Por que a taxonomia importa tanto
Antes de listar os tipos de eventos, é importante entender por que a classificação correta é tão crítica. A taxonomia do CADOC 5050 não é apenas uma formalidade regulatória — ela tem impacto direto sobre três dimensões fundamentais:
1. Elegibilidade ao ILM. O Banco Central avaliará a completude e a aderência da base de perdas à taxonomia exigida ao decidir se autoriza o uso do ILM efetivo. Uma base com categorias faltando ou mal aplicadas pode inviabilizar essa elegibilidade.
2. Qualidade do dado. Eventos classificados erroneamente distorcem a distribuição de perdas por tipo de risco — o que afeta não só o CADOC, mas também os modelos internos de gestão de risco da instituição.
3. Auditorias e inspeções. O BACEN pode questionar classificações inconsistentes durante inspeções. A incapacidade de justificar a taxonomia adotada é um achado recorrente em processos de supervisão.
A Circular BCB 3.979, de 30 de setembro de 2020, estabelece os requisitos para a base de dados de perdas internas de risco operacional das instituições supervisionadas pelo Banco Central do Brasil. Sua aplicação foi estendida ao segmento S3 pela Resolução BCB 447/2024.
Os tipos de eventos de risco operacional
A Circular BCB 3.979 organiza os eventos de perda operacional em oito tipos, que cobrem desde os vetores clássicos de Basileia II até categorias mais recentes, incorporadas para refletir o perfil de risco atual das instituições financeiras.
Atos intencionais de fraude, apropriação indébita ou violação de leis e regulamentos por parte de funcionários, administradores ou sócios da instituição. Inclui situações em que há pelo menos um agente interno envolvido.
Atos intencionais de fraude ou roubo praticados por terceiros externos à instituição. Abrange desde golpes contra clientes até ataques diretos à instituição.
Perdas decorrentes de atos inconsistentes com as leis trabalhistas e acordos de segurança e saúde no trabalho, bem como de pagamento de indenizações por danos pessoais.
Falhas não intencionais em obrigações profissionais para com clientes, ou resultantes da natureza ou concepção de produtos e serviços. Inclui questões de suitability, misselling e proteção de dados de clientes.
Perdas derivadas de danos ou destruição de ativos físicos da instituição decorrentes de desastres naturais ou outros eventos externos.
Perdas decorrentes de interrupção de atividades de negócio ou de falhas em sistemas de tecnologia da informação, infraestrutura e comunicação.
Perdas resultantes de falhas no processamento de transações ou na gestão de processos internos, bem como de relações com contrapartes comerciais e fornecedores.
Esta é a grande inovação da Circular 3.979 em relação ao framework clássico de Basileia. O regulador brasileiro reconheceu explicitamente que os riscos cibernéticos, sociais, ambientais e climáticos geram perdas operacionais mensuráveis — e exigiu que fossem capturados e reportados como categoria própria. Muitos bancos S3 subestimam ou ignoram completamente este vetor.
O Tipo 8 na prática: o vetor mais subestimado
De todos os vetores exigidos pela Circular 3.979, o Tipo 8 é o que mais gera dúvidas e omissões nos bancos S3. Há três razões principais para isso:
Primeira: muitos bancos classificam incidentes cibernéticos dentro do Tipo 6 (Falhas em Sistemas) sem perceber que eventos com origem em ataques externos têm natureza distinta e devem ser segregados no Tipo 8.
Segunda: os riscos ambientais e climáticos ainda são vistos como algo distante da operação bancária cotidiana. Na prática, eventos como enchentes que interrompem agências, fornecedores afetados por desastres naturais ou multas por financiamento de atividades poluidoras são perdas operacionais legítimas e devem ser capturadas.
Terceira: o impacto reputacional de crises sociais — como boicotes em redes sociais, manifestações públicas ou escândalos envolvendo fornecedores — pode gerar perdas mensuráveis (rescisões de contratos, queda de receita, multas) que se enquadram nesta categoria.
Classificar um ataque de ransomware como "Falha em Sistemas" (Tipo 6) em vez de "Risco Cibernético" (Tipo 8) é um dos erros de taxonomia mais frequentes em bases de perdas de bancos S3. O BACEN pode questionar essa classificação em inspeções e exigir reprocessamento retroativo.
Como estruturar o processo de classificação
A correta aplicação da taxonomia exige que a instituição estabeleça um processo claro e documentado de classificação dos eventos de perda. Esse processo deve responder a três perguntas em sequência:
| Pergunta | Resposta esperada | Impacto na classificação |
|---|---|---|
| Qual foi a causa-raiz do evento? | Identificação da origem primária da perda (falha humana, sistema, externo, etc.) | Determina o Tipo primário (1 a 8) |
| Havia agente interno envolvido? | Sim/Não — distingue fraude interna (Tipo 1) de fraude externa (Tipo 2) | Evita erros na separação dos Tipos 1 e 2 |
| O evento tem componente cibernético ou ambiental? | Se sim, verificar se deve ser reclassificado para o Tipo 8 | Garante cobertura do vetor mais subestimado |
Além da classificação por tipo, a Circular 3.979 exige que cada evento seja associado à linha de negócio na qual ocorreu — o que requer um mapeamento prévio das linhas de negócio da instituição conforme a estrutura regulatória do BACEN.
Limiar de captura: o que deve e o que não deve entrar na base
Nem todo evento de perda precisa ser registrado no CADOC 5050. A Circular 3.979 permite que a instituição defina um limiar de captura — um valor mínimo abaixo do qual os eventos não precisam ser registrados individualmente.
A definição desse limiar é uma decisão estratégica. Um limiar muito alto pode deixar de fora eventos relevantes e comprometer a qualidade da base. Um limiar muito baixo gera um volume operacional de registro que pode ser inviável para instituições menores. O BACEN avaliará se o limiar adotado é razoável em relação ao porte e à natureza das operações da instituição.
Independentemente do limiar definido, é recomendável que a instituição mantenha um registro separado dos eventos abaixo do limiar de forma agregada — tanto para fins de gestão interna quanto para demonstrar ao BACEN que o processo de captura é abrangente e controlado.
Conclusão
A taxonomia da Circular BCB 3.979 é o alicerce de toda a base de perdas do CADOC 5050. Uma classificação incorreta — especialmente a omissão do Tipo 8 — pode comprometer não só a qualidade do arquivo entregue ao BACEN, mas também a elegibilidade ao ILM e a credibilidade da instituição perante o regulador.
O investimento em um processo bem estruturado de classificação, com critérios documentados, treinamento das equipes envolvidas e revisão periódica, é o que separa uma base de perdas de alta qualidade de uma base que apenas cumpre formalmente com a obrigação regulatória.
Auxiliamos bancos S3 na definição da taxonomia de risco operacional, no treinamento das equipes de primeira e segunda linha e na revisão da base de perdas existente. Agende uma conversa com nossos especialistas.