BACEN = BCB = BC = BANCO CENTRAL DO BRASIL - CONTABILIDADE BANCÁRIA

COSIF - PADRÃO CONTÁBIL DAS INSTITUIÇÕES REGULADAS PELO BACEN

RESOLUÇÃO BCB 265/2022 - 01/11/2022 - (Revisado em 23/04/2024)

1. RESOLUÇÃO BCB 265/2022

Dispõe sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações de conglomerado prudencial classificado como Tipo 3 enquadrado no Segmento 2 (S2), Segmento 3 (S3) ou Segmento 4 (S4).

Vigência

1. As estruturas de gerenciamento de riscos e de gerenciamento de capital deverão ser implementadas até 31/12/2023.
2. Esta Resolução entra em vigor em 01/07/2023.

LEGISLAÇÃO E NORMAS CORRELACIONADAS

1. Lei 12.865/2013 (artigo 9º, incisos II; artigo 15)
2. Resolução CMN 4.282/2013 (artigo 14)
3. Resolução BCB 168/2021 - Instituições de Pagamento - documentos contábeis consolidados do conglomerado prudencial.
4. Resolução BCB 197/2022 - Classifica o conglomerado prudencial integrado por ao menos uma instituição de pagamento.
5. Resolução BCB 199/2022 - Metodologia para apuração do Patrimônio de Referência (PR) - Tipo 3
6. Resolução BCB 200/2022 - Requerimentos mínimos de Patrimônio de Referência (PR) - Tipo 3
7. Declaração de Apetite por Riscos (RAS) - Gestão Integrada de Riscos.
8. Política de Responsabilidade Social, Ambiental e Climática (PRSAC) -
9. Backtesting - é um processo de testagem de modelos matemáticos [???], utilizando séries temporais [???], para predizer o comportamento de sistemas dinâmicos [???]. É usado em vários campos, tais como oceanografia, meteorologia e na indústria financeira [???]. [???] = tal como apostar e acertar os prognósticos esportivos (loteria esportiva = Casa de Apostas), desde que os resultados não sejam alterados por especuladores manipuladores das cotações ou dos resultados (insider trading)
10. Insider Trading - Crime combatido pela Lei 7.913/1989 - Lei de combate às fraudes ou aos crimes contra investidores. Veja também a Lei do Colarinho Branco (Lei 7.492/1986 - Crimes contra o sistema financeiro) e a Lei 6.385/1976 com as alterações da Lei 10.303/2001 (Crime contra o Mercado de Capitais artigos 27-C a 27-F). Veja ainda a Seção IV do Capítulo XII da Lei 6.404/1976 (responsabilidades de administradores).
11. PR - PATRIMÔNIO DE REFERÊNCIA - Cálculo de Limites Operacionais - Patrimônio Líquido Ajustado pelas normas do BACEN
12. Circular BCB 3.876/2018 - Avaliação da suficiência do PR mantido para cobertura do Risco de Variação das Taxas de Juros em Instrumentos Classificados na Carteira Bancária (IRRBB).

Coletânea (para efeitos didáticos) por Américo G Parada Fº - Contador - Coordenador do COSIFE

RESOLUÇÃO BCB 265/2022

Dispõe sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações de conglomerado prudencial classificado como Tipo 3 enquadrado no Segmento 2 (S2), Segmento 3 (S3) ou Segmento 4 (S4).

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 16 de novembro de 2022, com base nos arts. 9º, inciso II, e 15 da Lei 12.865, de 9 de outubro de 2013, e tendo em conta o disposto no art. 14 da Resolução 4.282, de 4 de novembro de 2013.

RESOLVE:

• CAPÍTULO I - DO ESCOPO
• CAPÍTULO II - DA DECLARAÇÃO DE APETITE POR RISCOS (RAS)
• CAPÍTULO III - DA ESTRUTURA DE GERENCIAMENTO DE RISCOS
  • Seção I - Dos Requisitos da Estrutura de Gerenciamento de Riscos
  • Seção II - Do Programa de Testes de Estresse
  • Seção III - Da Gestão de Continuidade de Negócios
  • Seção IV - Do Gerenciamento do Risco de Crédito
  • Seção V - Do Gerenciamento do Risco de Mercado e do IRRBB
  • Seção VI - Do Gerenciamento do Risco Operacional
  • Seção VII - Do Gerenciamento do Risco de Liquidez
  • Seção VIII - Do Gerenciamento do Risco Social, do Risco Ambiental e do Risco Climático
• CAPÍTULO IV - DA ESTRUTURA DE GERENCIAMENTO DE CAPITAL
• CAPÍTULO V - DA GOVERNANÇA DAS ESTRUTURAS DE GERENCIAMENTO E DA POLÍTICA DE DIVULGAÇÃO DE INFORMAÇÕES
  • Seção I - Do Gerenciamento de Riscos
  • Seção II - Do Gerenciamento de Capital
  • Seção III - Das Atribuições do Conselho de Administração e da Diretoria
  • Seção IV - Das Atribuições Conjuntas
• CAPÍTULO VI - DO GERENCIAMENTO DE RISCOS E DO GERENCIAMENTO DE CAPITAL DE CONGLOMERADO PRUDENCIAL
• CAPÍTULO VII - DA TRANSPARÊNCIA
• CAPÍTULO VIII - DAS DISPENSAS ESPECÍFICAS POR SEGMENTO
• CAPÍTULO IX - DAS DISPOSIÇÕES FINAIS

Art. 1º Esta Resolução dispõe sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações de conglomerado prudencial classificado como Tipo 3 enquadrado no Segmento 2 (S2), Segmento 3 (S3) ou Segmento 4 (S4), nos termos da Resolução BCB 197, de 11 de março de 2022.

CAPÍTULO I - DO ESCOPO

Art. 2º A instituição de pagamento líder de conglomerado prudencial classificado como Tipo 3 e enquadrado no S2, no S3 ou no S4 deve implementar:

• I - estrutura de gerenciamento contínuo e integrado de riscos;
• II - estrutura de gerenciamento contínuo de capital; e
• III - política de divulgação de informações sobre:
  • a) a estrutura de gerenciamento contínuo e integrado de riscos;
  • b) a estrutura de gerenciamento contínuo de capital;
  • c) a apuração do montante de ativos ponderados pelo risco (RWA), conforme Resolução BCB 200, de 11 de março de 2022; e
  • d) a adequação do Patrimônio de Referência (PR), conforme Resolução BCB 199, de 11 de março de 2022.

§ 1º As estruturas de gerenciamento de que trata o caput devem ser:

• I - compatíveis com o modelo de negócio, com a natureza das operações e com a complexidade dos produtos, dos serviços, das atividades e dos processos da instituição;
• II - proporcionais à dimensão e à relevância da exposição aos riscos, segundo critérios definidos pela instituição;
• III - adequadas ao perfil de riscos e à importância sistêmica da instituição; e
• IV - capazes de avaliar os riscos decorrentes das condições macroeconômicas e dos mercados em que a instituição atua.

§ 2º Cada estrutura de gerenciamento de que trata o caput deve ser unificada para as instituições integrantes de um mesmo conglomerado prudencial, conforme definido na Resolução BCB 168, de 1º de dezembro de 2021.

§ 3º O estabelecimento de requisitos para o gerenciamento de riscos não constitui permissão para que uma instituição de pagamento realize operações ou serviços vedados por lei, regulamento ou ato administrativo, ou dependente de prévia autorização do Banco Central do Brasil.

§ 4º As instituições de que trata o caput devem adotar postura prospectiva quanto ao gerenciamento de riscos e ao gerenciamento de capital.

CAPÍTULO II - DA DECLARAÇÃO DE APETITE POR RISCOS (RAS)

Art. 3º Os níveis de apetite por riscos devem ser documentados na Declaração de Apetite por Riscos (RAS).

Parágrafo único. Para fins da elaboração da RAS, devem ser considerados:

• I - os níveis de riscos que a instituição está disposta a assumir, nos termos do art. 4º, caput, discriminados por tipo de risco e, quando aplicável, por diferentes horizontes de tempo;
• II - a capacidade de a instituição gerenciar riscos de forma efetiva e prudente;
• III - os objetivos estratégicos da instituição; e
• IV - as condições de competitividade e o ambiente regulatório em que a instituição atua.

CAPÍTULO III - DA ESTRUTURA DE GERENCIAMENTO DE RISCOS

• Seção I - Dos Requisitos da Estrutura de Gerenciamento de Riscos
• Seção II - Do Programa de Testes de Estresse
• Seção III - Da Gestão de Continuidade de Negócios
• Seção IV - Do Gerenciamento do Risco de Crédito
• Seção V - Do Gerenciamento do Risco de Mercado e do IRRBB
• Seção VI - Do Gerenciamento do Risco Operacional
• Seção VII - Do Gerenciamento do Risco de Liquidez
• Seção VIII - Do Gerenciamento do Risco Social, do Risco Ambiental e do Risco Climático

Seção I - Dos Requisitos da Estrutura de Gerenciamento de Riscos

Art. 4º A estrutura de gerenciamento de riscos deve identificar, mensurar, avaliar, monitorar, reportar, controlar e mitigar:

• I - o risco de crédito, conforme definido no art. 19, a que a instituição esteja sujeita de maneira relevante;
• II - o risco de mercado, conforme definido no art. 23, a que a instituição esteja sujeita de maneira relevante;
• III - o risco de variação das taxas de juros para os instrumentos classificados na carteira bancária (IRRBB), conforme definido no art. 30, a que a instituição esteja sujeita de maneira relevante;
• IV - o risco operacional, conforme definido no art. 34;
• V - o risco de liquidez, conforme definido no art. 39;
• VI - o risco social, conforme definido no art. 41;
• VII - o risco ambiental, conforme definido no art. 42;
• VIII - o risco climático, conforme definido no art. 43;
• IX - os demais riscos relevantes, segundo critérios definidos pela instituição, incluindo aqueles não cobertos na apuração do montante dos ativos ponderados pelo risco (RWA).

§ 1º O gerenciamento de riscos deve ser integrado, possibilitando a identificação, a mensuração, a avaliação, o monitoramento, o reporte, o controle e a mitigação dos efeitos adversos resultantes das interações entre os riscos mencionados no caput.

§ 2º Para fins do disposto no § 1º, devem também ser consideradas as interações entre os riscos mencionados no caput e o risco de utilização de produtos e serviços da instituição na prática da lavagem de dinheiro ou do financiamento do terrorismo, nos termos da regulamentação emitida pelo Banco Central do Brasil.

Art. 5º A estrutura de gerenciamento de riscos deve prever:

• I - políticas e estratégias para o gerenciamento de riscos, claramente documentadas, que estabeleçam limites e procedimentos destinados a manter a exposição aos riscos em conformidade com os níveis fixados na RAS;
• II - processos efetivos de rastreamento e reporte tempestivo de exceções às políticas de gerenciamento de riscos, aos limites e aos níveis de apetite por riscos fixados na RAS;
• III - sistemas, rotinas e procedimentos para o gerenciamento de riscos;
• IV - avaliação periódica da adequação dos sistemas, rotinas e procedimentos de que trata o inciso III;
• V - políticas, processos e controles adequados para assegurar a identificação prévia dos riscos inerentes a:
  • a) novos produtos e serviços;
  • b) modificações relevantes em produtos ou serviços existentes;
  • c) mudanças significativas em processos, sistemas, operações e modelo de negócio da instituição;
  • d) estratégias de proteção (hedge) e iniciativas de assunção de riscos;
  • e) reorganizações societárias significativas; e
  • f) alteração nas perspectivas macroeconômicas;
• VI - papéis e responsabilidades para fins do gerenciamento de riscos, claramente documentados, que estabeleçam atribuições ao pessoal da instituição em seus diversos níveis, incluindo os prestadores de serviços terceirizados;
• VII - programa de testes de estresse, conforme definido no art. 9º;
• VIII - avaliação contínua da efetividade das estratégias de mitigação de riscos utilizadas, considerando, entre outros aspectos, os resultados dos testes de estresse;
• IX - políticas e estratégias, claramente documentadas, para a gestão de continuidade de negócios;
• X - relatórios gerenciais tempestivos para a diretoria da instituição líder, o comitê de riscos e o conselho de administração, quando existente, versando sobre:
  • a) valores agregados de exposição aos riscos de que trata o art. 4º e seus principais determinantes;
  • b) aderência do gerenciamento de riscos aos termos da RAS e às políticas e aos limites mencionados no caput, inciso I;
  • c) avaliação dos sistemas, das rotinas e dos procedimentos, de que trata o caput, inciso IV, incluindo eventuais deficiências da estrutura de gerenciamento de riscos e ações para corrigi-las;
  • d) ações para mitigação dos riscos e avaliação da sua eficácia;
  • e) grau de disseminação da cultura de gerenciamento de riscos no âmbito da instituição; e
  • f) premissas e resultados de testes de estresse.

§ 1º As políticas para gerenciamento de riscos de que trata o caput, inciso I, devem dispor sobre:

• I - autorizações necessárias e ações apropriadas e tempestivas da diretoria da instituição líder e, quando cabível, do conselho de administração, em caso de exceções às políticas, aos procedimentos, aos limites e aos termos da RAS;
• II - instrumentos, serviços financeiros e estratégias de proteção (hedge) com uso previsto pela instituição, em conformidade com os termos da RAS.

§ 2º Os sistemas de que trata o caput, inciso III, incluem sistemas de informação adequados para avaliar, mensurar e reportar, em condições normais ou de estresse, a dimensão, a composição e a qualidade das exposições, considerando os riscos incorridos pela instituição.

§ 3º O reporte produzido pelos sistemas de informação de que trata o § 2º deve:

• I - refletir o perfil de riscos e a necessidade de liquidez da instituição;
• II - estar disponível, periodicamente e de forma adequada ao uso, para a diretoria e para o conselho de administração, quando existente;
• III - explicitar as deficiências ou as limitações das estimativas de risco e das premissas adotadas em modelos quantitativos e em cenários.

§ 4º As políticas de que trata o caput, inciso I devem ser compatíveis com as demais políticas estabelecidas pela instituição, incluindo a Política de Responsabilidade Social, Ambiental e Climática (PRSAC) e a política de conformidade.

Art. 6º Devem ser disseminados ao pessoal da instituição, em seus diversos níveis, inclusive aos prestadores de serviços terceirizados relevantes, com linguagem e grau de informação compatíveis com sua área de atuação:

• I - o apetite por riscos documentado na RAS e sua conexão com as atividades e as decisões rotineiras de assunção de riscos;
• II - os procedimentos para reporte de ocorrências relacionadas à não observância dos níveis de apetite por riscos fixados na RAS;
• III - as políticas, as estratégias, os processos e os limites previstos na estrutura de gerenciamento de riscos.

Parágrafo único. A disseminação das informações de que trata o caput deve ser efetuada por meio de processo estruturado de comunicação.

Art. 7º Os modelos para o gerenciamento de riscos, quando utilizados e relevantes, devem ser submetidos a avaliação periódica quanto:

• I - à adequação e à robustez das premissas e das metodologias utilizadas;
• II - ao seu desempenho, incluindo a comparação, quando aplicável, entre as perdas estimadas e as observadas (backtesting).

Parágrafo único. A avaliação dos modelos de que trata o caput não pode ser realizada por unidade responsável pelo seu desenvolvimento nem por unidade que assume riscos.

Art. 8º A instituição deve manter quantidade suficiente de profissionais tecnicamente qualificados nas áreas sujeitas à assunção de riscos.

Seção II - Do Programa de Testes de Estresse

Art. 9º Para fins do programa de testes de estresse, consideram-se:

• I - programa de testes de estresse: conjunto coordenado de processos e rotinas, dotado de metodologias, documentação e governança próprias, com o objetivo principal de identificar potenciais vulnerabilidades da instituição;
• II - teste de estresse: exercício, com finalidade definida, de avaliação prospectiva dos potenciais impactos de eventos e circunstâncias adversos na instituição ou em um portfólio específico;
• III - análise de sensibilidade: metodologia de teste de estresse que permite avaliar o impacto decorrente de variações em um parâmetro relevante específico no capital da instituição, em sua liquidez ou no valor de um portfólio;
• IV - análise de cenários: metodologia de teste de estresse que permite avaliar, ao longo de um período determinado, o impacto decorrente de variações simultâneas e coerentes em um conjunto de parâmetros relevantes no capital da instituição, em sua liquidez ou no valor de um portfólio; e
• V - efeitos de segunda ordem: consequências adversas decorrentes de respostas da instituição e do mercado ao cenário originalmente definido.

Art. 10. São requisitos do programa de testes de estresse:

• I - abranger os riscos relevantes mencionados no art. 4º;
• II - avaliar o impacto de concentrações significativas de riscos;
• III - utilizar, de forma adequada às necessidades do gerenciamento de riscos, as seguintes metodologias de teste de estresse:
  • a) análise de sensibilidade; e
  • b) análise de cenários;
• IV - prever a utilização de premissas e parâmetros adversos adequadamente severos; e
• V - ser claramente documentado, com detalhamento dos seguintes aspectos:
  • a) governança e processos do programa;
  • b) finalidade, frequência e metodologia de cada teste de estresse;
  • c) ações elencadas para corrigir fragilidades apontadas pelo programa, incluindo a avaliação de sua factibilidade em situações de estresse;
  • d) metodologias para definição dos cenários relevantes, quando utilizada a metodologia de análise de cenários;
  • e) papel desempenhado pelos especialistas da instituição nas definições relativas aos testes de estresse; e
  • f) limitações metodológicas dos testes de estresse, incluindo aquelas relacionadas à seleção de modelos, às suas premissas e às bases de dados utilizadas.

Parágrafo único. Na realização do programa de testes de estresse, deve ser considerada a contribuição de especialistas das áreas relevantes da instituição, incluindo as de assunção de riscos, a de gerenciamento de riscos, a econômica, a de finanças e a de gerenciamento de capital.

Art. 11. A instituição deve assegurar, relativamente ao programa de testes de estresse:

• I - o uso de seus resultados na identificação, na mensuração, na avaliação, no monitoramento, no controle e na mitigação dos riscos da instituição;
• II - seu uso auxiliar na avaliação da adequação e da robustez das premissas e das metodologias utilizadas nos modelos de que trata o art. 7º, quando utilizados.

Art. 12. Os testes de estresse devem:

• I - ser realizados de forma integrada para os diversos riscos e unidades de negócios da instituição, considerando:
  • a) os diferentes níveis de agregação das exposições, conforme a finalidade dos testes; e
  • b) o conglomerado prudencial como um todo;
• II - considerar os efeitos adversos resultantes das interações entre os riscos e prever a utilização de cenário comum, quando utilizada a metodologia de análise de cenários.

Art. 13. No processo de elaboração de cenários, quando utilizada a metodologia de análise de cenários, devem ser considerados, quando relevantes:

• I - elementos históricos e hipotéticos;
• II - riscos de curto e de longo prazo, idiossincráticos e sistêmicos, de origem nacional e externa;
• III - interação entre riscos;
• IV - riscos associados ao conglomerado prudencial como um todo e a cada instituição que o integra;
• V - risco de a instituição vir a prestar suporte financeiro a entidade que não integre seu conglomerado;
• VI - assimetrias, não linearidades, efeitos de segunda ordem e quebra de correlações e de outras premissas.

§ 1º Cada cenário elaborado e sua severidade devem ser consistentes com as finalidades do respectivo teste de estresse.

§ 2º A baixa probabilidade da ocorrência de um cenário não deve necessariamente implicar sua exclusão do programa de testes de estresse.

Art. 14. Os sistemas mencionados no art. 5º, inciso III, utilizados no âmbito do programa de testes de estresse, devem ser flexíveis para permitir:

• I - inclusão e alteração de cenários, quando utilizada a metodologia de análise de cenários;
• II - incorporação de alterações no modelo de negócio; e
• III - agregação de operações por fatores de risco, contrapartes e linhas de negócio.

Art. 15. Os resultados do programa de testes de estresse devem ser incorporados:

• I - nas decisões estratégicas da instituição;
• II - na revisão dos níveis de apetite por riscos;
• III - na revisão das políticas, das estratégias e dos limites estabelecidos para fins do gerenciamento de riscos e do gerenciamento de capital;
• IV - no processo estruturado de comunicação de que trata o art. 6º;
• V - na avaliação dos níveis de capital e de liquidez da instituição e na elaboração dos respectivos planos de contingência; e
• VI - na avaliação da adequação de capital, de que trata o art. 48, inciso VI.

Art. 16. A diretoria da instituição líder e o conselho de administração, quando existente, devem se envolver ativamente no programa de testes de estresse, indicando as diretrizes a serem seguidas e aprovando os cenários, quando utilizada a metodologia de análise de cenários.

Art. 17. O Banco Central do Brasil poderá determinar:

• I - ajustes no programa de testes de estresse da instituição, incluindo a utilização de cenários diferentes dos originalmente estabelecidos e a realização de testes de estresse adicionais, caso sejam identificadas deficiências nesse programa; e
• II - realização de testes de estresse com base em cenários por ele fornecidos.

Seção III - Da Gestão de Continuidade de Negócios

Art. 18. As políticas para a gestão de continuidade de negócios de que trata o art. 5º, inciso IX, devem estabelecer:

• I - processo para análise de impacto nos negócios que inclua:
  • a) identificação, classificação e documentação dos processos críticos de negócio;
  • b) avaliação dos potenciais efeitos da interrupção dos processos mencionados na alínea “a”;
• II - estratégias para assegurar a continuidade das atividades da instituição e limitar perdas decorrentes da interrupção dos processos críticos de negócio;
• III - planos de continuidade de negócios que estabeleçam procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como as ações de comunicação necessárias;
• IV - testes e revisões dos planos de continuidade de negócios com periodicidade adequada.

§ 1º A política e os planos de continuidade de negócios devem considerar os serviços prestados por terceiros, quando relevantes.

§ 2º Os relatórios gerenciais mencionados no art. 5º, inciso X, devem incluir os resultados dos testes e das revisões de que trata o caput, inciso IV.

Seção IV - Do Gerenciamento do Risco de Crédito

Art. 19. Para fins desta Resolução, define-se o risco de crédito como a possibilidade de ocorrência de perdas associadas a:

• I - não cumprimento pela contraparte de suas obrigações nos termos pactuados;
• II - desvalorização, redução de remunerações e ganhos esperados em instrumento financeiro decorrentes da deterioração da qualidade creditícia da contraparte, do interveniente ou do instrumento mitigador;
• III - reestruturação de instrumentos financeiros; ou
• IV - custos de recuperação de exposições caracterizadas como ativos problemáticos, nos termos do art. 22.

§ 1º Para fins do gerenciamento do risco de crédito, consideram-se:

• I - contraparte:
  • a) o tomador de recursos;
  • b) o garantidor;
  • c) o emissor de título ou valor mobiliário adquirido;
  • d) o usuário final perante o emissor de instrumento de pagamento pós-pago;
  • e) o emissor perante o credenciador de instrumento de pagamento; e
  • f) a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento; e
• II - reestruturação de instrumentos financeiros: renegociação que implique a concessão de vantagens à contraparte em decorrência da deterioração da sua qualidade creditícia ou da qualidade creditícia do interveniente ou do instrumento mitigador.

§ 2º As vantagens mencionadas no § 1º, inciso II, incluem aquelas adicionadas aos instrumentos financeiros originais ou formalizadas em novos instrumentos utilizados para liquidação ou refinanciamento daqueles.

§ 3º A definição de risco de crédito inclui:

• I - o risco de crédito da contraparte, entendido como a possibilidade de perdas decorrentes do não cumprimento de obrigações relativas à liquidação de operações que envolvam fluxos bilaterais, incluindo a negociação de ativos financeiros ou de derivativos;
• II - o risco país, entendido como a possibilidade de perdas relativas ao não cumprimento de obrigações associadas a contraparte ou instrumento mitigador localizados fora do País, incluindo o risco soberano, em que a exposição é assumida perante governo central de jurisdição estrangeira;
• III - o risco de transferência, entendido como a possibilidade de ocorrência de entraves na conversão cambial de valores recebidos fora do País associados a operação sujeita ao risco de crédito;
• IV - a possibilidade de ocorrência de desembolsos para honrar garantias financeiras prestadas;
• V - a possibilidade de perdas associadas ao não cumprimento de obrigações nos termos pactuados por interveniente, provedor do instrumento mitigador ou mandatário de cobrança;
• VI - o risco de concentração, entendido como a possibilidade de perdas associadas a exposições significativas:
  • a) a uma mesma contraparte;
  • b) a contrapartes com atuação em um mesmo setor econômico, região geográfica ou segmento de produtos ou serviços;
  • c) a contrapartes cujas receitas dependam de um mesmo tipo de mercadoria (commodity) ou atividade;
  • d) a instrumentos financeiros cujos fatores de risco, incluindo moedas e indexadores, são significativamente relacionados;
  • e) associadas a um mesmo tipo de produto ou serviço financeiro; e
  • f) cujo risco é mitigado por um mesmo tipo de instrumento.

Art. 20. Devem constituir uma única contraparte para fins do gerenciamento do risco de crédito as contrapartes conectadas.

§ 1º São consideradas conectadas as contrapartes que compartilhem o risco de crédito perante a instituição, inclusive por meio de relação de controle.

§ 2º Para fins desta Resolução, a relação de controle deve ser verificada na ocorrência de pelo menos um dos seguintes critérios:

• I - uma das contrapartes detém, direta ou indiretamente, mais de 50% (cinquenta por cento) do capital votante da outra contraparte;
• II - acordo de voto entre uma contraparte e outros participantes na outra contraparte assegura preponderância nas deliberações sociais da contraparte participada;
• III - uma contraparte detém o poder de eleger ou de destituir a maioria dos administradores da outra contraparte; ou
• IV - uma contraparte detém preponderância nas decisões de gestão operacional da outra contraparte.

§ 3º Os critérios utilizados para a identificação de cada grupo de contrapartes conectadas devem ser documentados.

§ 4º Excepcionalmente, a instituição poderá não considerar como contraparte única as contrapartes conectadas por relação de controle, desde que demonstrada e documentada a ausência de compartilhamento do risco de crédito.

§ 5º Para fins do gerenciamento do risco de crédito, o Banco Central do Brasil poderá considerar, a seu critério, duas ou mais contrapartes como conectadas, caso verifique a existência de compartilhamento do risco de crédito entre elas.

Art. 21. A estrutura de gerenciamento de que trata o art. 5º deve prever, adicionalmente, para o risco de crédito:

• I - o gerenciamento de exposições com características semelhantes, tanto em nível individual quanto em nível agregado, abrangendo aspectos como fontes significativas do risco de crédito, identificação da contraparte ou do interveniente, forma de agregação das exposições e uso de instrumento mitigador;
• II - políticas que estabeleçam critérios para a identificação dos fatores de risco significativos para fins do gerenciamento do risco de concentração;
• III - mecanismos para o gerenciamento do risco de crédito de:
  • a) instrumentos classificados na carteira de negociação mencionada no art. 24;
  • b) instrumentos classificados na carteira bancária mencionada no art. 24, § 2º;
• IV - gerenciamento do risco de crédito das exposições não contabilizadas no balanço patrimonial da instituição;
• V - utilização de informações relevantes e consistentes para avaliação e mensuração do risco de crédito;
• VI - estimação, segundo critérios consistentes e passíveis de verificação, das perdas esperadas associadas ao risco de crédito, bem como comparação dos valores estimados com as perdas efetivamente observadas;
• VII - critérios para reavaliação da qualidade creditícia de contrapartes, intervenientes e instrumentos mitigadores;
• VIII - observada a regulamentação contábil em vigor, mecanismos para que os níveis de provisionamento sejam suficientes em face das perdas esperadas de que trata o inciso VI;
• IX - avaliação adequada quanto à retenção de riscos em operações de venda ou de transferência de ativos financeiros;
• X - estabelecimento de limites para exposição ao risco de concentração de que trata o art. 19, § 3º, inciso VI;
• XI - políticas e procedimentos, claramente documentados, para monitorar o endividamento total da contraparte, considerando todos os fatores de risco, incluindo aquele associado a exposições em moeda estrangeira não protegidas por hedge;
• XII - critérios e procedimentos, claramente definidos e documentados, acessíveis aos envolvidos nos processos de concessão e de acompanhamento de operações sujeitas ao risco de crédito, incluindo:
  • a) análise prévia, realização e repactuação de operações sujeitas ao risco de crédito;
  • b) coleta e documentação das informações necessárias para a completa compreensão do risco de crédito envolvido nas operações;
  • c) avaliação periódica do grau de suficiência dos instrumentos mitigadores;
  • d) detecção de indícios e prevenção da deterioração da qualidade creditícia da contraparte;
  • e) tratamento das exceções aos limites e aos níveis de apetite por risco de crédito fixado na RAS;
  • f) cobrança e recebimento de créditos;
  • g) recuperação de exposições caracterizadas como ativos problemáticos, nos termos do art. 22;
• XIII - critérios, claramente definidos e documentados, para que o conselho de administração delibere sobre a assunção de exposição ao risco de crédito:
  • a) que exceda o limite de concentração, em valor absoluto ou proporcional ao PR, estabelecido nas políticas de gerenciamento de riscos;
  • b) incompatível com o perfil de riscos da instituição ou com os produtos e serviços por ela oferecidos;
• XIV - sistema de classificação das exposições conforme a natureza da operação e o risco de crédito, mediante critérios consistentes e passíveis de verificação, considerando aspectos como:
  • a) situação econômico-financeira, bem como outras informações cadastrais atualizadas da contraparte e do interveniente, quando existente;
  • b) utilização de instrumentos que proporcionem efetiva mitigação do risco de crédito associado à operação;
  • c) período de atraso no cumprimento das obrigações financeiras nos termos pactuados;
• XV - critérios e procedimentos para identificação, monitoramento e controle de exposição caracterizada como ativo problemático, nos termos do art. 22;
• XVI - documentação e armazenamento de informações referentes às perdas associadas ao risco de crédito, incluindo aquelas relacionadas à reestruturação, nos termos do art. 19, § 1º, inciso II, e à recuperação de crédito;
• XVII - sistemas de informação capazes de identificar e agregar, de forma contínua, as exposições sujeitas ao risco de concentração definido no art. 19, § 3º, inciso VI.

§ 1º A estimativa da perda esperada, de que trata o caput, inciso VI, deve considerar:

• I - a classificação da exposição segundo o disposto no caput, inciso XIV;
• II - o ambiente macroeconômico corrente e alterações previstas no curto prazo;
• III - a probabilidade de que a exposição seja caracterizada como ativo problemático;
• IV - a expectativa de recuperação do crédito, incluindo concessão de vantagens, custos de execução e prazos.

§ 2º A estimativa de perda esperada deve ser revista semestralmente ou:

• I - mensalmente, caso a exposição apresente atraso no pagamento de encargos ou amortizações;
• II - imediatamente, diante da caracterização da exposição como ativo problemático.

§ 3º Os relatórios gerenciais de que trata o art. 5º, inciso X, devem abordar os seguintes aspectos adicionais relativamente ao risco de crédito:

• I - o reporte segregado por jurisdição das exposições sujeitas ao risco país e ao risco de transferência, conforme definidos no art. 19, § 3º, incisos II e III;
• II - a avaliação e a expectativa de desempenho das exposições ao risco de crédito, abordando sua classificação e as respectivas provisões;
• III - as exposições sujeitas ao risco de concentração definido no art. 19, § 3º, inciso VI;
• IV - informações relativas às exposições significativas caracterizadas como ativos problemáticos, incluindo características, histórico e perspectivas de recuperação;
• V - informações sobre execução de mitigadores e exposições em reestruturação.

Art. 22. Para fins do gerenciamento do risco de crédito, a exposição deve ser caracterizada como ativo problemático quando verificado pelo menos um dos seguintes eventos:

• I - a respectiva obrigação está em atraso há mais de noventa dias;
• II - há indicativos de que a respectiva obrigação não será integralmente honrada sem que seja necessário recurso a garantias ou a colaterais.

§ 1º Os indicativos de que uma obrigação não será integralmente honrada incluem:

• I - a instituição considera que a contraparte não tem mais capacidade financeira para honrar a obrigação nas condições pactuadas;
• II - a instituição, independentemente de exigência regulamentar, reconhece contabilmente deterioração significativa da qualidade do crédito do tomador ou contraparte;
• III - a operação relativa à exposição é reestruturada, nos termos do art. 19, § 1º, inciso II;
• IV - a instituição pede a falência ou toma providência similar em relação à contraparte; e
• V - a contraparte solicita ou sofre qualquer tipo de medida judicial que limite, atrase ou impeça o cumprimento de suas obrigações nas condições pactuadas.

§ 2º As exposições caracterizadas como ativos problemáticos somente podem ter essa condição alterada diante de evidência de retomada, pela contraparte, da capacidade de honrar suas obrigações nas condições pactuadas.

§ 3º Os critérios para a evidenciação de que trata o § 2º devem ser previamente estabelecidos pela instituição e claramente documentados.

Seção V - Do Gerenciamento do Risco de Mercado e do IRRBB

Art. 23. Para fins desta Resolução, define-se o risco de mercado como a possibilidade de ocorrência de perdas resultantes da flutuação nos valores de mercado de instrumentos detidos pela instituição.

Parágrafo único. A definição de que trata o caput inclui:

• I - o risco da variação das taxas de juros e dos preços de ações, para os instrumentos classificados na carteira de negociação; e
• II - o risco da variação cambial e dos preços de mercadorias (commodities), para os instrumentos classificados na carteira de negociação ou na carteira bancária.

Art. 24. Os instrumentos sujeitos ao risco de mercado, conforme definido no art. 23, devem ser gerenciados por uma estrutura de mesa de operações.

§ 1º Para fins desta Resolução, definem-se:

• I - mesa de operações como um grupo de operadores ou de livros de negociação com estratégias de negócio e organização claramente definidas e documentadas, sujeita ao processo de gerenciamento do risco de mercado da instituição; e
• II - livro de negociação como a unidade gerencial específica para gerenciamento de uma atividade determinada de negociação de instrumentos.

§ 2º A estrutura de mesas de operações deve ser definida e documentada pela instituição levando-se em consideração a sua estrutura organizacional e os critérios e procedimentos estabelecidos pelo Banco Central do Brasil.

§ 3º A granularidade da estrutura de mesas de operações deve ser adequada ao volume de negociação da instituição e aos tipos de instrumentos negociados.

Art. 25. Cada mesa de operações de que trata o art. 24 deve gerenciar exclusivamente instrumentos sujeitos ao risco de mercado.

Art. 26. A carteira de negociação é formada pelos instrumentos, inclusive derivativos, mantidos com finalidade de negociação e que atendam às seguintes condições:

• I - estejam livres de impedimento legal para venda; e
• II - sejam avaliados diariamente pelo valor de mercado, conforme critérios definidos pela regulamentação em vigor.

§ 1º Os ajustes ao valor de mercado do instrumento decorrentes da avaliação de que trata o inciso II do caput devem ser reconhecidos em contrapartida à adequada conta de receita ou de despesa, no resultado do período das instituições.

§ 2º Os instrumentos não classificados na carteira de negociação devem constituir a carteira bancária.

§ 3º Os instrumentos sujeitos a impedimentos legais de caráter temporário podem ser classificados na carteira de negociação, desde que documentados com base em critérios consistentes e passíveis de verificação.

Art. 27. Em situações extraordinárias devidamente fundamentadas, o Banco Central do Brasil poderá autorizar, conforme critérios e procedimentos por ele estabelecidos, a classificação excepcional de instrumentos que atendam ao disposto no art. 26 na carteira bancária ou a reclassificação de instrumentos entre as carteiras de negociação e bancária.

Art. 28. A instituição deve estabelecer políticas claramente definidas para determinar quais instrumentos serão incluídos na carteira de negociação, bem como procedimentos para garantir que os critérios de classificação nessa carteira sejam observados de maneira consistente.

§ 1º Na hipótese de a instituição não manter carteira de negociação, a política e os procedimentos de que trata o caput devem assegurar a inexistência de instrumentos detidos com intenção de negociação.

§ 2º Na definição da política e dos procedimentos de que trata o caput devem ser observados os critérios estabelecidos pelo Banco Central do Brasil.

Art. 29. Para fins desta Resolução, transferência interna de riscos corresponde ao registro interno de operação com instrumentos derivativos que possibilite a transferência de riscos dentro da carteira bancária, entre a carteira bancária e a carteira de negociação ou dentro da carteira de negociação, de um mesmo conglomerado prudencial.

§ 1º As transferências internas de risco entre a carteira bancária e a carteira de negociação ou dentro da carteira de negociação devem ser registradas em mesas de operações.

§ 2º Para que produzam efeitos no requerimento de capital, as transferências internas de riscos da carteira bancária para a carteira de negociação deverão ser registradas em mesa de operações dedicada previamente autorizada pelo Banco Central do Brasil.

§ 3º Os critérios e os procedimentos relativos às transferências internas de riscos serão estabelecidos pelo Banco Central do Brasil, inclusive no que se refere à produção de efeitos no requerimento de capital.

Art. 30. Define-se o IRRBB como o risco, atual ou prospectivo, do impacto de movimentos adversos das taxas de juros no capital e nos resultados da instituição financeira, para os instrumentos classificados na carteira bancária.

Art. 31. A estrutura de gerenciamento de que trata o art. 5º deve prever, adicionalmente, para o risco de mercado e para o IRRBB:

• I - sistemas que considerem todas as fontes significativas de risco e utilizem dados confiáveis de mercado e de liquidez, tanto internos quanto externos;
• II - documentação adequada das:
  • a) reclassificações de instrumentos entre as carteiras de negociação e bancária; e
  • b) transferências internas de riscos, incluindo aquelas que não produzem efeitos para fins de requerimento de capital.

Parágrafo único. Para fins desta Resolução, transferência interna de riscos corresponde ao registro interno de transferência de risco dentro da carteira bancária, entre a carteira bancária e a carteira de negociação ou dentro da carteira de negociação, de uma mesma instituição.

Art. 32. O gerenciamento do IRRBB deve prever:

• I - avaliação e controle de seus principais determinantes, incluindo o descasamento entre ativos e passivos, em relação a prazos, taxas, indexadores e moedas; e
• II - identificação, mensuração e controle desse risco com base em metodologias que sejam consistentes com as características da carteira bancária e que considerem a maturidade, a liquidez e a sensibilidade ao risco dos instrumentos classificados nessa carteira.

§ 1º Para as instituições enquadradas no S2 ou S3, a identificação, a mensuração e o controle do IRRBB de que trata o caput, inciso II, devem se basear em abordagens de valor econômico e de resultado de intermediação financeira.

§ 2º Sem prejuízo do disposto no § 1º, o Banco Central do Brasil poderá definir metodologias específicas e requisitos mínimos a serem observados na identificação, na mensuração e no controle do IRRBB, incluindo as baseadas em abordagens de valor econômico e de resultado de intermediação financeira.

§ 3º Para fins desta Resolução, consideram-se:

• I - abordagens de valor econômico: avaliações do impacto de alterações nas taxas de juros sobre o valor presente dos fluxos de caixa dos instrumentos classificados na carteira bancária da instituição; e
• II - abordagens de resultado de intermediação financeira: avaliações do impacto de alterações nas taxas de juros sobre o resultado de intermediação financeira da carteira bancária da instituição.

§ 4º Os níveis de apetite por IRRBB devem ser documentados na RAS para cada abordagem de que trata o § 3º.

Art. 33. Os relatórios gerenciais de que trata o art. 5º, inciso X, devem abordar os seguintes aspectos adicionais relativamente ao IRRBB:

• I - resultados da mensuração do IRRBB com base em abordagens de valor econômico e de resultado de intermediação financeira;
• II - premissas utilizadas na modelagem de:
  • a) opcionalidades embutidas;
  • b) mudanças na estrutura temporal dos fluxos de caixa de depósitos sem vencimento contratual definido; e
  • c) agregação de moedas.

Seção VI - Do Gerenciamento do Risco Operacional

Art. 34. Para fins desta Resolução, define-se o risco operacional como a possibilidade da ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas.

§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se:

• I - fraudes internas;
• II - fraudes externas;
• III - demandas trabalhistas e segurança deficiente do local de trabalho;
• IV - práticas inadequadas relativas a usuários finais, clientes, produtos e serviços;
• V - danos a ativos físicos próprios ou em uso pela instituição;
• VI - situações que acarretem a interrupção das atividades da instituição ou a descontinuidade dos serviços prestados, incluindo o de pagamentos;
• VII - falhas em sistemas, processos ou infraestrutura de tecnologia da informação (TI);
• VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição, incluindo aquelas relacionadas aos arranjos de pagamento.

§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

• I - falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
• II - falhas na identificação e autenticação do usuário final em transação de pagamento;
• III - falhas na autorização das transações de pagamento; e
• IV - falhas na iniciação de transação de pagamento.

Art. 35. A estrutura de gerenciamento de que trata o art. 5º deve prever, adicionalmente, para o risco operacional:

• I - políticas que estabeleçam critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional;
• II - alocação de recursos adequados para avaliar, gerenciar e monitorar o risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição;
• III - implementação de estrutura de governança de TI consistente com os níveis de apetite por riscos estabelecidos na RAS;
• IV - sistemas, processos e infraestrutura de TI que:
  • a) assegurem integridade, segurança e disponibilidade dos dados armazenados, processados ou transmitidos e dos sistemas de informação utilizados;
  • b) contenham mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques digitais;
  • c) adotem procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
  • d) monitorem as falhas na segurança dos dados e as reclamações dos usuários finais a esse respeito; e
  • e) sejam adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais quanto em períodos de estresse;
• V - processo consistente e abrangente para:
  • a) coletar tempestivamente informações relevantes para a base de dados de risco operacional;
  • b) classificar e agregar as perdas operacionais relevantes identificadas; e
  • c) efetuar, tempestivamente, análise da causa raiz de cada perda operacional relevante;
• VI - realização periódica de análises de cenários com o objetivo de estimar a exposição da instituição a eventos de risco operacional raros e de alta severidade;
• VII - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;
• VIII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
• IX - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
• X - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção.

§ 1º Para as atividades de pagamentos, a estrutura de que trata o caput deve prever adicionalmente:

• I - identificação adequada do usuário final;
• II - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;
• III - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;
• IV - avaliações e filtros específicos para identificar transações consideradas de alto risco;
• V - notificação ao usuário final acerca de eventual não execução de uma transação;
• VI - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;
• VII - identificação, avaliação, gerenciamento, monitoramento e mitigação do risco decorrente da participação de subcredenciador no processo de liquidação das transações de pagamento, no caso de instituição credenciadora; e
• VIII - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:
  • a) iniciação de transação de pagamento não autorizada;
  • b) não execução de iniciação de transação de pagamento;
  • c) execução incorreta de iniciação de transação de pagamento; e
  • d) atraso na iniciação de transação de pagamento.

§ 2º No caso de terceirização de serviços de TI, incluindo os relacionados com a segurança dos serviços de pagamento oferecidos, o respectivo contrato de prestação de serviços deve estipular que:

• I - o contratado deverá atender ao disposto nos incisos IV e VII a X do caput e ao disposto no § 1º;
• II - a contratante terá acesso aos dados e às informações sobre os serviços prestados;
• III - o Banco Central do Brasil terá acesso a:
  • a) termos firmados;
  • b) documentação e informações referentes aos serviços prestados; e
  • c) dependências do contratado.

§ 3º Os resultados das análises de cenários de que trata o caput, inciso VI, devem ser considerados na revisão da estrutura de gerenciamento de riscos e na alocação de capital.

Art. 36. A instituição deve constituir base de dados de risco operacional que contenha valores associados a perdas operacionais, incluindo provisões e despesas relacionadas a cada evento de perda, e outros dados de risco operacional.

1º Para fins do disposto nesta Resolução, define-se perda operacional como o valor quantificável associado aos eventos de risco operacional mencionados no art. 34.

§ 2º Devem constar da base de dados de risco operacional as perdas operacionais associadas ao risco de crédito, ao risco de mercado, ao risco social, ao risco ambiental e ao risco climático, independentemente de também constarem de outras bases de dados.

§ 3º A base de dados de que trata o caput deve ser considerada no gerenciamento do risco operacional.

Art. 37. Os relatórios gerenciais de que trata o art. 5º, inciso X, devem incluir informações referentes às perdas operacionais relevantes.

Art. 38. A instituição deve se assegurar da adequada capacitação sobre risco operacional de todos os empregados e dos prestadores de serviços terceirizados relevantes.

Seção VII - Do Gerenciamento do Risco de Liquidez

Art. 39. Para fins desta Resolução, define-se o risco de liquidez como:

• I - a possibilidade de a instituição não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras, incluindo as decorrentes de vinculação de garantias, sem afetar suas operações diárias e sem incorrer em perdas significativas;
• II - a possibilidade de a instituição não conseguir negociar a preço de mercado uma posição, devido ao seu tamanho elevado em relação ao volume normalmente transacionado ou em razão de alguma descontinuidade no mercado; e
• III - não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

Art. 40. A estrutura de gerenciamento de que trata o art. 5º deve prever, adicionalmente, para o risco de liquidez:

• I - políticas, estratégias e processos que assegurem:
  • a) identificação, mensuração, avaliação, monitoramento, reporte, controle e mitigação do risco de liquidez em diferentes horizontes de tempo, inclusive intradia, em situações normais ou de estresse, contemplando a avaliação diária das operações com prazos de liquidação inferiores a noventa dias;
  • b) manutenção de estoque adequado de ativos líquidos que possam ser prontamente convertidos em caixa em situações de estresse;
  • c) manutenção de perfil de captação de recursos adequado ao risco de liquidez dos ativos e das exposições não contabilizadas no balanço patrimonial da instituição; e
  • d) diversificação adequada das fontes de captação de recursos; e
• II - plano de contingência de liquidez.

§ 1º O gerenciamento do risco de liquidez deve considerar todas as operações praticadas no mercado financeiro e de capitais, assim como possíveis exposições contingentes ou inesperadas, incluindo as associadas a serviços de liquidação, a prestação de avais e garantias, e a linhas de crédito e de liquidez contratadas e não utilizadas.

§ 2º A instituição deve considerar o risco de liquidez individualmente nas jurisdições onde opera e nas moedas às quais está exposta, observando eventuais restrições à transferência de liquidez e à conversibilidade entre moedas, tais como as causadas por problemas operacionais ou por imposições feitas por um país.

§ 3º O plano de contingência de liquidez de que trata o caput, inciso II, deve ser regularmente atualizado e estabelecer responsabilidades, estratégias e procedimentos, claramente definidos e documentados, para enfrentar situações de estresse.

Seção VIII - Do Gerenciamento do Risco Social, do Risco Ambiental e do Risco Climático

Art. 41. Para fins desta Resolução, define-se o risco social como a possibilidade de ocorrência de perdas para a instituição ocasionadas por eventos associados à violação de direitos e garantias fundamentais ou a atos lesivos a interesse comum.

§ 1º Para fins desta Resolução, interesse comum é aquele associado a grupo de pessoas ligadas jurídica ou factualmente pela mesma causa ou circunstância, quando não relacionada à definição de risco ambiental, de risco climático de transição ou de risco climático físico.

§ 2º São exemplos de eventos de risco social a ocorrência ou, conforme o caso, os indícios da ocorrência de:

• I - ato de assédio, de discriminação ou de preconceito com base em atributos pessoais, tais como etnia, raça, cor, condição socioeconômica, situação familiar, nacionalidade, idade, sexo, orientação sexual, identidade de gênero, religião, crença, deficiência, condição genética ou de saúde e posicionamento ideológico ou político;
• II - prática relacionada ao trabalho em condições análogas à escravidão;
• III - exploração irregular, ilegal ou criminosa do trabalho infantil;
• IV - prática relacionada ao tráfico de pessoas, à exploração sexual ou ao proveito criminoso da prostituição;
• V - não observância da legislação previdenciária ou trabalhista, incluindo a legislação referente à saúde e segurança do trabalho, sem prejuízo do disposto no art. 34;
• VI - ato irregular, ilegal ou criminoso que impacte negativamente povos ou comunidades tradicionais, entre eles indígenas e quilombolas, incluindo a invasão ou a exploração irregular, ilegal ou criminosa de suas terras;
• VII - ato lesivo ao patrimônio público, ao patrimônio histórico, ao patrimônio cultural ou à ordem urbanística;
• VIII - prática irregular, ilegal ou criminosa associada a alimentos ou a produtos potencialmente danosos à sociedade, sujeitos a legislação ou regulamentação específica, entre eles agrotóxicos, substâncias capazes de causar dependência, materiais nucleares ou radioativos, armas de fogo e munições;
• IX - exploração irregular, ilegal ou criminosa dos recursos naturais, relativamente à violação de direito ou de garantia fundamental ou a ato lesivo a interesse comum, entre eles recursos hídricos, florestais, energéticos e minerais, incluindo, quando aplicável, a implantação e o desmonte das respectivas instalações;
• X - tratamento irregular, ilegal ou criminoso de dados pessoais, sem prejuízo do disposto no art. 34;
• XI - desastre ambiental resultante de intervenção humana, relativamente à violação de direito ou de garantia fundamental ou a ato lesivo a interesse comum, incluindo rompimento de barragem, acidente nuclear ou derramamento de produtos químicos ou resíduos nas águas;
• XII - alteração em legislação, em regulamentação ou na atuação de instâncias governamentais, associada a direito ou garantia fundamental ou a interesse comum, que impacte negativamente a instituição; e
• XIII - ato ou atividade que, apesar de regular, legal e não criminoso, impacte negativamente a reputação da instituição, por ser considerado lesivo a interesse comum.

Art. 42. Para fins desta Resolução, define-se o risco ambiental como a possibilidade de ocorrência de perdas para a instituição ocasionadas por eventos associados à degradação do meio ambiente, incluindo o uso excessivo de recursos naturais.

Parágrafo único. São exemplos de eventos de risco ambiental a ocorrência ou, conforme o caso, os indícios da ocorrência de:

• I - conduta ou atividade irregular, ilegal ou criminosa contra a fauna ou a flora, incluindo desmatamento, provocação de incêndio em mata ou floresta, degradação de biomas ou da biodiversidade e prática associada a tráfico, crueldade, abuso ou maus-tratos contra animais;
• II - poluição irregular, ilegal ou criminosa do ar, das águas ou do solo;
• III - exploração irregular, ilegal ou criminosa dos recursos naturais, relativamente à degradação do meio ambiente, entre eles recursos hídricos, florestais, energéticos e minerais, incluindo, quando aplicável, a implantação e o desmonte das respectivas instalações;
• IV - descumprimento de condicionantes do licenciamento ambiental;
• V - desastre ambiental resultante de intervenção humana, relativamente à degradação do meio ambiente, incluindo rompimento de barragem, acidente nuclear ou derramamento de produtos químicos ou resíduos no solo ou nas águas;
• VI - alteração em legislação, em regulamentação ou na atuação de instâncias governamentais, em decorrência de degradação do meio ambiente, que impacte negativamente a instituição; e
• VII - ato ou atividade que, apesar de regular, legal e não criminoso, impacte negativamente a reputação da instituição, em decorrência de degradação do meio ambiente.

Art. 43. Para fins desta Resolução, define-se o risco climático, em suas vertentes de risco de transição e de risco físico, como:

• I - risco climático de transição: possibilidade de ocorrência de perdas para a instituição ocasionadas por eventos associados ao processo de transição para uma economia de baixo carbono, em que a emissão de gases do efeito estufa é reduzida ou compensada e os mecanismos naturais de captura desses gases são preservados; e
• II - risco climático físico: possibilidade de ocorrência de perdas para a instituição ocasionadas por eventos associados a intempéries frequentes e severas ou a alterações ambientais de longo prazo, que possam ser relacionadas a mudanças em padrões climáticos.

Parágrafo único. São exemplos de eventos de risco climático:

• I - no âmbito do risco climático de transição:
  • a) alteração em legislação, em regulamentação ou em atuação de instâncias governamentais, associada à transição para uma economia de baixo carbono, que impacte negativamente a instituição;
  • b) inovação tecnológica associada à transição para uma economia de baixo carbono que impacte negativamente a instituição;
  • c) alteração na oferta ou na demanda de produtos e serviços, associada à transição para uma economia de baixo carbono, que impacte negativamente a instituição; e
  • d) percepção desfavorável dos clientes, do mercado financeiro ou da sociedade em geral que impacte negativamente a reputação da instituição relativamente ao seu grau de contribuição na transição para uma economia de baixo carbono; e
• II - no âmbito do risco climático físico:
  • a) condição climática extrema, incluindo seca, inundação, enchente, tempestade, ciclone, geada e incêndio florestal; e
  • b) alteração ambiental permanente, incluindo aumento do nível do mar, escassez de recursos naturais, desertificação e mudança em padrão pluvial ou de temperatura.

Art. 44. A estrutura de gerenciamento de que trata o art. 5º deve prever, adicionalmente, para o risco social, o risco ambiental e o risco climático:

• I - mecanismos para a identificação e o monitoramento do risco social, do risco ambiental e do risco climático incorridos pela instituição em decorrência dos seus produtos, serviços, atividades ou processos e das atividades desempenhadas por:
  • a) contrapartes da instituição, conforme definição estabelecida no art. 19, § 1º, inciso I;
  • b) entidades controladas pela instituição, nos termos dos critérios estabelecidos no § 2º deste artigo; e
  • c) fornecedores e prestadores de serviços terceirizados da instituição, quando relevantes, com base em critérios por ela estabelecidos;
• II - identificação, avaliação, classificação e mensuração do risco social, do risco ambiental e do risco climático com base em critérios e informações consistentes e passíveis de verificação, incluindo informações de acesso público;
• III - registro de dados relevantes para o gerenciamento, incluindo, quando disponíveis, dados referentes às perdas incorridas pela instituição, discriminadas, conforme o caso, em risco social, risco ambiental ou risco climático e com respectivo detalhamento de valores, natureza do evento, região geográfica, definida com base em critérios claros e passíveis de verificação, e setor econômico associado à exposição;
• IV - identificação tempestiva de mudanças políticas, legais, regulamentares, tecnológicas ou de mercado, incluindo alterações significativas nas preferências de consumo, que possam impactar de maneira relevante o risco social, o risco ambiental ou o risco climático incorrido pela instituição, bem como procedimentos para a mitigação desses impactos;
• V - monitoramento de concentrações de exposições a setores econômicos ou a regiões geográficas, definidas com base em critérios consistentes e passíveis de verificação, mais suscetíveis de sofrer ou de causar danos sociais, ambientais ou climáticos, e, quando apropriado, estabelecimento de limites para essas exposições;
• VI - identificação tempestiva de percepção negativa de clientes, do mercado financeiro e da sociedade em geral sobre a reputação da instituição, quando essa percepção possa impactar de maneira relevante o risco social, o risco ambiental e o risco climático por ela incorrido; e
• VII - realização de análise de cenários, no âmbito do programa de testes de estresse de que trata o art. 5º, inciso VII, que considerem hipóteses de mudanças em padrões climáticos e de transição para uma economia de baixo carbono.

§ 1º Quando a hipótese de ocorrência de evento de risco social, de risco ambiental ou de risco climático implicar possibilidade de perda relacionada a outro risco mencionado no art. 4º, caput, o gerenciamento de riscos e o cumprimento dos requerimentos mínimos prudenciais, quando aplicáveis, devem ser observados para cada um dos riscos envolvidos.

§ 2º Para fins do disposto no caput, inciso I, alínea “b”, a relação de controle da instituição sobre uma entidade ocorre quando atendido pelo menos um dos seguintes critérios:

• I - a instituição detém mais de 50% (cinquenta por cento) do capital votante da entidade;
• II - acordo de voto assegura preponderância da instituição nas deliberações sociais da entidade;
• III - a instituição detém o poder de eleger ou de destituir a maioria dos administradores da entidade; ou
• IV - a instituição detém preponderância nas decisões de gestão operacional da entidade.

§ 3º Para fins do disposto no caput, inciso III, não é requerida a constituição de bases de dados exclusivas, desde que seja possível a extração das respectivas informações com vistas ao gerenciamento do risco social, do risco ambiental e do risco climático.

Art. 45. O tratamento das interações entre o risco social, o risco ambiental e o risco climático, no âmbito do gerenciamento integrado de que trata esta Resolução, e entre esses e os demais riscos incorridos pela instituição deve incluir:

• I - critérios, claramente documentados e passíveis de verificação, para a identificação do risco social, do risco ambiental e do risco climático como fonte significativa dos riscos mencionados no art. 4º, caput;
• II - mecanismos para a consideração de aspectos relativos ao risco social, ao risco ambiental e ao risco climático na concessão, na classificação e no monitoramento das operações sujeitas ao risco de crédito, conforme definido no art. 19, incluindo:
  • a) devida diligência na identificação da contraparte;
  • b) definição de indicadores para a qualificação e a classificação periódica da contraparte conforme o risco social, o risco ambiental e o risco climático;
  • c) avaliação e monitoramento de possíveis impactos na qualidade creditícia da contraparte diante da ocorrência de eventos de risco social, de risco ambiental ou de risco climático; e
  • d) critérios para a avaliação periódica do grau de suficiência de garantias, colaterais e outros mitigadores do risco de crédito diante da ocorrência de evento de risco social, de risco ambiental ou de risco climático;
• III - avaliação do impacto do risco social, do risco ambiental e do risco climático nas posições sujeitas ao risco de mercado e ao IRRBB, conforme definidos nos arts. 23 e 30, respectivamente, com base em critérios estabelecidos pela instituição;
• IV - políticas, estratégias e procedimentos para a mitigação do risco operacional, conforme definido no art. 34, que possa ser associado a evento de risco social, de risco ambiental ou de risco climático, incluindo:
  • a) estabelecimento de condições mínimas nos contratos firmados pela instituição para mitigar o risco legal, conforme definido no art. 34, § 1º;
  • b) definição de critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, nos termos do art. 35, inciso I, que considerem aspectos de risco social, de risco ambiental e de risco climático; e
  • c) consideração de aspectos referentes ao risco social, ao risco ambiental e ao risco climático na análise de cenários de que trata o art. 35, inciso VI, com o objetivo de estimar a exposição da instituição a eventos de risco operacional raros e de alta severidade; e
• V - políticas, estratégias e procedimentos para a mitigação do risco de liquidez, conforme definido no art. 39, que possa ser associado a evento de risco social, de risco ambiental ou de risco climático, incluindo:
  • a) avaliação do impacto do risco social, do risco ambiental e do risco climático no estoque de ativos líquidos e nas fontes de captação de recursos, de que trata o art. 40, inciso I, alíneas “b” e “d”; e
  • b) no âmbito do plano de contingência de liquidez, de que trata o art. 40, inciso II, estabelecimento de responsabilidades, estratégias e procedimentos para enfrentar situações de estresse associadas à possibilidade de ocorrência de eventos de risco social, de risco ambiental ou de risco climático.

Parágrafo único. Os indicadores de que trata o caput, inciso II, alínea “b”, devem considerar, entre outros aspectos:

• I - os setores econômicos mais relevantes de atuação da contraparte;
• II - as regiões geográficas mais relevantes de atuação da contraparte, definidas com base em critérios claros e passíveis de verificação;
• III - os setores econômicos e as regiões geográficas das operações, quando essa identificação for possível; e
• IV - quando relevante, com base em critérios estabelecidos pela instituição:
  • a) o histórico de cumprimento, pela contraparte, de legislação específica aplicável a suas atividades, produtos e serviços;
  • b) a capacidade de gerenciamento, pela contraparte, do risco social, do risco ambiental e do risco climático por ela incorridos, incluindo a existência, na contraparte, de estrutura de governança compatível com esse processo e de monitoramento dos riscos associados a seus fornecedores e prestadores de serviços terceirizados; e
  • c) a existência de relatório elaborado por empresa de auditoria especializada independente contratada pela contraparte, abordando seus procedimentos e controles relativos a aspectos sociais, ambientais e climáticos.

Art. 46. Os relatórios gerenciais de que trata o art. 5º, inciso X, devem abordar os seguintes aspectos adicionais relativamente ao risco social, o risco ambiental e o risco climático:

• I - dados sobre as perdas relevantes incorridas, nos termos do art. 44, inciso III; e
• II - informações sobre concentrações de risco social, de risco ambiental e de risco climático, de que trata o art. 44, inciso V.

CAPÍTULO IV - DA ESTRUTURA DE GERENCIAMENTO DE CAPITAL

Art. 47. Para fins desta Resolução, define-se o gerenciamento de capital como o processo contínuo de:

• I - monitoramento e controle do capital mantido pela instituição;
• II - avaliação da necessidade de capital para fazer face aos riscos a que a instituição está exposta; e
• III - planejamento de metas e de necessidade de capital, considerando os objetivos estratégicos da instituição.

Art. 48. A estrutura de gerenciamento de capital deve prever:

• I - políticas e estratégias para o gerenciamento de capital, claramente documentadas, que estabeleçam procedimentos destinados a manter o PR, o Nível I e o Capital Principal em níveis compatíveis com os riscos incorridos e com o requerimento mínimo regulamentar;
• II - sistemas, rotinas e procedimentos para o gerenciamento de capital;
• III - avaliação dos impactos no capital dos resultados do programa de testes de estresse de que trata o art. 5º, inciso VII;
• IV - plano de capital;
• V - plano de contingência de capital;
• VI - avaliação da adequação do capital;
• VII - relatórios gerenciais tempestivos para a diretoria da instituição líder, o comitê de riscos e o conselho de administração, quando existentes, versando sobre:
  • a) eventuais deficiências da estrutura de gerenciamento de capital e ações para corrigi-las; e
  • b) adequação dos níveis do PR, do Nível I e do Capital Principal aos riscos incorridos.

§ 1º O plano de contingência de capital de que trata o caput, inciso V, deve ser regularmente atualizado e estabelecer responsabilidades, estratégias e procedimentos, claramente definidos e documentados, para enfrentar situações de estresse.

§ 2º A avaliação da adequação do capital deve ser efetuada conforme a Processo Interno Simplificado de Avaliação da Adequação de Capital (Icaap_Simp), para as instituições enquadradas no S2.

Art. 49. O plano de capital, mencionado no art. 48, inciso IV, deve ser consistente com o planejamento estratégico da instituição, abranger o horizonte mínimo de três anos e prever:

• I - metas e projeções de capital; e
• II - principais fontes de capital da instituição.

Parágrafo único. Na elaboração do plano de capital devem ser considerados:

• I - ameaças e oportunidades relativas ao ambiente econômico e de negócios;
• II - projeções dos valores dos ativos e passivos, das operações não contabilizadas no balanço patrimonial, bem como das receitas e despesas;
• III - metas de crescimento ou de participação no mercado;
• IV - política de distribuição de resultados; e
• V - termos da RAS.

Art. 50. Caso a avaliação da necessidade de capital pela instituição financeira aponte para um valor acima dos requerimentos mínimos de PR, de Nível I e de Capital Principal, a instituição deve manter capital compatível com os resultados das suas avaliações internas.

CAPÍTULO V - DA GOVERNANÇA DAS ESTRUTURAS DE GERENCIAMENTO E DA POLÍTICA DE DIVULGAÇÃO DE INFORMAÇÕES

• Seção I - Do Gerenciamento de Riscos
• Seção II - Do Gerenciamento de Capital
• Seção III - Das Atribuições do Conselho de Administração e da Diretoria
• Seção IV - Das Atribuições Conjuntas

Seção I - Do Gerenciamento de Riscos

Art. 51. A atividade de gerenciamento de riscos deve ser executada por unidade específica na instituição de que trata o art. 2º.

§ 1º A unidade a que se refere o caput deve ser segregada das unidades de negócios e da unidade executora da atividade de auditoria interna.

§ 2º A unidade a que se refere o caput deve ter quantidade suficiente de profissionais experientes e qualificados em gerenciamento de riscos que atendam aos seguintes requisitos:

• I - possuam conhecimento do mercado e dos produtos e serviços da instituição;
• II - tenham acesso regular a capacitação e treinamento;
• III - sejam capazes de questionar os riscos assumidos nas operações realizadas pelas unidades de negócios; e
• IV - compreendam as limitações e as incertezas relacionadas às metodologias utilizadas na estrutura de gerenciamento de riscos.

Art. 52. A instituição líder deve indicar diretor para gerenciamento de riscos (CRO) responsável pela unidade específica de que trata o art. 51.

§ 1º As atribuições do CRO abrangem:

• I - supervisão do desenvolvimento, da implementação e do desempenho da estrutura de gerenciamento de riscos, incluindo seu aperfeiçoamento;
• II - responsabilidade pela adequação, à RAS e aos objetivos estratégicos da instituição, das políticas, dos processos, dos relatórios, dos sistemas e dos modelos utilizados no gerenciamento de riscos;
• III - responsabilidade pela adequada capacitação dos integrantes da unidade específica de que trata o art. 51 acerca das políticas, dos processos, dos relatórios, dos sistemas e dos modelos da estrutura de gerenciamento de riscos, mesmo que desenvolvidos por terceiros;
• IV - subsídio e participação no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos e, quando aplicável, ao gerenciamento de capital, auxiliando o conselho de administração.

§ 2º Desde que assegurada a inexistência de conflito de interesses, admite-se que o CRO desempenhe outras funções na instituição, incluindo a avaliação da adequação de capital de que trata o art. 48, inciso VI.

§ 3º O regimento interno, ou equivalente, da instituição deve dispor, de forma expressa, sobre as atribuições do CRO.

§ 4º A instituição líder deve estabelecer condições adequadas para que o CRO exerça suas atribuições de maneira independente e possa se reportar, diretamente e sem a presença dos membros da diretoria, ao comitê de riscos, ao principal executivo da instituição e ao conselho de administração.

§ 5º Deve ser assegurado ao CRO acesso às informações necessárias ao cumprimento de suas atribuições.

§ 6º A nomeação e a destituição do CRO devem ser aprovadas pelo conselho de administração da instituição líder.

§ 7º A instituição líder deve designar o nome do CRO perante o Banco Central do Brasil.

§ 8º A destituição do CRO deve ser tempestivamente divulgada no sítio da instituição líder na internet e as razões desse fato devem ser comunicadas ao Banco Central do Brasil, que poderá requerer informações adicionais.

Art. 53. A instituição líder deve constituir comitê de riscos.

§ 1º As atribuições do comitê de riscos abrangem:

• I - propor, com periodicidade mínima anual, recomendações ao conselho de administração sobre os assuntos de que trata o art. 56, inciso II;
• II - avaliar os níveis de apetite por riscos fixados na RAS e as estratégias para o seu gerenciamento, considerando os riscos individualmente e de forma integrada;
• III - supervisionar a atuação e o desempenho do CRO;
• IV - supervisionar a observância, pela diretoria da instituição, dos termos da RAS;
• V - avaliar o grau de aderência dos processos da estrutura de gerenciamento de riscos às políticas estabelecidas; e
• VI - manter registros de suas deliberações e decisões.

§ 2º O comitê de riscos deve ser composto por, no mínimo, três integrantes.

§ 3º O regimento interno, ou equivalente, da instituição deve dispor, de forma expressa, sobre os seguintes aspectos, relativamente ao comitê de riscos:

• I - o número máximo de integrantes;
• II - as regras de funcionamento, incluindo atribuições e periodicidade mínima de reuniões;
• III - a forma de prestação de contas ao conselho de administração;
• IV - o prazo de mandato dos membros, quando fixado.

§ 4º É condição para o exercício da função de integrante do comitê de riscos não ser e não ter sido, nos últimos seis meses, CRO da instituição ou membro do comitê de auditoria.

§ 5º O comitê de riscos deve ser composto, em sua maioria, por integrantes que:

• I - não sejam e não tenham sido empregados da instituição nos últimos seis meses;
• II - não sejam cônjuges, ou parentes em linha reta, em linha colateral ou por afinidade, até o segundo grau, das pessoas referidas no inciso I;
• III - não recebam da instituição outro tipo de remuneração que não decorra do exercício da função de integrante do comitê de riscos ou do conselho de administração;
• IV - possuam comprovada experiência em gerenciamento de riscos;
• V - não detenham o controle da instituição e não participem das decisões em nível executivo.

§ 6º O comitê de riscos deve ser presidido por membro que atenda aos requisitos elencados no § 5º e que não seja e não tenha sido, nos últimos seis meses, presidente do conselho de administração ou de qualquer outro comitê da instituição.

§ 7º O comitê de riscos deve coordenar suas atividades com o comitê de auditoria, de modo a facilitar a troca de informação, os ajustes necessários à estrutura de governança de riscos e o efetivo tratamento dos riscos a que a instituição está exposta.

§ 8º A diretoria de instituição líder não sujeita à constituição de comitê de riscos nos termos do caput deve assumir as atribuições mencionadas no § 1º, incisos I, II, III, V e VI.

Seção II - Do Gerenciamento de Capital

Art. 54. A atividade de gerenciamento de capital deve ser executada por unidade específica na instituição de que trata o art. 2º.

§ 1º A unidade a que se refere o caput deve ser segregada da unidade executora da atividade de auditoria interna.

§ 2º A unidade a que se refere o caput deve ter quantidade suficiente de profissionais experientes e qualificados que tenham acesso regular a capacitação e treinamento para fins do gerenciamento de capital.

Art. 55. A instituição líder deve indicar diretor responsável pela estrutura de gerenciamento de capital.

§ 1º Admite-se que o diretor de que trata o caput desempenhe outras funções, exceto as que configurem conflito de interesses.

§ 2º A instituição líder deve designar perante o Banco Central do Brasil o nome do diretor de que trata o caput.

§ 3º As atribuições do diretor de que trata o caput abrangem:

• I - supervisão do desenvolvimento, da implementação e do desempenho da estrutura de gerenciamento de capital, incluindo seu aperfeiçoamento; e
• II - responsabilidade pelos processos e controles relativos à apuração do montante RWA, pelo cálculo dos requerimentos mínimos de PR, de Nível I e de Capital Principal e pelo cumprimento do Adicional de Capital Principal.

Seção III - Das Atribuições do Conselho de Administração e da Diretoria

Art. 56. Compete ao conselho de administração da instituição líder, para fins do gerenciamento de riscos e do gerenciamento de capital:

• I - fixar os níveis de apetite por riscos da instituição na RAS e revisá-los, com o auxílio do comitê de riscos, da diretoria e do CRO;
• II - aprovar e revisar, com periodicidade mínima anual:
  • a) as políticas, as estratégias e os limites de gerenciamento de riscos de que trata o art. 5º, inciso I;
  • b) as políticas e as estratégias de gerenciamento de capital de que trata o art. 48, inciso I;
  • c) o programa de testes de estresse de que trata o art. 5º, inciso VII;
  • d) as políticas para a gestão de continuidade de negócios de que trata o art. 5º, inciso IX;
  • e) o plano de contingência de liquidez, de que trata o art. 40, inciso II;
  • f) o plano de capital de que trata o art. 48, inciso IV;
  • g) o plano de contingência de capital de que trata o art. 48, inciso V; e
  • h) a política de divulgação de informações de que trata o art. 64;
• III - assegurar a aderência da instituição às políticas, às estratégias e aos limites de gerenciamento de riscos;
• IV - assegurar a correção tempestiva das deficiências da estrutura de gerenciamento de riscos e da estrutura de gerenciamento de capital;
• V - aprovar alterações significativas, em decorrência dos riscos de que trata o art. 5º, inciso V, nas políticas e nas estratégias da instituição, bem como em seus sistemas, rotinas e procedimentos;
• VI - autorizar, quando necessário, exceções às políticas, aos procedimentos, aos limites e aos níveis de apetite por riscos fixados na RAS;
• VII - promover a disseminação da cultura de gerenciamento de riscos na instituição;
• VIII - assegurar recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos e de gerenciamento de capital, de forma independente, objetiva e efetiva;
• IX - estabelecer a organização e as atribuições do comitê de riscos, observado o disposto nesta Resolução;
• X - garantir que a estrutura remuneratória adotada pela instituição não incentive comportamentos incompatíveis com os níveis de apetite por riscos fixados na RAS;
• XI - assegurar que a instituição mantenha níveis adequados e suficientes de capital e de liquidez.

Art. 57. Na inexistência do conselho de administração, aplicam-se à diretoria da instituição líder as competências a ele atribuídas por esta Resolução.

Art. 58. Compete à diretoria da instituição conduzir, em conformidade com as políticas e estratégias de que trata o art. 5º, inciso I, as atividades que impliquem a assunção de riscos.

Seção IV - Das Atribuições Conjuntas

Art. 59. O conselho de administração, o comitê de riscos, o CRO e a diretoria da instituição devem:

• I - compreender, de forma abrangente e integrada, os riscos que podem impactar o capital e a liquidez da instituição;
• II - entender as limitações das informações constantes dos relatórios de que tratam os arts. 5º, inciso X, e 48, inciso VII, e dos reportes relativos ao gerenciamento de riscos e ao gerenciamento de capital;
• III - garantir que o conteúdo da RAS seja observado pela instituição;
• IV - entender as limitações e as incertezas relacionadas à avaliação dos riscos, aos modelos, mesmo quando desenvolvidos por terceiros, e às metodologias utilizadas na estrutura de gerenciamento de riscos;
• V - assegurar o entendimento e o contínuo monitoramento dos riscos pelos diversos níveis da instituição.

Art. 60. Os processos relativos ao gerenciamento de riscos e ao gerenciamento de capital devem ser avaliados periodicamente pela auditoria interna da instituição.

CAPÍTULO VI - DO GERENCIAMENTO DE RISCOS E DO GERENCIAMENTO DE CAPITAL DE CONGLOMERADO PRUDENCIAL

Art. 61. A estrutura unificada para gerenciamento de riscos do conglomerado prudencial, de que trata o art. 2º, § 2º, deve considerar os riscos associados ao conglomerado e a cada instituição individualmente, bem como identificar e acompanhar os riscos associados às demais entidades controladas por seus integrantes ou das quais estes participem.

Art. 62. A estrutura unificada para gerenciamento de capital do conglomerado prudencial, de que trata o art. 2º, § 2º, deve avaliar os possíveis impactos no capital e na liquidez do conglomerado prudencial oriundos dos riscos de que trata o art. 4º.

CAPÍTULO VII - DA TRANSPARÊNCIA

Art. 63. Deve ser estabelecida política de divulgação de informações que evidenciem o atendimento de requerimentos prudenciais pela instituição, conforme detalhamento a ser estabelecido pelo Banco Central do Brasil.

§ 1º A política de divulgação de que trata o caput deve incluir:

• I - a especificação das informações a serem divulgadas;
• II - a governança do processo de divulgação de informações, incluindo as respectivas atribuições e cadeia de comando;
• III - o detalhamento dos controles internos aplicados para garantir a fidedignidade das informações divulgadas, bem como a adequação de seu conteúdo; e
• IV - os critérios de relevância utilizados para divulgação de informações, com base nas necessidades de usuários externos para fins de decisões de natureza econômica.

§ 2º As informações de que trata o caput deverão constar do Relatório de Pilar 3 que contenha:

• I - descrição da estrutura de gerenciamento contínuo e integrado de riscos;
• II - descrição da estrutura de gerenciamento contínuo de capital; e
• III - detalhamento da apuração do montante RWA e da adequação do PR.

§ 3º O relatório de Pilar 3 de instituição emissora de moeda eletrônica deve evidenciar a estrutura de gerenciamento do respectivo risco de liquidez.

Art. 64. A instituição líder deve indicar diretor responsável pela divulgação de informações nos termos do art. 63.

§ 1º As atribuições do diretor mencionado no caput abrangem:

• I - consolidar as informações a serem divulgadas no Relatório de Pilar 3;
• II - garantir a conformidade das informações prudenciais divulgadas em relação às informações constantes dos relatórios gerenciais estabelecidos nesta Resolução; e
• III - propor ao conselho de administração atualizações na política de divulgação de informações.

§ 2º Desde que assegurada a inexistência de conflito de interesses, admite-se que o diretor responsável pela divulgação de informações desempenhe outras funções na instituição.

Art. 65. A composição e as atribuições do comitê de riscos devem ser evidenciadas no sítio da instituição líder na internet.

CAPÍTULO VIII - DAS DISPENSAS ESPECÍFICAS POR SEGMENTO

Art. 66. As instituições enquadradas no S3 ficam dispensadas de:

• I - informar, no relatório gerencial, o grau de disseminação da cultura de gerenciamento de riscos conforme o disposto no art. 5º, inciso X, alínea “e”;
• II - observar a restrição de que trata o art. 7º, parágrafo único, na avaliação periódica dos modelos de gerenciamento de riscos;
• III - utilizar, no programa de testes de estresse, a metodologia análise de cenário mencionada no art. 10, inciso III, alínea “b”;
• IV - documentar, relativamente ao programa de testes de estresse, o disposto no art. 10, inciso V, alíneas “c” e “d”;
• V - elaborar cenários no âmbito do programa de testes de estresse conforme disposto no art. 13;
• VI - dispor de sistemas flexíveis, no âmbito do programa de testes de estresse, conforme os critérios estabelecidos no art. 14;
• VII - incorporar os resultados dos testes de estresse no processo estruturado de comunicação, conforme disposto no art. 15, inciso IV;
• VIII - gerenciar em estrutura de mesa de operações os instrumentos sujeitos a risco de mercado, conforme disposto nos arts. 24 e 25, salvo nos casos em que a instituição solicite autorização para constituição da mesa de operações dedicada, de que trata o art. 29, § 2º;
• IX - realizar análises de cenários de risco operacional conforme disposto no art. 35, inciso IX e § 2º;
• X - atender ao disposto no art. 53, §§ 4º a 6º, na constituição do comitê de riscos;
• XI - identificar tempestivamente percepção negativa de clientes, do mercado financeiro e da sociedade em geral sobre a reputação da instituição, quando essa percepção possa impactar de maneira relevante o risco social, o risco ambiental e o risco climático por ela incorridos, conforme o disposto no art. 44, inciso VI; e
• XII - realizar análise de cenários, no âmbito do programa de testes de estresse, que considerem hipóteses de mudanças em padrões climáticos e de transição para uma economia de baixo carbono, conforme disposto no art. 44, inciso VII.

Art. 67. As instituições enquadradas no S4 ficam dispensadas de:

• I - informar, no relatório gerencial, o grau de disseminação da cultura de gerenciamento de riscos conforme disposto no art. 5º, inciso X, alínea “e”;
• II - efetuar a disseminação de informações por meio de processo estruturado de comunicação, conforme disposto no art. 6º, parágrafo único;
• III - observar a restrição de que trata o art. 7º, parágrafo único, na avaliação periódica dos modelos de gerenciamento de riscos;
• IV - utilizar, no programa de testes de estresse, a metodologia análise de cenário mencionada no art. 10, inciso III, alínea “b”;
• V - documentar, relativamente ao programa de testes de estresse, o disposto no art. 10, inciso V, alíneas “c”, “d”, “e” e “f”;
• VI - considerar a contribuição de especialistas na realização do programa de testes de estresse, conforme disposto no art. 10, parágrafo único;
• VII - utilizar o programa de testes de estresse na avaliação da adequação e da robustez das premissas e das metodologias empregadas nos modelos de gerenciamento de riscos, conforme o disposto no art. 11, inciso II;
• VIII - observar os critérios para a realização dos testes de estresse estabelecidos no art. 12;
• IX - elaborar cenários no âmbito do programa de testes de estresse conforme disposto no art. 13;
• X - dispor de sistemas flexíveis, no âmbito do programa de testes de estresse, conforme os critérios estabelecidos no art. 14;
• XI - incorporar os resultados dos testes de estresse no processo estruturado de comunicação, conforme o disposto no art. 15, inciso IV;
• XII - gerenciar em estrutura de mesa de operações os instrumentos sujeitos a risco de mercado, conforme disposto nos arts. 24 e 25, bem como documentar as reclassificações de instrumentos entre as carteiras de negociação e bancária conforme o disposto no art. 31, inciso II, alínea “a”, e as transferências internas de riscos conforme o disposto no art. 31, inciso II, alínea “b”;
• XIII - documentar na RAS os níveis de apetite por IRRBB para as abordagens de valor econômico de que trata o art. 32, § 3º;
• XIV - incluir os aspectos adicionais relativos ao IRRBB nos relatórios gerenciais, conforme o disposto no art. 33;
• XV - implementar os processos de coleta de informações, classificação, agregação e análise de perdas operacionais de que trata o art. 35, inciso V;
• XVI - realizar análises de cenários de risco operacional conforme o disposto no art. 35, inciso IX e § 2º;
• XVII - constituir base de dados de risco operacional conforme o disposto no art. 36;
• XVIII - elaborar o plano de contingência de capital mencionado no art. 48, inciso V;
• XIX - constituir comitê de riscos nos termos do art. 53;
• XX - identificar tempestivamente percepção negativa de clientes, do mercado financeiro e da sociedade em geral sobre a reputação da instituição, quando essa percepção possa impactar de maneira relevante o risco social, o risco ambiental e o risco climático por ela incorridos, conforme o disposto no art. 44, inciso VI; e
• XXI - realizar análise de cenários, no âmbito do programa de testes de estresse, que considerem hipóteses de mudanças em padrões climáticos e de transição para uma economia de baixo carbono, conforme disposto no art. 44, inciso VII.

CAPÍTULO IX - DAS DISPOSIÇÕES FINAIS

Art. 68. Devem ser mantidos à disposição do Banco Central do Brasil por cinco anos:

• I - a RAS;
• II - a documentação relativa à estrutura de gerenciamento de riscos;
• III - a documentação relativa à estrutura de gerenciamento de capital;
• IV - os relatórios de que trata esta Resolução.

Art. 69. Caso identifique inadequação ou insuficiência no gerenciamento de riscos ou no gerenciamento de capital, o Banco Central do Brasil poderá determinar seu aperfeiçoamento.

Art. 70. As estruturas de gerenciamento de riscos e de gerenciamento de capital deverão ser implementadas até 31 de dezembro de 2023.

Art. 71. Esta Resolução entra em vigor em 1º de julho de 2023.

Roberto de Oliveira Campos Neto - Presidente do Banco Central do Brasil