Pesquisar tag(s):
Pesquisar
Selecionar tag(s):
Adicionar nova tag:
Normativo inserido em:
Voltar Marcar no calendário a norma atual pela data:
Selecione uma agência:
Descrição/resumo da norma:
Normas
Busca

RESOLUÇÃO BCB Nº 070, DE 11.02.2021

CONTEÚDO
Seção I - Definições Preliminares
Seção II - Dos Objetivos
Seção III - Dos Princípios
Seção IV - Das Diretrizes
Seção V - Das Responsabilidades
Seção VI - Revisão e Avaliação

RESOLUÇÃO BCB Nº 070, DE 11.02.2021

Institui a Política de Gestão Integrada de Riscos do Banco Central do Brasil (PGR-BCB).

O Comitê de Governança, Riscos e Controles do Banco Central do Brasil, tendo em vista o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa Conjunta nº 1, de 10 de maio de 2016, do Ministério do Planejamento, Desenvolvimento e Gestão e da Controladoria‐Geral da União, e no Voto GRC 28/2021, de 10 de fevereiro de 2021,

RESOLVE:

Art. 1º Fica instituída a Política de Gestão Integrada de Riscos do Banco Central do Brasil (PGR-BCB), conforme anexo a esta Resolução.

Art. 2º Esta Resolução entra em vigor na data de sua publicação.

Roberto de Oliveira Campos Neto
Presidente do Banco Central do Brasil

ANEXO
POLÍTICA DE GESTÃO INTEGRADA DE RISCOS DO BANCO CENTRAL DO BRASIL (PGR-BCB)

Seção I
Definições Preliminares

Art. 1º Gestão integrada de riscos é o processo conduzido pela Diretoria Colegiada, corpo gerencial e todos os servidores, aplicado no estabelecimento e na implantação de estratégias que são formuladas para:

I - identificar em toda a Instituição eventos em potencial capazes de afetá-la;

II - administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da Instituição;

III- facilitar o cumprimento dos objetivos organizacionais.

Art. 2º Para os fins da Política de Gestão Integrada de Riscos do Banco Central do Brasil (PGR-BCB) , considera-se:

I - risco: quantificação da incerteza;

II - evento: é a ocorrência ou mudança em um conjunto específico de circunstâncias, que pode levar a uma ou mais consequências;

III - incidente: situação que pode representar ou levar a interrupção de negócios ou a perdas, emergências ou crises;

IV - ameaça: possível causa de um incidente inesperado, que pode resultar em danos a pessoas, ativos, sistemas, organizações, ambiente ou comunidade;

V - impacto: consequência do evento;

VI - causa: fator que contribui para que um evento aconteça;

VII - riscos-chave: aqueles riscos que podem afetar significativamente a estratégia do Banco Central do Brasil;

VIII - resiliência: capacidade de resistir ou se adaptar aos efeitos de um incidente;

IX - crise: qualquer evento ou situação que implique ameaça significativa para a missão, a operação, a integridade, os recursos ou para as principais partes interessadas do Banco Central do Brasil, sendo que nem toda crise implica ativação do Plano de Continuidade de Negócios;

X - desastre: qualquer interrupção nos processos críticos de negócio que resulta em sérios impactos financeiros ou operacionais, ou requer remanejamento das operações para um local alternativo;

XI - processo de trabalho: conjunto de atividades inter-relacionadas que transforma insumos em produtos, agregando valor e atendendo à demanda das partes interessadas;

XII - dono do processo: área responsável pela concepção, pela melhoria contínua e pelo desempenho do processo de trabalho, pela coordenação e integração do processo no âmbito da organização, bem como pela execução do processo conforme acordado e documentado, a fim de atingir os objetivos propostos;

XIII - gestão de risco baseada em três pilares: conjunto de regras e procedimentos baseados em referências e limites de operação e mensuração de resultados, definidos pela Diretoria Colegiada, para processos de trabalho selecionados em função de critérios, como, por exemplo, sua vinculação com os objetivos estratégicos e sua alta exposição a riscos;

XIV - referências operacionais: metas de execução das operações que refletem a preferência de risco da Diretoria Colegiada;

XV - limites operacionais: fronteiras, aprovadas pela Diretoria Colegiada, em torno da referência operacional, que delimitam as alternativas de execução das operações;

XVI - mensuração de resultado: avaliação do atingimento de metas, por meio de referências e limites operacionais aprovados pela Diretoria Colegiada, de acordo com critérios quantitativos ou qualitativos previamente estabelecidos;

XVII - plano de emergência: documento que formaliza o desenvolvimento e a manutenção de procedimentos acordados de forma a prevenir, reduzir, controlar, mitigar e escolher ações a serem adotadas no caso de uma emergência civil;

XVIII - plano de gestão de crise: documento que formaliza o desenvolvimento e a manutenção de procedimentos acordados de forma a prevenir, reduzir, controlar, mitigar e escolher ações a serem adotadas no caso de uma crise, englobando a avaliação das crises mais prováveis, o comando das situações de crise, os documentos de informação, a definição de porta-voz responsável e a auditoria de crise;

XIX - Gestão de Continuidade de Negócio: processo que identifica ameaças potenciais e possíveis impactos nas operações de negócios, caso essas ameaças se concretizem, o que possibilita o desenvolvimento de resiliência organizacional que seja capaz de salvaguardar os interesses das partes envolvidas, a reputação e a marca da organização e suas atividades de valor agregado;

XX - Plano de Continuidade de Negócio: documentação com procedimentos e informações para uso em caso de incidente, de forma a permitir que o Banco Central do Brasil mantenha operacionais seus processos sensíveis ao tempo em um nível aceitável previamente definido;

XXI - Plano Anual de Exercícios: estabelece o calendário para a realização de exercícios para os diferentes cenários de interrupção, de forma a treinar, avaliar, praticar e melhorar o desempenho da organização na execução dos Planos de Continuidade de Negócio e dos Planos de Gestão de Crises;

XXII - evento disruptivo: ocorrência ou mudança em um conjunto específico de circunstâncias, que pode levar à interrupção da execução de um processo;

XXIII - Plano de Mitigação de Risco: formalização das ações desenhadas para redução da exposição de um risco identificado;

XXIV - Agente de Gestão de Riscos: servidores das Unidades responsáveis em centralizar a comunicação com o Departamento de Riscos Corporativos e Referências Operacionais (Deris).

Seção II
Dos Objetivos

Art. 3º São objetivos da gestão integrada de riscos:

I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis da Instituição, tenham acesso tempestivo às informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso;

II - aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;

III - agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização; e

IV - desenvolver a resiliência organizacional por meio da Gestão de Continuidade de Negócios, proporcionando às Unidades do Banco Central do Brasil manter a execução dos processos sensíveis ao tempo em caso de eventos disruptivos.

Seção III
Dos Princípios

Art. 4º A gestão integrada de riscos observará os seguintes princípios:

I - subordinação ao interesse público;

II - razoabilidade, com o estabelecimento de níveis de exposição a riscos adequados;

III - economicidade, de forma a estabelecer procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização;

IV - efetividade, com a utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico;

V - melhoria contínua, com a utilização da gestão integrada de riscos para apoio aos processos organizacionais; e

VI - resiliência organizacional, com aumento da maturidade em Gestão de Continuidade de Negócio e sua integração com planos de emergências, de recuperação de desastres, planos de gestão de crise e com os demais planos que contribuam para o incremento da resiliência do Banco Central do Brasil.

Seção IV
Das Diretrizes

Art. 5º A gestão integrada de riscos no Banco Central do Brasil deverá ser feita de forma sistemática e estruturada, além de respeitar as peculiaridades da organização, fundamentar-se em coleta de evidências que permitam avaliar e tratar as fontes de riscos e fazer uso de modelos e de técnicas apropriadas que reflitam as melhores práticas internacionais.

§ 1º A gestão integrada de riscos deverá permitir que sejam avaliadas as respostas necessárias aos riscos identificados.

§ 2º A gestão integrada de riscos deverá fazer parte do processo decisório do Banco Central do Brasil, auxiliando a seleção das melhores alternativas em um curso de ação, observada a preferência de risco da Diretoria Colegiada, apoiando inclusive o processo de planejamento estratégico da Instituição.

§ 3º O processo de gestão integrada de riscos deverá levar em conta os fatores humanos e suas competências, buscar adicionar valor com foco nas metas e nos resultados da Instituição, ser pautado pela transparência e proporcionar o desenvolvimento contínuo dos servidores do Banco Central do Brasil em gestão de riscos.

Art. 6º Na implementação e na atualização da abordagem de gestão integrada de riscos serão observados os seguintes componentes:

I - ambiente interno: a base da gestão integrada de riscos que engloba, entre outros elementos, a integridade, os valores éticos, a competência das pessoas, a delegação de autoridade e responsabilidade, a estrutura de governança e as políticas e práticas de recursos humanos;

II - fixação de objetivos: os níveis organizacionais devem ter objetivos relacionados à missão e à visão da Instituição, e os riscos que impeçam a consecução dos objetivos devem ser gerenciados;

III - identificação de eventos de risco: devem ser identificados e relacionados os riscos aos processos da organização, em seus diversos níveis;

IV - avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência, sendo que a avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas ou da combinação de ambas;

V - resposta a riscos: a Instituição deve identificar qual estratégia seguir em relação aos riscos mapeados e avaliados, sendo que a escolha da estratégia dependerá do nível de exposição a riscos previamente estabelecido pela organização em confronto com a avaliação que se fez do risco;

VI - atividades de controles internos: devem ser implantadas pela gestão para mitigar os riscos que a organização tenha optado por tratar, em conformidade com a Política de Controles Internos da Gestão;

VII - informação e comunicação: devem ser tratadas da seguinte forma:

a) informações relevantes devem ser identificadas, coletadas e comunicadas aos responsáveis pelos respectivos riscos, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e condições externas que possibilitem o gerenciamento de riscos e a tomada de decisão; e

b) a comunicação das informações de risco produzidas deve atingir os tomadores de decisão que se relacionam ao processo de gestão dos riscos identificados, bem como as demais partes interessadas, desde que respeitados aspectos de confidencialidade da informação; e

VIII - monitoramento: tem como objetivo avaliar a qualidade da gestão integrada de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos.

Art. 7º A gestão integrada de riscos deverá permitir avaliar a necessidade de algum procedimento de mitigação ou controle de riscos para que falhas ou interrupções não comprometam as metas ou os resultados do Banco Central do Brasil.

Parágrafo único. A mitigação ou o controle de riscos poderá ser realizada por meio de três tipos de ações não excludentes:

I - elaboração e acompanhamento de Planos de Mitigação de Riscos;

II - gestão de riscos baseada em três pilares: referências operacionais, limites de operação e critérios de mensuração de resultados;

III - implementação da Gestão de Continuidade de Negócios.

Art. 8º Os Planos de Mitigação de Riscos veicularão ações de mitigação de riscos relacionados a fragilidades e vulnerabilidades a serem enfrentadas ou a oportunidades a serem exploradas.

Art. 9º Na gestão de riscos baseada em três pilares, os seguintes parâmetros devem ser observados:

I - as referências operacionais deverão ser estáveis, detalhadas e executáveis pelas Unidades, compreendendo a definição de objetivos estratégicos e metas para execução das operações; critérios para tomada de decisões; alternativas de operação e quantidade de níveis de decisão necessários; níveis de riscos envolvidos nas alternativas de operação; padrão de referência para as decisões gerenciais; e critérios de padronização da abordagem e integração das referências de forma a perseguir as metas que garantirão o alcance dos objetivos estratégicos;

II - a amplitude dos limites operacionais é função dos riscos envolvidos nas operações e deve considerar a faixa de conforto permitida para as operações dentro dos critérios estabelecidos e os riscos associados à faixa de operação permitida;

III - os resultados deverão ser mensurados de acordo com critérios previamente estabelecidos pelo Comitê de Governança, Riscos e Controles, considerando os riscos incorridos.

Art. 10. A Gestão de Continuidade de Negócio faz parte da estrutura de gestão integrada de riscos e deverá ser abrangente de forma a avaliar os possíveis impactos de ameaças potenciais para os processos de trabalho e a preparar as áreas responsáveis pelos processos sensíveis ao tempo, qualificando-as a responder adequadamente e tempestivamente aos eventos disruptivos, objetivando aumentar a resiliência organizacional.

Parágrafo único. A Gestão de Continuidade de Negócio identifica o que é necessário para que o Banco Central do Brasil continue cumprindo suas obrigações essenciais e planeja o que precisa ser feito no caso da ocorrência de um incidente grave, focando a proteção de seu patrimônio (pessoas, instalações, tecnologia e informações), das partes interessadas e de sua reputação.

Seção V
Das Responsabilidades

Art. 11. Cabe ao Comitê de Governança, Riscos e Controles a responsabilidade pela gestão integrada de riscos, sem prejuízo dos deveres e obrigações dos servidores e colaboradores, no âmbito de suas atribuições.

Art. 12. Compete ao Comitê de Governança, Riscos e Controles:

I - definir as diretrizes e as estratégias do Banco Central do Brasil para a condução dos processos relacionados à gestão integrada de riscos, incluindo continuidade de negócios;

II - aprovar e revisar a PGR-BCB;

III - decidir sobre as exposições de riscos corporativos do Banco Central do Brasil, estabelecendo as referências e os limites operacionais, além dos critérios para mensuração dos resultados;

IV - acompanhar o mapeamento, a avaliação e o tratamento dos riscos-chave que podem comprometer a atuação do Banco Central do Brasil;

V - tomar conhecimento dos relatórios e informações gerenciais da PGR-BCB;

VI - monitorar as recomendações e orientações deliberadas pelo Comitê sobre gestão de riscos; e

VII - definir o apetite a riscos do Banco Central do Brasil.

Art. 13. Compete ao Diretor de Assuntos Internacionais e de Gestão de Riscos Corporativos (Direx):

I - propor ao Comitê de Governança, Riscos e Controles revisões na PGR-BCB;

II - propor ao Comitê de Governança, Riscos e Controles as estratégias do Banco Central do Brasil para aprimoramento da gestão integrada de riscos, incluindo continuidade de negócios; e

III - propor referências operacionais, limites operacionais, além dos critérios para mensuração dos resultados.

Art. 14. Compete ao Deris, ressalvadas as competências das demais Unidades e componentes organizacionais:

I - propor ao Direx revisões na PGR-BCB;

II - elaborar padrões e modelos para integração de riscos a serem utilizados pelas Unidades e demais componentes organizacionais, bem como definir periodicidade de envio de informações ao Deris;

III - assegurar a harmonização da Política de Gestão Integrada de Riscos com as Políticas de Conformidade e de Controles Internos da Gestão;

IV - integrar as informações de gestão de riscos e assegurar o envio tempestivo destas aos membros do Comitê de Governança, Riscos e Controles, Chefes de Unidade e demais componentes organizacionais, conforme o caso;

V - apoiar as discussões técnicas sobre gestão de riscos;

VI - desenvolver e/ou implantar metodologias de gestão de riscos considerando as diversas exposições do Banco Central do Brasil a risco de crédito, de mercado, de liquidez, de integridade, operacional, estratégico, socioambiental, entre outros, que permitam o alinhamento da gestão dos processos da Instituição ao seu apetite a risco;

VII - promover a adoção e a manutenção de boas práticas de gestão de riscos e de continuidade de negócios;

VIII - promover a disseminação da cultura de gestão de riscos e de continuidade de negócios;

IX - manter atualizadas as informações integradas de gestão de riscos para os públicos interno e externo;

X - participar do processo de integração da gestão de riscos com os projetos corporativos;

XI - subsidiar o processo de planejamento estratégico do Banco Central do Brasil com as informações de integração de riscos pertinentes, incluindo o levantamento e análise dos riscos estratégicos;

XII - coordenar a elaboração de propostas de gestão de riscos baseada nos três pilares (referências operacionais, limites de operação e mensuração de resultados), desenvolvidas em conjunto com as Unidades;

XIII - estabelecer metodologia de implantação de Gestão de Continuidade de Negócio e coordenar os trabalhos de elaboração e atualização de Planos de Continuidade de Negócios, com estratégias de resposta a interrupções de processos e sua aprovação;

XIV - coordenar a elaboração e execução do Plano Anual de Exercício de Gestão de Continuidade de Negócio; e

XV - promover a gestão centralizada do sítio de contingência de negócios do Banco Central do Brasil em Brasília.

Art. 15. Compete às Unidades e demais componentes organizacionais do Banco Central do Brasil:

I - garantir a implantação da gestão de riscos nos seus processos da cadeia de valor do Banco Central do Brasil aderentes à PGR-BCB;

II - reportar ao Deris as informações de gestão de riscos, de acordo com a periodicidade e os padrões de envio definidos institucionalmente;

III - registrar tempestivamente os eventos e quase eventos nas ferramentas disponibilizadas para esse fim, conforme definido pelo Deris;

IV - promover a disseminação da cultura de gestão de riscos no âmbito da Unidade ou componente organizacional;

V - designar Agente de Gestão de Riscos e alterno, conhecedores dos processos de trabalho dos respectivos componentes organizacionais, servidores detentores de função comissionada equivalente ou superior a Chefe de Subunidade, responsáveis em centralizar a comunicação com o Deris;

VI - disponibilizar acesso do Deris às informações de gestão de riscos, respeitadas eventuais restrições normativas;

VII - identificar e mensurar riscos nos processos de trabalho sob sua responsabilidade;

VIII - definir a resposta aos riscos identificados nos processos sob sua responsabilidade;

IX- elaborar os Planos de Mitigação de Risco que deverão ser organizados sob a forma de projeto ou iniciativa e cadastrados em sistema corporativo de gestão;

X - elaborar e atualizar estratégias de resposta a interrupções causadas por um incidente, por meio dos seus Planos de Continuidade de Negócios, bem como executá-los, em consonância com as regras estabelecidas pelo Deris, em caso de:

a) exercício; ou

b) ocorrência de evento disruptivo;

XI - executar, sob coordenação do Deris, o Plano Anual de Exercício.

Art. 16. Os Planos de Mitigação de Risco serão submetidos à apreciação da Diretoria Colegiada quando houver matéria conexa que demande deliberação superior, na forma do Regimento Interno do Banco Central do Brasil.

Art. 17. No âmbito da PGR-BCB, as seguintes providências deverão ser atendidas pelos servidores do Banco Central do Brasil, no contexto de suas atribuições, observadas ainda as orientações dos respectivos Chefes de Unidade:

I - disponibilizar tempestivamente, a pedido do Agente de Gestão de Riscos de sua Unidade, informações necessárias à elaboração de análises, estudos, elaboração de planos e relatórios de gestão de riscos;

II - participar da execução de atividades periódicas de Gestão de Continuidade de Negócio, quando demandado;

III - seguir, em caso de situação de contingência, seja exercício ou real, os procedimentos descritos no Plano de Continuidade de Negócio associado ao processo de trabalho em que atua e informar ao Agente de Gestão de Riscos e ao responsável pelo processo sobre qualquer inconsistência entre o Plano de Continuidade de Negócio e a execução da contingência;

IV - informar imediatamente ao Agente de Gestão de Riscos competente sobre qualquer vulnerabilidade, ameaça ou evento relacionado a risco na sua Unidade;

V - zelar pela redução de riscos nas suas atividades e propor, quando oportuno, ações objetivando a mitigação de riscos.

Seção VI
Revisão e Avaliação

Art. 18. A PGR-BCB será submetida a revisão a cada três anos, uma vez que esse período comporta ciclos de avaliação de riscos e de resiliência institucional por meio da Gestão de Continuidade de Negócio, ou sempre que necessário.

Art. 19. A PGR-BCB será avaliada pela dinâmica de indicadores como o Indicador de Desempenho de Gestão de Risco, que mede a aderência das Unidades no uso das ferramentas da gestão de riscos do Banco Central do Brasil, e o Gap Analysis da Gestão de Continuidade de Negócio, que reflete a evolução da maturidade em Gestão de Continuidade de Negócio na Instituição.


Tags Legismap:
BCB Normas (BCB/CMN) Resolução BCB