada evento de risco legal:
- a informação sobre a natureza da provisão ou do passivo contingente, bem como a forma de avaliação adotada;
- a despesa de provisão, bem como as eventuais complementações ou reversões parciais relacionadas à mesma perda;
- o valor do risco não coberto por provisão; e
- a probabilidade de ocorrência da perda.
As informações que constarem da base de dados de risco operacional devem ser encaminhadas ao BACEN com periodicidade semestral, relativas a 30 de junho e 31 de dezembro de cada ano e abranger um período de dez anos (no entanto, para as informações encaminhadas de 2021 a 2025, a abrangência de dados vai de 5 a 9 anos). Além do envio das informações semestralmente, deve-se encaminhar informações de forma individualizada, em relação a cada evento, quando o valor da perda bruta acumulada, for igual ou superior a R$ 1.000,00 ou o valor do risco não coberto por provisão, for igual ou superior a R$10.000.000,00. Os demais riscos, devem ser enviados nos relatórios semestrais.
Os processos relacionados a constituição do gerenciamento da base de dados de risco operacional devem ser avaliados periodicamente pela auditoria interna da instituição, pelo menos no que diz respeito a sua abrangência, consistência, integridade e confiabilidade. Essas informações devem ser mantidas à disposição do BACEN por no mínimo dez anos. A circular publicada entra em vigor em 1º de dezembro de 2020.
Circular 3979/2020 BACEN na Íntegra
Para acessar a Circular 3979/2020 do Banco Central na íntegra clique aqui.
- Elaboração e Revisão de Política de Prevenção à Lavagem de dinheiro e Financiamento ao Terrorismo
- Análise Regulatória Setorial (Mapeamento da regulação setorial)
- Elaboração e Revisão de Políticas KYC (Know Your Custumer), KYE (Know Your Employee) e KYP (Know Your Partner)
- Avaliação e Análise de Riscos de negócios (fintechs, bitcoin, blockchain, cripto tokens)
- Elaboração e Revisão de Manual de Procedimentos de Controles Internos para Prevenção à Lavagem de dinheiro e Financiamento ao Terrorismo (PLDFT)
- Consultoria jurídica para definição de Indicares de Risco (KPIs) e Governança Corporativa
- Assessoria Jurídica para Registro de Atividade Financeira Bacen
- Elaboração e Revisão de Manual de Ética e Conduta
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.