A crescente complexidade do sistema financeiro internacional, somada à sofisticação dos mecanismos de lavagem de dinheiro, financiamento ao terrorismo, corrupção e evasão de sanções econômicas, tem exigido das instituições financeiras um aprimoramento constante dos seus frameworks de governança, risco, compliance e PLD.
Então neste sentido queria falar da importante iniciativa do chamado: "Wolfsberg Group", que é uma aliança global formada por 12 dos maiores bancos internacionais, que se juntaram para estabelecer os padrões técnicos de PLD que são hoje considerados referência na condução de processos de due diligence bancária, especialmente no âmbito de relacionamentos de correspondente bancário.
São basicamente dois questionários, sendo um mais conhecido, que é o chamado: "CBDDQ", cuja sigla em inglês significa: "Correspondent Banking Due Diligence Questionnaire", e o segundo que é o "FCCQ", suja sigla em inglês significa: "Financial Crime Compliance Questionnaire", que oferecem uma metodologia padronizada, detalhada e com reconhecimento global para a avaliação da exposição ao risco de crimes financeiros.
Embora não sejam obrigatórios por força legal, sua adoção é amplamente incentivada por reguladores internacionais, como o FATF (GAFI), o BCBS (Basel Committee on Banking Supervision) e autoridades nacionais como o OCC, FCA, FinCEN e Banco Central do Brasil, e agora com uma parceria no Brasil com a ABRACAM - Associação Brasileira de Câmbio.
Mas o que é este tal de "Wolfsberg Group"?
O Wolfsberg Group foi criado no ano 2000 e reúne atualmente as seguintes instituições: Banco Santander, Bank of America, Barclays, Citigroup, Deutsche Bank, Goldman Sachs, HSBC, J.P. Morgan Chase, MUFG Bank, Société Générale, Standard Chartered Bank e UBS.
O grupo visa fortalecer o sistema financeiro contra ameaças de uso indevido por atores ilícitos. Para isso publica guidelines, FAQs, glossários técnicos, padrões de transparência e, principalmente, os questionários CBDDQ e FCCQ. A última versão do CBDDQ (v1.4) foi publicada em 2023, e a do FCCQ (v1.2) permanece vigente como sua versão simplificada e complementar.
Relacionamento do Correspondente banário e seus riscos e desafios
Para começar o correspondente bancário é a relação estabelecida entre duas instituições financeiras, em que uma (o correspondente) oferece serviços bancários à outra (respondente). Tais serviços podem incluir compensação de pagamentos em moeda estrangeira, contas nostros/vostros, trade finance, transferências transfronteiriças e liquidação de ordens de pagamento.
A complexidade e os riscos desse tipo de relação decorrem, principalmente, da perda de visibilidade que o banco correspondente tem sobre o cliente final do banco respondente. Quando múltiplas camadas de clientes são intermediadas, a rastreabilidade do fluxo financeiro se torna mais difícil, favorecendo o uso indevido por agentes ilícitos. Daí a importância de frameworks robustos de due diligence e monitoramento.
Outro conceito cada dia mais importante é do chamado: "de-risking" que é o processo pelo qual instituições financeiras encerram relações com contrapartes percebidas como de alto risco, e que tem sido impulsionado em parte pela falta de padronização e transparência nas informações fornecidas entre bancos, e ai que entra o CBDDQ, que exatamente tenta buscar mitigar esse efeito ao promover confiança, clareza e uniformidade nos processos de avaliação de risco.
CBDDQ = CORRESPONDENT BANKING DUE DILIGENCE QUESTIONNAIRE
O CBDDQ é dividido em 14 seções temáticas, totalizando 130 perguntas que devem ser respondidas com base na entidade legal, incluindo matriz e filiais quando não houver variações operacionais significativas.
Vou tentar exatamente neste post detalhar cada uma das seções do CBDDQ abaixo.
Item 1 – Entidade e Estrutura de Propriedade (Entity & Ownership)
O primeiro bloco do questionário CBDDQ tem como foco estabelecer uma visão clara, documentada e juridicamente robusta sobre a identidade da entidade legal avaliada e sua estrutura de propriedade e controle, pois esse é o alicerce sobre o qual todo o restante do processo de due diligence será construído.
Em operações de correspondent banking, em que há intermediação bancária entre múltiplos países é essencial garantir que a instituição com a qual se busca estabelecer uma relação seja legítima, transparente e esteja sujeita a uma supervisão regulatória eficaz. Para tanto são exigidas informações completas sobre a razão social da entidade, conforme registro jurídico, sem abreviações ou nomes fantasia, além dos endereços legal e operacional principal, o país de constituição e a data de abertura.
O fornecimento do Legal Entity Identifier (LEI), um identificador global padronizado para entidades jurídicas envolvidas em transações financeiras, que é o nosso CNPJ, é altamente recomendado, e sua ausência pode representar um indício de risco em instituições que atuam em mercados regulados.
Outro ponto crítico é a compreensão da estrutura de propriedade, aonde o questionário pede uma identificação precisa da forma societária da instituição (por exemplo se é uma empresa pública com ações negociadas em bolsa, uma entidade mutualista, uma organização estatal ou uma empresa privada de capital fechado). Caso a instituição seja listada em bolsa de valores, é necessário informar a bolsa correspondente e o ticker de negociação.
Depois se exige a declaração de todos os beneficiários finais, que são os chamados "UBOs", que detenham direta ou indiretamente uma participação superior a 10%, conforme os parâmetros definidos pelo GAFI. A ausência de tais informações, ou a identificação de estruturas muito complexas, com múltiplas camadas acionárias em jurisdições offshore, pode configurar sinal de alerta para riscos de lavagem de dinheiro ou evasão fiscal.
Além disso é fundamental declarar se há utilização de ações ao portador, instrumento que permite a transferência de titularidade sem registro formal, e que por esse motivo é severamente criticado por órgãos reguladores e pode ensejar a exigência de due diligence reforçado (EDD).
A entidade deve informar também se possui licenças bancárias em paises offshore ou se opera como banco digital, pois ambas as situações aumentam o risco regulatório e demandam maior atenção à supervisão prudencial.
Outro aspecto relevante diz respeito à empresa controladora caso existente, cuja identificação contribui para traçar o grupo econômico ao qual a entidade pertence, avaliar a reputação da estrutura de controle e verificar eventual exposição a conglomerados com atividades paralelas não supervisionadas ou de risco elevado.
Do ponto de vista da instituição financeira que recebe o CBDDQ, a análise desta seção deve incluir a verificação cruzada com bases públicas, registros comerciais, sites regulatórios e relatórios financeiros auditados. É imprescindível verificar a coerência entre os dados fornecidos e a realidade da operação da entidade, especialmente em casos de estruturas corporativas internacionalizadas. Devem ser observados com especial atenção os vínculos com países classificados como jurisdições de risco elevado ou não cooperantes pelo FATF, bem como a presença de UBOs em paraísos fiscais, o que pode comprometer a rastreabilidade dos recursos financeiros movimentados. Ainda a existência de trusts, fundações privadas ou estruturas jurídicas híbridas pode mascarar a titularidade efetiva e gerar opacidade nas relações.
No Brasil tais exigências dialogam com o que dispõe a Circular BACEN nº 3.978 de 2020, em especial no que tange à identificação dos beneficiários finais e à responsabilização da instituição por manter relacionamento com entidades que não possam ser claramente identificadas ou que não tenham estrutura de governança compatível com o risco.
Item 2 – Produtos e Serviços (Products & Services)
A segunda seção do questionário se aprofunda no conhecimento sobre a natureza das atividades financeiras da entidade, com especial atenção àqueles produtos e serviços que apresentam risco intrínseco elevado de uso indevido para fins ilícitos, como lavagem de dinheiro, financiamento ao terrorismo, evasão de sanções ou fraudes financeiras.
A lógica desta seção é clara, em que quanto mais complexo e menos transparente for o produto, maior será a necessidade de controles compensatórios e de procedimentos de monitoramento. Assim o questionário requer que a instituição avaliada declare se oferece serviços de correspondente bancário, inclusive especificando se mantém relacionamentos de segunda camada. Tais estruturas implicam em que a instituição respondente atua como intermediária para outras instituições, que muitas vezes não visíveis para o banco correspondente original, e assim elevando significativamente o risco de perda de visibilidade e a possibilidade de movimentações suspeitas não detectadas.
Além disso, a instituição deve informar se realiza entregas de papel moeda transfronteiriças, prática frequentemente associada a esquemas de lavagem física de valores, e se oferece contas pagadoras, em que clientes de clientes possuem acesso indireto a contas mantidas na instituição. Esse tipo de produto requer controle rigoroso, pois na ausência de medidas de identificação e monitoramento de clientes finais, pode ser utilizado para ocultar fluxos financeiros ilícitos. Serviços de private banking, devido à natureza personalizada, confidencial e frequentemente internacionalizada de suas operações, também estão sob foco especial de atenção. Esses clientes costumam possuir estruturas patrimoniais complexas, uso de offshores, múltiplas jurisdições e operações com ativos não tradicionais, o que exige uma abordagem de risco muito mais robusta.
O questionário também exige que a instituição indique se oferece remessas internacionais de valores, operações de trade finance, serviços de câmbio, compensação de cheques em moeda estrangeira ou quaisquer atividades associadas à movimentação de recursos entre países. Todas essas operações têm histórico de envolvimento em tipologias de lavagem de dinheiro ou financiamento ilícito, e sua presença exige controles específicos, conforme definido pelas recomendações do GAFI e pelas normas de supervisão locais.
Além disso, a instituição deve declarar se atua com ativos virtuais, como criptoativos, moedas digitais, stablecoins, tokens ou NFTs, seja diretamente, por subsidiárias ou por meio de parcerias. Essa categoria de produtos é considerada de risco elevado por natureza, e na ausência de regulação clara em várias jurisdições, exige avaliação criteriosa sobre licenciamento, estrutura de custódia, prevenção à lavagem de criptoativos e segregação operacional.
Outro ponto crítico desta seção é a identificação da oferta de serviços a clientes não identificados, como saques, depósitos ou ordens de pagamento sem vínculo contratual prévio, prática que, embora legal em alguns países, representa risco de anonimato e ausência de rastreabilidade. A depender do país tais serviços podem ser proibidos ou fortemente regulados, o que deve ser verificado no processo de due diligence.
Na prática o banco correspondente deve avaliar o portfólio de produtos da entidade respondente à luz de critérios técnicos de risco, como complexidade da operação, volume transacional, exposição internacional, canais de distribuição utilizados (presenciais, online, por agentes terceirizados), e capacidade da instituição de aplicar controles proporcionais ao risco. A presença de múltiplos produtos de risco elevado pode indicar a necessidade de aplicar um EDD (Enhanced Due Diligence), ou mesmo de reavaliar a viabilidade da relação, caso os controles internos da entidade não sejam compatíveis com o grau de risco assumido.
No contexto brasileiro as instituições que atuam como correspondentes no exterior ou que oferecem produtos de risco elevado devem ter políticas e procedimentos internos que contemplem mapeamento detalhado de riscos por produto, conforme exigido pela Circular BACEN nº 3.978 e pela Resolução CMN nº 4.557 de 2017. A ausência de segregação de atividades de risco, falta de monitoramento transacional específico por tipo de serviço, ou incapacidade de identificar clientes finais, podem representar não apenas risco operacional e reputacional, mas também responsabilização legal por falhas em políticas de PLD/CFT.
Item 3 – Programa de PLD/CFT e Sanções (AML, CTF & Sanctions Programme)
O terceiro bloco do questionário busca estabelecer uma visão abrangente, estruturada e operacionalmente efetiva sobre o framework de conformidade da entidade avaliada em relação à Prevenção à Lavagem de Dinheiro (PLD), Combate ao Financiamento do Terrorismo (CFT) e Conformidade com Sanções Econômicas, que são um dos componentes centrais da due diligence bancária, pois visa avaliar se a instituição possui, na prática não apenas políticas declaradas, mas sim um sistema de compliance funcional com governança, processos e controles adequadamente implementados.
O questionário inicia exigindo a confirmação de que a entidade possui um programa formal e documentado de PLD/CFT e sanções, devidamente aprovado pelo conselho de administração ou pela alta liderança executiva, conforme exigência das melhores práticas internacionais de governança. Em seguida, é requisitada a identificação do diretor de riscos e PLD ou figura equivalente responsável pela área de "Financial Crime Compliance". Esta nomeação deve ser formal, com autoridade suficiente para escalonar decisões, interromper transações e reportar diretamente aos órgãos de supervisão, quando necessário. A inexistência de tal função ou sua subordinação hierárquica inadequada pode ser um indicativo de deficiência grave de governança.
Outro ponto crítico diz respeito à existência de processos documentados de Customer Due Diligence (CDD) e Enhanced Due Diligence (EDD), que definem critérios claros para identificação, verificação, classificação de risco e monitoramento contínuo de clientes. A ausência de critérios objetivos, a incapacidade de realizar revisões periódicas ou a inexistência de políticas específicas para categorias de maior risco (como: PEPs, criptoativos, ONGs, etc.) são considerados red flags clássicos. O questionário também exige evidências da existência de sistemas de verificação em lista de sanções, tanto no onboarding quanto em tempo real para transações, assegurando o bloqueio e reporte imediato de tentativas de movimentação com entidades sancionadas, conforme listas da ONU, OFAC, UE, HMT, entre outras.
Adicionalmente questiona se há programas formais e obrigatórios de treinamento em PLD/CFT e sanções, com conteúdo técnico específico, periodicidade definida e segmentação por público-alvo (ex: área de negócios, back-office, TI, alta administração). Treinamentos genéricos ou esporádicos, sem comprovação de efetividade, indicam um programa superficial. Outro elemento essencial diz respeito à existência de mecanismos de reporte interno de atividades suspeitas, incluindo canais de denúncia, fluxos de decisão e prazos de análise. Tais estruturas devem funcionar com independência e sem retaliação, permitindo que funcionários denunciem transações atípicas ou condutas suspeitas.
A presença de terceiros contratados no processo de PLD/CFT, como plataformas tecnológicas, serviços de onboarding, analytics ou monitoramento transacional, deve ser declarada e a instituição precisa demonstrar que exerce supervisão efetiva sobre esses fornecedores, com cláusulas contratuais que garantam a aplicação de padrões compatíveis aos seus próprios. O questionário também requer que a entidade informe se possui programa formal de denúncia institucionalizado, com políticas acessíveis, canais anônimos, processos de apuração e proteção ao denunciante.
Para o banco que conduz a due diligence é fundamental verificar a coerência entre os elementos declarados (ex: nome do MLRO, existência de treinamentos, políticas e relatórios de auditoria) e os materiais fornecidos em anexo como manuais, organogramas, fluxos de escalonamento e relatórios de avaliação interna. A simples declaração da existência de políticas não é suficiente, mas se deve buscar evidências de implementação efetiva. Adicionalmente as instituições supervisionadas por órgãos reguladores fracos, que operam em países com histórico de corrupção, baixa aplicação da lei ou ausência de requisitos de PLD/CFT compatíveis com o padrão FATF, devem ser tratadas com maior cautela.
No Brasil a Circular nº 3.978/2020 estabelece requisitos específicos para programas de PLD/CFT, como estrutura mínima, segregação de funções, controles por linha de defesa, avaliação de risco, revisão periódica e comunicação ao COAF. O não cumprimento desses requisitos, especialmente em instituições que mantêm ou pretendem manter correspondentes no exterior, pode representar risco de responsabilização legal e restrição de acesso a serviços financeiros internacionais.
Item 4 – Prevenção à Corrupção e Suborno (Anti-Bribery & Corruption – ABC)
O quarto item é inteiramente dedicado à avaliação da maturidade, estrutura e efetividade do programa de prevenção à corrupção e ao suborno da instituição respondente, que é um componente muitas vezes negligenciado em programas de conformidade tradicionais, mas que ganhou enorme relevância após a promulgação de legislações internacionais como o Foreign Corrupt Practices Act (FCPA) dos EUA, o UK Bribery Act, e, no contexto brasileiro, a Lei nº 12.846 de 2013 (Lei Anticorrupção).
O questionário exige inicialmente a confirmação da existência de políticas documentadas e aprovadas pela alta administração que tratem especificamente da proibição de suborno, pagamento de propina, facilitação de favorecimento e condutas correlatas. Essa política deve abranger todos os tipos de agentes, incluindo funcionários, terceiros, contratados, parceiros comerciais e até representantes ou consultores. A abrangência e clareza das políticas são pontos críticos de avaliação, sendo esperada a inclusão de exemplos de condutas proibidas, fluxos de reporte, medidas disciplinares e responsabilidades por linha de defesa.
Outro aspecto central diz respeito à existência de um executivo responsável formalmente pela implementação e monitoramento do programa antisuborno, preferencialmente com reporte direto à área de compliance ou à alta administração. A ausência dessa figura ou sua vinculação excessiva à área jurídica ou comercial, pode comprometer a independência do programa. O questionário também exige informações sobre a realização de avaliações de risco anticorrupção, preferencialmente com metodologia própria, escopo institucional e revisão periódica. Essa avaliação deve considerar riscos por país, setor, tipo de cliente, forma de atuação (ex: uso de intermediários), histórico de sanções e presença em áreas de vulnerabilidade, como licitações públicas, obtenção de licenças ou regimes aduaneiros.
A instituição deve demonstrar a existência de controles efetivos para prevenção e detecção de atos de suborno, como a proibição e controle formal de presentes, hospitalidades e despesas com viagens, a due diligence específica sobre terceiros e parceiros comerciais (KYP), a análise de contratos e cláusulas anticorrupção, e os processos de aprovação para patrocínios, doações e contribuições políticas.
Além disso é avaliado se o programa de anti-corrupção está inserido na estrutura de auditoria interna e controles de segunda linha, incluindo revisão periódica da eficácia do programa e recomendações de melhoria documentadas. A realização de auditorias independentes ou verificações externas é considerada um indicativo positivo de maturidade. O questionário também requer evidências de treinamento específico e obrigatório sobre anticorrupção para todos os colaboradores, com conteúdo customizado por função, abrangendo também terceiros contratados e representantes externos. A ausência de treinamentos regulares ou sua realização apenas para cargos administrativos é considerada insuficiente.
O banco correspondente que avalia a contraparte deve considerar todos os elementos acima de forma integrada, verificando não apenas a existência formal de uma política de integridade, mas a efetiva disseminação da cultura de integridade dentro da instituição. Sinais de alerta incluem declarações genéricas, ausência de política pública acessível, inexistência de due diligence sobre terceiros ou falta de treinamentos específicos. Esses fatores, quando combinados a presença da instituição em setores de risco elevado ou em países com alto índice de percepção de corrupção, conforme o ranking da Transparency International, exigem atenção redobrada e podem justificar a aplicação de medidas de mitigação ou até o rechaço da relação.
No Brasil o programa de integridade previsto na Lei nº 12.846 de 2013 é um componente obrigatório para instituições que contratam com o setor público e altamente recomendável para aquelas que operam internacionalmente. O Decreto nº 11.129 de 2022 reforça os elementos mínimos esperados para um programa de integridade eficaz, incluindo estruturação formal, mapeamento de riscos, treinamentos contínuos, canal de denúncias e monitoramento constante. Assim a ausência de um programa robusto de anticorrupção por parte de uma instituição financeira representa não apenas risco reputacional, mas também risco regulatório direto, inclusive com impacto sobre sua credibilidade junto a contrapartes estrangeiras.
Item 5 – Políticas e Procedimentos de PLD, CFT e Sanções (AML, CTF & Sanctions – Policies & Procedures)
O quinto item do CBDDQ concentra-se na análise detalhada das políticas e procedimentos operacionais adotados pela instituição para assegurar o cumprimento de exigências legais e regulatórias nos domínios da Prevenção à Lavagem de Dinheiro (PLD), do Combate ao Financiamento do Terrorismo (CFT) e da conformidade com regimes de sanções econômicas. Trata-se de um aprofundamento do item anterior, com ênfase não na estrutura de governança, mas na qualidade e abrangência normativa dos instrumentos internos utilizados para guiar a conduta da instituição, seus funcionários e terceiros.
Inicialmente, o questionário busca verificar se a instituição possui políticas formalizadas, aprovadas e atualizadas, que estejam alinhadas com as principais legislações e padrões internacionais de PLD/CFT e sanções. Isso inclui, por exemplo, o cumprimento das 40 Recomendações do FATF, a adesão a normas locais aplicáveis — como o Patriot Act nos EUA, o UK Sanctions Regulations no Reino Unido ou, no caso do Brasil, a Circular nº 3.978/2020 e a Lei nº 13.810/2019. O CBDDQ exige que essas políticas tratem, de forma explícita, da proibição de abertura e manutenção de contas anônimas, contas de numerário sem identificação, entidades não licenciadas para operar ou bancos de fachada (shell banks) — todos considerados de alto risco e geralmente utilizados como veículos de ocultação de titularidade e movimentação de fundos ilícitos.
Outro ponto sensível diz respeito à política para Pessoas Politicamente Expostas (PEPs). A instituição deve demonstrar que possui critérios objetivos para identificação de PEPs, tanto nacionais quanto estrangeiras, abrangendo familiares, estreitos colaboradores e pessoas jurídicas ligadas a essas figuras. Devem estar definidos os processos de avaliação do risco, aprovação pela alta gestão e monitoramento contínuo. A ausência de política para PEPs, ou a não aplicação de critérios de due diligence reforçado, é considerada falha crítica por reguladores e bancos correspondentes.
A entidade também precisa descrever os procedimentos para detecção e escalonamento de atividades suspeitas, especificando quais áreas são responsáveis, os canais de reporte interno, os prazos de análise e as condições para comunicação voluntária ou obrigatória às autoridades competentes. Além disso, deve apresentar sua política de encerramento de relacionamento comercial, especialmente nos casos em que se identifica risco inaceitável, falta de cooperação do cliente ou impossibilidade de realização do KYC de forma adequada.
Outro aspecto importante é a retenção de registros. A instituição deve informar qual é o período de guarda dos dados relacionados a clientes, transações, investigações internas, relatórios de atividades suspeitas e monitoramentos. Esse período deve estar de acordo com as exigências legais da jurisdição de constituição e também das jurisdições nas quais a instituição atua ou mantém correspondência bancária. O não cumprimento dos prazos mínimos pode comprometer auditorias, investigações, investigações retroativas e relatórios regulatórios.
Do ponto de vista da instituição que recebe o CBDDQ, a análise dessa seção deve buscar evidências de que as políticas e os procedimentos não apenas existem, mas que são detalhados, atualizados com frequência, disseminados internamente e adequados ao risco da operação. É altamente recomendável solicitar cópias dessas políticas, avaliar sua linguagem, escopo e grau de especificidade. Documentos excessivamente genéricos, com conceitos vagos, sem critérios objetivos ou datas de revisão, devem ser tratados como insuficientes. Também é relevante observar se as políticas fazem referência a normas já revogadas ou desatualizadas, o que indicaria uma estrutura de compliance reativa ou deficiente.
No contexto regulatório brasileiro, esta seção dialoga diretamente com os artigos 9º a 13º da Circular nº 3.978/2020 do BACEN, que exigem a adoção de políticas e procedimentos compatíveis com os riscos identificados, bem como com os princípios da Resolução CMN nº 4.557/2017 sobre gestão integrada de riscos e controles internos. A ausência de uma política clara para PEPs, por exemplo, é uma das principais causas de autuação das instituições financeiras no Brasil em fiscalizações do BACEN e pode impactar diretamente a credibilidade da instituição no cenário internacional.
Item 6 – Avaliação de Riscos de PLD, CFT e Sanções (AML, CTF & Sanctions Risk Assessment)
A sexta seção busca examinar de forma crítica se a instituição financeira conduz avaliações formais, estruturadas e atualizadas dos riscos associados à lavagem de dinheiro, financiamento do terrorismo e violações de sanções.
Com uma gestão integrada com uma avaliação de risco corporativa de abrangência institucional, voltada à identificação dos riscos inerentes e à análise da efetividade dos controles mitigatórios adotados. Essa avaliação é uma exigência das melhores práticas internacionais (vide Recomendação nº 1 do FATF), bem como de reguladores em diversas jurisdições.
O questionário requer que a entidade declare se conduz regularmente sua gestão integrada de riscos, com base em metodologia própria ou padronizada, e que a mesma cubra, no mínimo, os seguintes fatores de risco: tipo de cliente, produto ou serviço oferecido, canal de distribuição utilizado (presencial, remoto, agente, intermediário) e jurisdição geográfica envolvida. Esses quatro eixos são considerados os pilares da matriz de risco de PLD/CFT e sanções, pois representam os pontos de entrada de risco na operação bancária. Por exemplo se clientes corporativos de setores de alto risco (como jogo, comércio de armas, ONGs com atuação internacional ou criptoativos), produtos de alta liquidez, canais não presenciais e atuação em países com fraco enforcement regulatório compõem um perfil de risco elevado.
Além disso a instituição deve indicar se a avaliação de risco leva em conta não apenas os riscos inerentes, mas também os controles existentes e sua efetividade operacional, ou seja se há medição do risco residual. Esse ponto é importante, pois avaliações que se limitam a mapear riscos teóricos, sem considerar o funcionamento real dos controles internos, acabam por gerar uma falsa percepção de segurança. Também é esperado que a gestão integrada dos riscos envolva a participação de múltiplas áreas da instituição, incluindo compliance, riscos, auditoria interna, jurídico e áreas de negócios, a fim de garantir uma visão transversal e integrada do risco institucional.
O questionário exige ainda que a instituição indique a frequência com que a avalição dos riscos é conduzida, sendo recomendada a periodicidade anual ou sempre que haja mudanças significativas no perfil de risco da instituição (como entrada em novos mercados, lançamento de produtos ou alterações na estrutura societária). Também é solicitado que a entidade informe se os resultados são formalmente reportados à alta administração e se geram planos de ação ou ajustes nas políticas e controles.
Do ponto de vista da instituição correspondente que analisa as respostas ao CBDDQ, é fundamental observar a coerência entre os riscos mapeados na matriz de riscos e os controles descritos nas seções anteriores. Por exemplo se a instituição declara operar com criptoativos, mas sua matriz e avaliação interna de riscos (AIR) não reconhece esse produto como fator de risco elevado, trata-se de uma inconsistência grave. Também é relevante solicitar evidências do relatório mais recente, sua aprovação pelo comitê de risco ou pela diretoria executiva, e a existência de planos de ação associados às deficiências identificadas.
No Brasil a exigência de uma avaliação de risco abrangente está prevista no Art. 4º, inciso VI da Circular nº 3.978, sendo responsabilidade direta da administração da instituição sua elaboração e manutenção atualizada. Essa avaliação deve ser usada para definir a intensidade dos procedimentos de CDD/EDD, o escopo de monitoramento e os critérios de reporte, sendo obrigatória inclusive para instituições não bancárias sujeitas à supervisão do COAF. A não realização da AIR pode comprometer a capacidade da instituição de demonstrar o cumprimento do princípio de abordagem baseada em risco (ABR), o que é um dos critérios centrais na avaliação de maturidade de compliance pelas autoridades reguladoras e pelos parceiros internacionais.
Item 7 – Conheça seu Cliente (KYC), Due Diligence e Due Diligence Reforçado (CDD/EDD)
O sétimo item aborda as práticas e processos de identificação, verificação, monitoramento e atualização de informações sobre clientes, que são os componentes centrais da abordagem baseada em risco exigida pelos principais marcos regulatórios de prevenção à lavagem de dinheiro e financiamento do terrorismo. Conhecido como Customer Due Diligence (CDD), esse conjunto de práticas deve ser implementado por todas as instituições financeiras, e ampliado para Enhanced Due Diligence (EDD) nos casos de clientes, produtos, canais ou jurisdições de maior risco.
Inicialmente o questionário busca confirmar se a entidade possui um programa formal de KYC, com procedimentos documentados para coleta e verificação de informações cadastrais, identificação de beneficiários finais (UBOs), verificação de estrutura de propriedade e entendimento sobre a finalidade da relação comercial. A coleta de dados deve ser orientada não apenas ao cumprimento formal da norma, mas à construção de um perfil de risco que permita identificar incoerências, padrões atípicos de comportamento transacional e anomalias. O processo deve contemplar no mínimo a coleta de nome completo, nacionalidade, documentos de identificação válidos, profissão/atividade econômica, fonte de renda e origem dos recursos. No caso de pessoas jurídicas é obrigatório compreender a cadeia de controle e identificar os beneficiários finais com participação superior a 10% (em linha com o critério FATF), além de verificar o histórico, a reputação e o setor de atuação da empresa.
Depois o questionário olha para a classificação de risco dos clientes, ou seja se a instituição adota uma matriz de risco para categorizá-los em perfis (ex: baixo, médio, alto) com base em critérios objetivos. Essa segmentação deve considerar múltiplos fatores, como tipo de cliente (individual, jurídica, entidade pública, ONGs), produto contratado, canal de relacionamento (presencial, remoto, digital), volume e frequência das transações e país de residência ou constituição. Essa avaliação de risco deve ser feita no onboarding e revisada periodicamente. Para clientes classificados como de alto risco, deve-se aplicar o EDD, que é um processo de diligência ampliado que inclui, entre outras exigências, coleta de informações adicionais (ex: comprovação de origem dos fundos, vínculo profissional, contratos, demonstrações financeiras), aprovação pela alta gestão, frequência aumentada de revisão cadastral e monitoramento transacional mais granular.
O CBDDQ também aborda a verificação em listas de clientes e beneficiários contra listas restritivas (sanções, PEPs, watchlists internas) e a consulta a fontes públicas e privadas de informação, como bases de dados de mídia adversa, registros de crimes financeiros ou processos judiciais. A ausência dessa etapa ou sua realização de forma manual e limitada compromete a efetividade do processo. Ainda o questionário indaga se a instituição aplica revisões periódicas do KYC com base no risco do cliente, estabelecendo prazos diferenciados para cada perfil e procedimentos específicos para atualizações cadastrais, revalidação de informações e reclassificação de risco.
Outro aspecto relevante é a existência de processos robustos de onboarding digital. No contexto atual de transformação digital, muitas instituições utilizam canais não presenciais para abrir contas, operar produtos e estabelecer relações comerciais. Nesses casos é essencial que a verificação da identidade do cliente seja feita de forma segura, com mecanismos antifraude, validação de documentos, biometria e cruzamento de dados. A ausência de controles específicos em canais digitais pode aumentar significativamente o risco de identidade falsa, uso de documentos forjados e entrada de recursos de origem ilícita.
Do ponto de vista do banco correspondente, a análise dessa seção deve verificar não apenas a existência das políticas de KYC e CDD/EDD, mas sua efetiva aplicação, segmentação por tipo de cliente e qualidade dos controles implementados, devendo analisar se a instituição tem histórico de falhas nesse processo, se foi sancionada por deficiências em identificação de clientes ou se apresenta inconsistências entre a política declarada e os mecanismos de execução. Sinais de alerta incluem ausência de segmentação por risco, políticas excessivamente genéricas, falta de evidência de revisão periódica e ausência de EDD para categorias críticas como PEPs, ONGs, agentes com atuação internacional, plataformas de criptoativos ou entidades com presença em paraísos fiscais.
No Brasil os critérios para identificação de clientes, beneficiários finais e aplicação de CDD/EDD estão claramente definidos na Circular nº 3.978, exigindo que todas as instituições supervisionadas apliquem abordagem baseada em risco, mantenham registros atualizados e realizem reavaliações periódicas com base no perfil de risco e na atividade transacional. A omissão no cumprimento dessas exigências pode gerar responsabilização administrativa, suspensão de atividades, multas e no contexto de relações internacionais, perda de correspondentes bancários.
Item 8 – Monitoramento de Transações e Reporte de Atividades Suspeitas (Monitoring & Reporting)
O oitavo avalia o nível de sofisticação, abrangência e efetividade dos sistemas e processos de monitoramento de transações, bem como a capacidade da instituição de detectar, analisar e reportar atividades suspeitas às autoridades competentes, que é outro dos pilares fundamentais da estrutura de prevenção à lavagem de dinheiro e financiamento do terrorismo, e um dos principais focos de fiscalização por parte dos reguladores globais.
O questionário começa solicitando a descrição dos métodos utilizados para monitorar transações financeiras. A instituição deve informar se utiliza sistemas automatizados, manuais ou híbridos, especificando o grau de parametrização, personalização dos alertas, utilização de modelos de risco, integração com base de dados externas e periodicidade das revisões de cenário. Os sistemas automatizados são recomendados para instituições com alto volume transacional ou com exposição internacional, enquanto abordagens manuais podem ser aceitáveis para instituições menores ou com operações restritas, desde que documentadas e baseadas em critérios técnicos. A ausência de qualquer tipo de monitoramento, ou a dependência exclusiva de processos manuais em operações complexas, é considerada uma falha grave.
Em seguida olha se há uma estrutura clara e funcional para o reporte de atividades suspeitas para o COAF, com fluxos definidos de triagem, análise, validação e comunicação às autoridades competentes. A instituição deve descrever qual área é responsável por essa função, os critérios de reporte (ex: volume, padrões atípicos, inconsistência com o perfil do cliente) e os prazos internos para análise. Também é exigido que a entidade comprove que sua equipe possui acesso a dados suficientes para realizar análises de forma tempestiva, que existam mecanismos para impedir conflitos de interesse e que haja segregação adequada de funções.
O questionário ainda trata da qualidade da base de dados transacional. A instituição deve garantir que os dados alimentados nos sistemas de monitoramento estejam íntegros, atualizados e completos. Inconsistências na base, como ausência de informações sobre o país de origem/destino, dados incompletos do cliente, beneficiário ou finalidade da transação, podem gerar alertas falsos negativos ou dificultar a identificação de padrões de comportamento atípico. E também investiga se a instituição possui capacidade de responder a requisições formais de informação (RFIs), como solicitações de bancos correspondentes, autoridades financeiras ou unidades de inteligência, assegurando a rastreabilidade e a disponibilização ágil de informações relevantes.
Do ponto de vista do banco correspondente, esta seção é crítica para avaliar a capacidade da instituição de prevenir e detectar movimentações atípicas em tempo real, sobretudo em operações transfronteiriças em que há intermediação de múltiplas entidades. É recomendável solicitar evidências do funcionamento do sistema de monitoramento (ex: prints de alertas, exemplos de tipologias mapeadas, estatísticas de alertas gerados e reportados) e verificar se os critérios de alerta estão calibrados com o perfil de risco da instituição e seus clientes.
No Brasil o artigo 10 da Circular nº 3.978/2020 obriga as instituições financeiras a monitorarem, de forma contínua e com base no risco, todas as operações realizadas pelos clientes, com foco na detecção de indícios de lavagem de dinheiro, financiamento ao terrorismo ou atividades ilícitas. O não cumprimento desse dever pode implicar responsabilização administrativa por omissão, inclusive com aplicação de penalidades pelo Bacen ou pelo COAF, além de danos reputacionais irreversíveis.
Item 9 – Transparência de Pagamentos (Payment Transparency)
O nono item avalia a capacidade da instituição de assegurar a transparência, integridade e rastreabilidade das informações associadas às transferências internacionais de recursos, principalmente aquelas realizadas por meio de sistemas de pagamentos transfronteiriços como SWIFT. A premissa fundamental aqui é garantir que todas as mensagens de pagamento contenham, de forma completa e precisa, os dados do originador e do beneficiário final da transação, possibilitando que as instituições envolvidas e as autoridades possam rastrear os fluxos financeiros e detectar movimentações ilícitas.
Inicialmente o questionário solicita que a instituição confirme sua aderência às diretrizes do Wolfsberg Group sobre transparência de pagamentos, bem como à Recomendação nº 16 do FATF (GAFI), que estabelece os requisitos mínimos de informações a serem incluídas nas mensagens de transferência eletrônica. Essa recomendação que tem status de norma internacional, exige que constem, no mínimo, o nome completo do originador, número da conta ou identificador único, endereço completo (ou nacionalidade, data e local de nascimento), bem como os dados equivalentes do beneficiário. A ausência dessas informações, ou sua omissão proposital, representa uma falha de conformidade que pode configurar violação de sanções ou facilitar a ocultação de fundos ilícitos.
O questionário também investiga se a instituição possui controles efetivos para verificação automática do preenchimento das mensagens de pagamento, rejeição ou correção de mensagens incompletas, e detecção de tentativas da prática ilícita em que informações críticas são removidas intencionalmente da mensagem para ocultar a identidade do originador ou do beneficiário. É essencial que os sistemas utilizados pela instituição estejam atualizados e parametrizados para realizar essas verificações de forma automática, sobretudo em instituições que operam com grande volume de transações internacionais.
Outro ponto abordado é a validação contínua da integridade das mensagens SWIFT, inclusive com testes de qualidade de dados, auditorias internas e amostragens periódicas de mensagens processadas. A instituição deve demonstrar que realiza revisões periódicas dos padrões de mensagens aceitos (por exemplo, MT103, MT202COV) e que está atualizada com os requisitos técnicos exigidos por seus bancos correspondentes, bem como com os padrões ISO 20022, que vêm sendo progressivamente adotados como novo formato global de mensagens financeiras.
Do ponto de vista da instituição correspondente, a análise dessa seção é determinante para garantir que os pagamentos processados por meio da instituição respondente não estejam sendo utilizados como veículos para evasão de sanções, ocultação de fluxos financeiros ou movimentações vinculadas a atividades ilícitas. A ausência de controles de integridade nas mensagens, ou a existência de um volume elevado de mensagens rejeitadas por falta de informações, são red flags que indicam deficiências sistêmicas. Além disso, a incapacidade da instituição de fornecer informações complementares de forma tempestiva, quando solicitadas por meio de requisições (RFIs), compromete diretamente a viabilidade da relação.
No contexto brasileiro a exigência de conformidade com os requisitos de transparência de pagamento encontra fundamento nos artigos 7º e 10 da Circular nº 3.978, que exigem identificação clara dos remetentes e destinatários de recursos em transações nacionais e internacionais, bem como monitoramento contínuo de transações com base no risco. Adicionalmente, a Lei nº 13.810 impõe o cumprimento obrigatório de sanções internacionais no Brasil, exigindo rastreabilidade plena dos pagamentos. A não observância desses critérios pode gerar bloqueios judiciais, responsabilização administrativa ou encerramento de relações com bancos correspondentes internacionais.
Item 10 – Conformidade com Sanções (Sanctions Compliance)
O décimo item é dedicado à avaliação da robustez do programa de conformidade com sanções econômicas, comerciais e financeiras internacionais, uma das áreas mais sensíveis e de alto impacto regulatório para instituições financeiras que operam no cenário global. O objetivo é verificar se a instituição possui políticas, sistemas e processos capazes de identificar, bloquear, relatar e prevenir transações que envolvam contrapartes, ativos, países ou setores econômicos sujeitos a sanções impostas por organismos multilaterais ou autoridades nacionais relevantes.
O questionário começa exigindo a confirmação de que a instituição possui uma política formal e abrangente de sanções, aprovada pela alta administração, com escopo claro e atualizado, cobrindo as principais jurisdições sancionadoras: Organização das Nações Unidas (ONU), Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC), União Europeia (EU), Reino Unido (HMT) e qualquer autoridade nacional com competência para impor sanções. Essa política deve abranger sanções financeiras, comerciais, setoriais e embargos específicos, e ser aplicável a todos os clientes, produtos e transações processadas pela instituição, inclusive para subsidiárias e parceiros terceirizados.
Em seguida investiga se a instituição dispõe de sistemas automatizados de verificação em listas (screening) para identificação de nomes, entidades, navios, endereços ou outras variáveis associadas a listas de sanções. Esses sistemas devem operar em tempo real tanto no onboarding quanto na execução de transações, e ser integrados aos sistemas de core banking, pagamentos, custódia, câmbio e câmaras compensadoras. A ausência de integração ou o uso de sistemas não parametrizados corretamente pode gerar falhas na detecção de transações proibidas, resultando em violações graves e penalidades severas por autoridades internacionais.
Outro aspecto crítico é a existência de controles de prevenção contra evasão de sanções, como o uso de intermediários não identificados, reenvio de fundos por meio de países terceiros, alteração de metadados de pagamentos ou uso de criptoativos para mascarar a titularidade da transação. A instituição deve demonstrar que realiza análises transacionais com base em tipologias de evasão, aplica regras de comportamento (rules-based detection) e realiza investigações internas em casos suspeitos.
O questionário também exige que a instituição informe se mantém presença física, filiais, escritórios de representação ou relações de correspondência em jurisdições sancionadas. A existência de tais operações pode representar risco extremo, exigindo controles adicionais, autorização regulatória explícita ou, em certos casos, descontinuação da operação. Além disso, a instituição deve comprovar que realiza atualizações periódicas dos sistemas de triagem com listas atualizadas, bem como treinamentos regulares sobre sanções para os colaboradores envolvidos em processos sensíveis.
Do ponto de vista do banco correspondente, a análise dessa seção é determinante para decidir sobre a continuidade da relação. Qualquer falha sistêmica na política ou nos controles de sanções pode expor o banco correspondente a co-responsabilização, multas bilionárias e danos reputacionais, como ocorreu em casos emblemáticos envolvendo instituições que inadvertidamente processaram transações para regimes sancionados, como Irã, Coreia do Norte, Síria, Sudão ou Venezuela. Por isso que as instituições que não adotam uma postura de tolerância zero com violação de sanções são frequentemente excluídas de redes bancárias internacionais.
No Brasil a Lei nº 13.810 atribui competência ao Bacen e à CVM para implementar sanções determinadas pelo Conselho de Segurança da ONU, e exige que instituições financeiras bloqueiem e comuniquem imediatamente qualquer ativo ou transação relacionada a pessoas ou entidades sancionadas. A não conformidade pode implicar responsabilização direta dos administradores, multas e medidas restritivas pelo regulador, além de consequências reputacionais significativas. As instituições que atuam como correspondentes bancários de entidades internacionais devem demonstrar aderência a múltiplas jurisdições sancionadoras, mesmo que os atos não sejam formalizados na legislação nacional, ampliando o escopo de controle necessário.
Item 11 – Treinamento e Educação (Training & Education)
O décimo primeiro item investiga a estrutura, abrangência, frequência e efetividade dos programas de capacitação e treinamento da instituição em temas relacionados à prevenção à lavagem de dinheiro (PLD), combate ao financiamento do terrorismo (CFT), sanções econômicas, anticorrupção e fraudes. A lógica desse item é garantir que a cultura de conformidade esteja disseminada em todas as áreas da empresa, e não restrita às áreas técnicas de PLD e Riscos, e que os treinamentos não sejam apenas formais ou esporádicos, mas estruturados e ajustados ao risco das funções desempenhadas.
O questionário solicita que a instituição confirme a existência de programas obrigatórios de treinamento, com frequência mínima (geralmente anual), que contemplem todos os funcionários, incluindo colaboradores de primeira linha (front office), áreas operacionais, gestão de produtos, atendimento ao cliente, auditoria, compliance, TI, jurídico, além da alta administração e membros do conselho. É essencial que o conteúdo seja customizado por perfil funcional, pois a exposição ao risco e a natureza das responsabilidades variam conforme a área. Por exemplo os profissionais que atuam em onboarding de clientes devem receber treinamentos aprofundados sobre due diligence, enquanto áreas de tesouraria e câmbio devem compreender as tipologias mais relevantes de lavagem e evasão de sanções.
Outro ponto avaliado é se a instituição realiza treinamentos específicos para áreas de PLD/CFT, sanções, compliance e anticorrupção, com conteúdo técnico atualizado, casos práticos, jurisprudência, exigências regulatórias e exercícios de simulação. Esse tipo de treinamento especializado é essencial para garantir a capacitação técnica da segunda linha de defesa e sua atuação efetiva no desenho, monitoramento e avaliação dos controles internos.
O questionário também analisa se os treinamentos abrangem terceiros contratados, consultores, prestadores de serviços e representantes comerciais, especialmente quando estes atuam em atividades críticas, com acesso a dados sensíveis, contato com clientes ou participação em processos de onboarding, comercialização de produtos, movimentação financeira ou execução de pagamentos. A exclusão de terceiros do escopo de treinamento representa uma lacuna importante, sobretudo considerando os riscos associados à terceirização de funções relevantes.
Além disso o questionário exige que a instituição mantenha registros formais de treinamentos realizados, com evidência de frequência, conclusão, avaliação de assimilação de conteúdo e mecanismos de cobrança para aqueles que não completarem a capacitação no prazo estipulado. A presença de um sistema de gestão de treinamentos, com controle centralizado, certificação e módulos obrigatórios, é considerada boa prática. Outro elemento relevante é a inclusão de indicadores de efetividade dos treinamentos, como testes pós-módulo, análise de incidentes relacionados a falhas de conduta após o treinamento ou resultados de avaliações periódicas de cultura de compliance.
Para a instituição correspondente que realiza a due diligence, a análise dessa seção permite avaliar a maturidade da cultura organizacional da instituição respondente, bem como o grau de internalização das políticas de integridade. Programas inexistentes, genéricos, esporádicos ou baseados exclusivamente em leitura passiva de políticas são insuficientes. Sinais de alerta incluem ausência de customização do conteúdo, falta de treinamento para diretores e conselheiros, inexistência de ações corretivas em caso de não participação e ausência de métricas de controle.
No contexto regulatório brasileiro a Circular nº 3.978 e o Decreto nº 11.129 (que regulamenta a Lei Anticorrupção) exigem que instituições supervisionadas disponham de programas de capacitação contínua, com cobertura de PLD/CFT, sanções e integridade, além de comprovarem que todos os envolvidos no processo possuem conhecimento adequado das suas responsabilidades. A realização periódica e documentada de treinamentos é condição necessária para demonstrar efetividade dos controles internos perante o Banco Central, COAF, CVM ou demais autoridades.
Item 12 – Garantia de Qualidade e Testes de Conformidade (Quality Assurance & Compliance Testing)
O décimo segundo item trata da existência e operacionalização de processos de revisão independente e contínua da efetividade dos controles internos e das políticas de compliance da instituição. Aqui, o foco está na função de Quality Assurance (QA) e Compliance Testing, ou seja na capacidade da instituição de detectar, corrigir e prevenir falhas sistêmicas por meio de avaliações regulares que sejam diferentes e independentes da função de auditoria interna.
O questionário busca entender se a instituição mantém uma estrutura formal de qualidade e teste de conformidade, separada da auditoria interna, geralmente localizada na segunda linha de defesa, com escopo definido, pessoal capacitado e atuação baseada em risco. Essa estrutura deve revisar de forma periódica os controles implementados nos programas de PLD/CFT, sanções, anticorrupção e prevenção à fraude.
A função não deve ser limitada a análise de políticas ou documentação, mas incluir testes práticos de efetividade operacional, como a simulação de transações suspeitas para verificar a detecção pelo sistema, a avaliação da tempestividade no reporte de atividades suspeitas, a revisão de processos de onboarding, incluindo verificação da documentação de clientes, e a avaliação de verificação em listas de sanções e integridade de mensagens de pagamento, e verificação da aplicação correta dos procedimentos de due diligence reforçado (EDD).
Além disso a estrutura de QA deve dispor de planos de revisão anuais baseados em risco, aprovados pela alta gestão ou pelo comitê de compliance, além de cronogramas definidos, checklists padronizados, critérios de avaliação e métricas objetivas. Os resultados devem ser documentados em relatórios formais, com atribuição clara de responsáveis por planos de ação corretivos e prazos para resolução das deficiências detectadas. A ausência de planos formais de remediação, ou a reincidência de falhas em áreas críticas, pode indicar ineficácia da função de QA e justificar escalonamento para a auditoria ou até suspensão de operações.
O questionario também analisa se os testes de conformidade são aplicados a processos de terceiros contratados, especialmente em situações em que atividades essenciais à execução dos controles foram terceirizadas (ex: onboarding digital, sistemas de triagem, monitoramento de transações). A responsabilidade da instituição contratante é plena, mesmo em casos de outsourcing, e a ausência de revisão sistemática dos prestadores de serviço é falha grave do ponto de vista regulatório e contratual.
Do ponto de vista da instituição que conduz a análise de due diligence, a existência de uma função de QA robusta e bem estruturada é um forte indicativo de maturidade em gestão de riscos e conformidade. Bancos que não possuem essa estrutura, ou que delegam totalmente a verificação da efetividade dos controles à auditoria interna, demonstram falhas na aplicação do modelo das três linhas de defesa. Sinais de alerta incluem falta de cronograma de revisões, ausência de testes documentados, inexistência de critérios objetivos de avaliação ou repetição de falhas ao longo do tempo.
No Brasi, a Resolução CMN nº 4.557 estabelece que as instituições devem manter estrutura de controle interno efetiva, independente e baseada em risco, com avaliações periódicas da efetividade dos controles de conformidade e de gestão de riscos. A Circular nº 3.978 por sua vez reforça a obrigação de adoção de mecanismos de monitoramento e verificação, devendo os controles de PLD/CFT ser auditáveis e revisados com periodicidade compatível ao risco. A ausência de estrutura formal de QA ou a dependência excessiva da auditoria interna compromete a credibilidade do sistema de compliance da instituição perante os órgãos de supervisão.
Item 13 – Auditoria (Audit)
O décimo terceiro item avalia a estrutura, abrangência, independência e efetividade da função de auditoria no âmbito do programa de conformidade da instituição financeira. A auditoria é considerada a terceira linha de defesa no modelo clássico de governança, tendo como principal responsabilidade a verificação independente da aderência aos marcos regulatórios, à legislação aplicável, às políticas internas e à efetividade dos controles operacionais.
O questionário começa solicitando que a instituição declare se possui programas de auditoria formalmente estruturados, documentados e com periodicidade definida, cobrindo de maneira abrangente os temas de prevenção à lavagem de dinheiro (PLD), financiamento ao terrorismo (CFT), sanções econômicas, combate à corrupção (ABC) e prevenção à fraude. Tais auditorias devem contemplar tanto a análise documental e normativa, quanto testes operacionais para avaliar se os procedimentos definidos estão, de fato, sendo cumpridos na prática pelas áreas responsáveis.
É exigido que a auditoria seja conduzida por uma estrutura independente da gestão operacional e da função de compliance, reportando-se diretamente ao comitê de auditoria, ao conselho de administração ou, nos casos de instituições menores, a um órgão de governança equivalente. A independência funcional e hierárquica é essencial para garantir a isenção das avaliações, a profundidade das análises e a credibilidade dos achados. A simples existência de uma área de auditoria formal não basta, é preciso demonstrar que ela possui autonomia para investigar falhas, recursos técnicos e humanos adequados, escopo baseado em risco e poder para recomendar ações corretivas e acompanhar sua implementação.
O questionário também investiga se a auditoria interna realiza revisões específicas de tecnologia e sistemas, com foco na validação de ferramentas críticas utilizadas nos programas de PLD/CFT, tais como: sistemas de onboarding digital, motores de triagem contra listas de sanções, sistemas de monitoramento de transações, motores de análise de risco de clientes e plataformas de gestão de alertas. A incapacidade de auditar essas ferramentas tecnológicas representa um risco elevado de falha sistêmica não detectada.
Além disso analisa se a auditoria realiza avaliações periódicas dos relatórios de risco, resultados de testes de compliance (QA), incidentes operacionais e relatórios de atividades suspeitas, de forma a verificar se os principais indicadores de risco estão sendo monitorados e se os planos de ação corretivos são implementados de forma tempestiva. Também é esperado que a função de auditoria possua um plano de auditoria baseado em risco (risk-based audit plan), aprovado anualmente, com foco nos processos e unidades mais expostos a riscos de integridade.
Na perspectiva do banco correspondente, a ausência de uma função de auditoria ativa, independente e tecnicamente capacitada representa um sinal de alerta crítico. Além disso é recomendável verificar se a instituição responde a findings recorrentes da auditoria, se há reincidência de falhas em áreas sensíveis, e se os prazos de remediação são respeitados. Um sistema de auditoria que apenas documenta problemas sem gerar correções efetivas compromete a credibilidade da instituição.
No contexto regulatório brasileiro a Resolução CMN nº 4.588 estabelece critérios mínimos para a função de auditoria interna nas instituições financeiras, incluindo independência, objetividade, abrangência de escopo e avaliação da efetividade dos controles internos. A Circular nº 3.978 por sua vez exige que o programa de PLD/CFT seja auditável e periodicamente revisado, incluindo as tecnologias de suporte, o que amplia a responsabilidade da auditoria na verificação da conformidade técnica. A ausência dessa função ou a sua ineficiência pode comprometer a capacidade da instituição de sustentar, perante o Bacen e contrapartes internacionais, a efetividade de seu sistema de controles.
Item 14 – Controles de Prevenção à Fraude (Fraud Controls)
O décimo quarto e último item concentra-se na avaliação dos mecanismos institucionais voltados à prevenção, detecção e resposta a fraudes internas e externas, um dos riscos operacionais mais prevalentes no setor financeiro. A fraude além de gerar perdas diretas, compromete a confiança no sistema financeiro, corrói a reputação institucional e, muitas vezes, está associada a esquemas de lavagem de dinheiro, corrupção e outras práticas ilícitas. Por isso inclui um bloco exclusivo para examinar a maturidade do programa antifraude da instituição respondente.
O questionário exige inicialmente a confirmação da existência de uma política institucional de prevenção à fraude, aprovada pela alta administração, com diretrizes claras sobre definição de fraudes, responsabilidades internas, canais de denúncia, processos de investigação, medidas disciplinares e integração com o programa de PLD/CFT. É esperado que a política cubra tanto fraudes internas (ex: desvio de recursos por funcionários, falsificação de documentos, abuso de acesso a sistemas) quanto fraudes externas (ex: identidade falsa, fraude em pagamentos, engenharia social, ataque cibernético, fraude documental em crédito ou onboarding).
Em seguida a instituição deve demonstrar que mantém uma estrutura dedicada à prevenção e investigação de fraudes, que pode estar localizada dentro da área de riscos, compliance ou segurança corporativa, mas que deve operar com independência funcional. Essa estrutura deve possuir capacidade técnica e tecnológica para identificar fraudes em tempo real, apurar eventos, conduzir investigações internas, implementar medidas corretivas e atuar em cooperação com órgãos reguladores, autoridades policiais e outras instituições financeiras, quando necessário.
O questionário também avalia se a instituição utiliza tecnologias de detecção de fraudes em tempo real, como sistemas antifraude integrados aos canais digitais, validação de transações com múltiplos fatores de autenticação, análise comportamental, machine learning, triangulação de dados e biometria. O uso de indicadores de risco (ex: IP suspeito, dispositivo desconhecido, geolocalização divergente, transações fora do padrão) é considerado uma boa prática. Adicionalmente a instituição deve informar se coleta dados adicionais relevantes, como endereço IP, geolocalização, identificação do dispositivo, sistema operacional e comportamento de navegação, para reforçar os controles de detecção de fraudes, especialmente em canais digitais e operações sensíveis.
Outro ponto relevante é a integração dos controles de fraude com os demais sistemas de conformidade, especialmente o monitoramento transacional e o sistema de alerta para atividades suspeitas. Muitos eventos de fraude são na realidade, precursores ou disfarces de atividades de lavagem de dinheiro, como no caso de utilização de documentos falsos para abertura de contas e posterior movimentação de recursos de origem ilícita. Portanto a integração entre os times de prevenção a fraude e PLD/CFT é considerada um indicativo de maturidade institucional.
Na perspectiva da instituição que conduz a due diligence, a ausência de um programa de prevenção à fraude estruturado, ou a existência de controles reativos e fragmentados, é um sinal crítico de deficiência. A incapacidade de detectar fraudes de forma preventiva e de responder rapidamente a incidentes pode indicar fragilidade operacional e tecnológica. Sinais de alerta incluem: ausência de função dedicada, inexistência de sistema antifraude, elevado número de chargebacks ou reclamações de clientes por transações não reconhecidas, e ausência de indicadores de desempenho para prevenção à fraude.
No Brasil, a Resolução CMN nº 4.557 e a Circular nº 3.978 impõem às instituições financeiras a obrigação de identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais, incluindo aqueles relacionados a fraudes internas e externas. A Lei nº 12.965 (Marco Civil da Internet), por sua vez, exige proteção dos dados pessoais e responsabiliza as instituições pela segurança das transações digitais. A não conformidade com essas exigências pode acarretar sanções administrativas, ações civis públicas, perda de relacionamento com bancos correspondentes e exposição a danos reputacionais significativos.
