VII - falhas em sistemas de tecnologia da informação;
VIII - falhas na execução, cumprimento de prazos e
gerenciamento das atividades na instituição.
Art. 3º A estrutura de gerenciamento do risco operacional
deve prever:
I - identificação, avaliação, monitoramento, controle e
mitigação do risco operacional;
II - documentação e armazenamento de informações referentes
às perdas associadas ao risco operacional;
III - elaboração, com periodicidade mínima anual, de
relatórios que permitam a identificação e correção tempestiva das
deficiências de controle e de gerenciamento do risco operacional;
IV - realização, com periodicidade mínima anual, de testes
de avaliação dos sistemas de controle de riscos operacionais
implementados;
V - elaboração e disseminação da política de gerenciamento
de risco operacional ao pessoal da instituição, em seus diversos
níveis, estabelecendo papéis e responsabilidades, bem como as dos
prestadores de serviços terceirizados;
VI - existência de plano de contingência contendo as
estratégias a serem adotadas para assegurar condições de continuidade
das atividades e para limitar graves perdas decorrentes de risco
operacional;
VII - implementação, manutenção e divulgação de processo
estruturado de comunicação e informação.
§ 1º A política de gerenciamento do risco operacional deve
ser aprovada e revisada, no mínimo anualmente, pela diretoria das
instituições de que trata o art. 1º e pelo conselho de administração,
se houver.
§ 2º Os relatórios mencionados no inciso III devem ser
submetidos à diretoria das instituições de que trata o art. 1º e ao
conselho de administração, se houver, que devem manifestar-se
expressamente acerca das ações a serem implementadas para correção
tempestiva das deficiências apontadas.
§ 3º Eventuais deficiências devem compor os relatórios de
avaliação da qualidade e adequação do sistema de controles internos,
inclusive sistemas de processamento eletrônico de dados e de
gerenciamento de riscos e de descumprimento de dispositivos legais e
regulamentares, que tenham, ou possam vir a ter impactos relevantes
nas demonstrações contábeis ou nas operações da entidade auditada,
elaborados pela auditoria independente, conforme disposto na
regulamentação vigente.
Art. 4o A descrição da estrutura de gerenciamento do risco
operacional deve ser evidenciada em relatório de acesso público,
com periodicidade mínima anual.
§ 1º O conselho de administração ou, na sua inexistência,
a diretoria da instituição deve fazer constar do relatório descrito
no caput sua responsabilidade pelas informações divulgadas.
§ 2º As instituições mencionadas no art. 1º devem
publicar, em conjunto com as demonstrações contábeis semestrais,
resumo da descrição de sua estrutura de gerenciamento do risco
operacional, indicando a localização do relatório citado no caput.