Queria comentar sobre um tema importante abordado no recém divulgado Guia de Práticas da Supervisão do Banco Central (GPS) na parte relacionada ao departamento de Conduta (Decon), abordando especificamente a Lavagem de Dinheiro (LD) e o Financiamento do Terrorismo (FT), que destaca a importância de processos robustos de identificação e qualificação dos clientes (KYC) pelas instituições financeiras, que estão detalhados na Circular 3978 de janeiro de 2020. Este documento acaba se tornando uma referência para todas áreas de PLD, gestão de riscos, controles internos e auditoria seguir.
Sabemos bem que esta circular 3978 representa um marco regulatório no que se refere às políticas, procedimentos e controles internos a serem implementados por entidades financeiras, com o objetivo de prevenir a prática de crimes de lavagem de dinheiro e financiamento do terrorismo, conforme estabelecido pela Lei nº 9.613 de 1998 e pela Lei nº 13.260 de 2016, pois ela trata de dois principais conceitos, que são a definição de diretrizes na Política de PLD/FTP, e depois os procedimentos de conhecimento sobre os clientes.
O Bacen está de olho aqui em 2 temas relevantes que são: a abrangência e a efetividade das políticas internas de PLD, incluindo a definição de diretrizes claras e a implementação de medidas adequadas ao perfil e ao risco de exposição da instituição, ou seja, o que está escrito na política, é a realidade praticada no dia a dia, assim como os procedimentos de conhecimento do cliente (KYC), em que quer ver se verificamos a existência e a aplicação de procedimentos específicos para a identificação e a qualificação dos clientes.
Em relação aos procedimentos de identificação do cliente, são essenciais para assegurar a veracidade da identidade do cliente, seja pessoa física ou jurídica, ou seja, o famoso "cara-crachá", onde a obtenção do CPF ou CNPJ, a partir do próprio cliente, constitui a base desses procedimentos, devendo ser seguida por etapas de verificação e validação, ou seja, o Decon vai avaliar a segurança e a adequação dos métodos utilizados para a obtenção do CPF ou CNPJ, garantindo que o cliente seja devidamente identificado. Vai verificar se os métodos de coleta de informações são apropriados e se garantem a obtenção direta dos dados do cliente.
A circular enfatiza a necessidade de obtenção dessas informações diretamente do cliente, independentemente do canal de atendimento, e a importância de validar esses dados por meio de fontes confiáveis e distintas, garantindo assim que o número de identificação pertença efetivamente à pessoa que se apresenta como cliente. O Decon vai então examinar a eficácia dos processos de verificação e validação dos dados coletados, assegurando que sejam realizados por meio de fontes confiáveis e independentes. Ele vai querer ver se você bate o que o cliente declara e mostra, contra bases de dados públicas ou privadas ou com documentos físicos ou eletrônicos, até e a confrontação da biometria obtida do cliente (p.e., biometria facial) com bases públicas ou privadas, ou por meio de qualquer outro meio lícito para a finalidade almejada.
Outro ponto relevante abordado neste documento, é que além da identificação, a qualificação do cliente é importante, e visa coletar dados complementares essenciais tanto para a conformidade com os requisitos de PLD quanto para a manutenção das relações de negócio.
A Circular 3.978 especifica os dados obrigatórios de qualificação, como informações financeiras e locais de residência ou operação. O processo de coleta desses dados deve ser direto, com a subsequente aplicação de procedimentos de verificação e validação proporcionais ao risco apresentado pelo cliente. Isso inclui, por exemplo, a análise de condições de pessoas expostas politicamente (PEP).
Quanto maior o risco, mais amplo e robusto deve ser o conjunto de dados adicionais de qualificação, daí a importância de ter isto bem definido e formalizado com base no risco, alinhado com a Avaliação Interna de Risco e com as categorias de risco ali definidas.
O Bacen vai olhar a abrangência dos dados de qualificação coletados, assegurando que sejam suficientes para uma avaliação adequada do perfil do cliente, além de examinar a coleta dos dados obrigatórios especificados pela circular e a adequação dos dados adicionais coletados com base no risco associado ao cliente.
Os dados obrigatórios de qualificação do cliente são:
- Os dados de capacidade financeira do cliente, incluindo a renda, no caso de pessoa física, ou o faturamento, no caso de pessoa jurídica;
- Os dados do local de residência, no caso de pessoa física, ou da sede ou filial, no caso de pessoa jurídica;
- Os dados de identificação e qualificação do beneficiário final, no caso de pessoa jurídica;
- A verificação da condição do cliente como pessoa exposta politicamente (PEP), bem como a verificação da condição de representante, familiar ou estreito colaborador de PEP.
A manutenção de uma base de dados cadastrais de clientes atualizada e completa é fundamental para o cumprimento das exigências das normas de PLD, e a responsabilidade pela qualidade, integridade e completude desta base recai sobre o diretor de PLD da instituição, refletindo a importância de um gerenciamento adequado dos dados obtidos através dos procedimentos de identificação e qualificação.
Outro ponto que o regulador vai olhar é o envolvimento ativo das segundas e terceiras linhas de defesa, incluindo as atividades de PLD, conformidade, controles internos e auditoria interna, pois são relevantes para assegurar a aderência às normativas estabelecidas. A circular faz um apelo à observância rigorosa das diretrizes estipuladas, ressaltando que as orientações presentes no GPS não são exaustivas e devem ser complementadas pela legislação vigente.
Vejam mais detalhes em: