Outro dia comentei sobre o questionário do The Wolfsberg Group, e hoje queria comentar sobre um segundo chamado: "FCCQ" sigla em inglês para: "Financial Crime Compliance Questionnaire", que é mais um instrumento padronizado desenvolvido pelo Wolfsberg Group como alternativa mais concisa e acessível ao questionário completo anterior chamado: "CBDDQ", sigla em inglês para "Correspondent Banking Due Diligence Questionnaire".
Sua finalidade principal deste agora é oferecer uma estrutura de autoavaliação simplificada, porém abrangente, voltada a instituições que mantêm relações bancárias com menor complexidade, menor volume de transações internacionais ou que não operam como bancos correspondentes, o que pode ser especialmente útil em contextos como: fintechs em expansão, instituições financeiras locais que não atuam como correspondentes, cooperativas de crédito, instituições de pagamento, gestoras, seguradoras e entidades sujeitas a regulação em uma única jurisdição.
Diferentemente do enorme CBDDQ que apresenta 130 perguntas distribuídas em 14 seções, o FCCQ é composto em uma versão reduzida por "apenas" aproximadamente 45 perguntas, distribuídas em seções temáticas que cobrem os pilares essenciais da conformidade contra crimes financeiros, em que estas áreas abordadas incluem desde estrutura institucional, passando pelas políticas e governança, prevenção à lavagem de dinheiro (PLD), combate ao financiamento do terrorismo (CFT), sanções, anticorrupção, KYC, prevenção à fraude, auditoria e treinamento, em que seu uso permite uma avaliação estruturada do nível de maturidade da instituição avaliada e serve como ferramenta de diligência prévia no estabelecimento de novos relacionamentos comerciais.
O FCCQ também contribui significativamente para aumentar a transparência, reduzir assimetrias de informação e padronizar processos de due diligence. Seu preenchimento, embora tecnicamente mais simples, não deve ser subestimado, pois continua exigindo de que a instituição conheça profundamente seus processos internos, possua políticas formais implementadas, consiga demonstrar efetividade de controles e, sobretudo, esteja em conformidade com os requisitos regulatórios aplicáveis em sua jurisdição.
É importante destacar que, embora o FCCQ não seja um instrumento legalmente mandatado, sua adoção é fortemente recomendada por boas práticas internacionais e pode ser considerada um elemento de mitigação de risco sob a ótica da supervisão baseada em risco. Instituições que não adotam qualquer modelo padronizado de autoavaliação de compliance ficam expostas a maiores exigências por parte de bancos parceiros, reguladores e investidores institucionais.
Item 1 das Informações Institucionais e Estrutura de Propriedade (Institution and Ownership Structure)
A primeira seção do FCCQ tem como propósito obter uma visão clara, objetiva e documentada da identidade legal e da estrutura societária da entidade avaliada. Esses dados são o ponto de partida para qualquer análise de risco de relacionamento financeiro, pois permitem a verificação da legitimidade da instituição, o mapeamento da cadeia de controle e a identificação de possíveis red flags associadas a estruturas jurídicas opacas, controladores não identificados ou vínculos com jurisdições de risco elevado.
A instituição deve declarar seu nome legal completo, conforme consta em seu registro societário ou licença regulatória, sem uso de nomes fantasia ou siglas. Em seguida deve informar o país de constituição, data de registro, endereços de sede legal e operacional (caso distintos), número de licença ou registro oficial, e quando aplicável o Legal Entity Identifier (LEI), código global emitido conforme os padrões definidos pela ISO 17442, utilizado para identificar entidades jurídicas em transações financeiras internacionais.
A ausência do LEI não é impeditiva, mas pode ser considerada uma limitação quando a instituição opera em mercados regulados ou com ativos mobiliários. A seção também exige a descrição da forma societária da instituição, indicando se se trata de empresa pública, privada, estatal, entidade mútua, cooperativa ou sociedade não empresarial. Essa definição é importante para determinar o grau de exposição a riscos de governança, a obrigatoriedade de divulgação de informações públicas, e o tipo de supervisão a que a entidade está sujeita.
No caso de instituições listadas em bolsa, é necessário declarar a bolsa de valores e o código de negociação (ticker), facilitando o cruzamento de dados com registros públicos e auditorias externas. Caso a instituição pertença a um conglomerado, holding ou grupo econômico, deve informar a controladora final, inclusive quando esta se localiza em jurisdição estrangeira.
A seguir o questionário exige a identificação dos beneficiários finais (UBOs), com percentual mínimo de participação direta ou indireta igual ou superior a 10%, conforme as melhores práticas do FATF. Esse ponto é crítico pois a opacidade na titularidade de instituições financeiras pode ser usada como estratégia para dissimular fraudes, lavagem de capitais ou evasão fiscal.
A instituição deve declarar se possui ou não ações ao portador, instrumento que dificulta a rastreabilidade dos titulares e é fortemente desincentivado por órgãos reguladores em todo o mundo. Outro aspecto relevante diz respeito à presença internacional da entidade, especialmente se mantém operações, subsidiárias ou escritórios em jurisdições de risco elevado, centros financeiros offshore ou países não cooperantes segundo o GAFI.
A presença da instituição ou de seus controladores em tais locais exige avaliação reforçada, pois pode indicar maior exposição a riscos regulatórios, de integridade ou de evasão de sanções. Caso a entidade opere com licenças bancárias virtuais ou regimes especiais (ex: bancos digitais, e-money institutions, bancos de nicho), essas informações devem ser fornecidas de forma transparente, com documentação complementar de respaldo legal.
Do ponto de vista da instituição que analisa o FCCQ, seja um banco parceiro, investidor, auditor ou agente regulador, essa seção permite avaliar o nível de transparência institucional, a adequação da estrutura societária e a capacidade de identificar os verdadeiros tomadores de decisão e controladores econômicos da operação. Sinais de alerta nessa seção incluem: estruturas societárias excessivamente complexas e não justificadas pelo modelo de negócio; UBOs ocultos ou vinculados a jurisdições opacas; presença de controladores em países com alto índice de corrupção; ausência de LEI em instituições com exposição internacional; e divergência entre o nome legal declarado e o utilizado nas operações de mercado.
Na realidade brasileira, essa seção se conecta diretamente aos requisitos da Circular nº 3.978, que exige a identificação dos beneficiários finais, inclusive com cruzamento de informações junto a registros oficiais (ex: Receita Federal, Junta Comercial, CVM). Além disso as entidades supervisionadas devem manter documentação atualizada sobre estrutura de propriedade e controle, com comprovação da capacidade de rastrear os reais responsáveis pelas decisões estratégicas da instituição.
Esta primeira parte do FCCQ embora introdutória é decisiva para validar a legitimidade institucional e estabelecer os parâmetros básicos de risco do relacionamento pretendido. A ausência de informações completas, ou a apresentação de dados genéricos e não verificáveis, pode ser suficiente para justificar a exigência de due diligence reforçado (EDD) ou até o não estabelecimento da relação.
Item 2 do Programa de PLD/CFT e Conformidade com Sanções Econômicas (AML)
A segunda seção do FCCQ é dedicada à análise do arcabouço institucional da entidade avaliada em relação à sua estrutura de prevenção à lavagem de dinheiro (PLD), combate ao financiamento do terrorismo (CFT) e conformidade com sanções econômicas internacionais. Esses três pilares compõem a espinha dorsal de qualquer programa de integridade e são exigidos pelas normas internacionais emitidas pelo GAFI/FATF, Basel Committee, OCDE, OCIF, além das diretrizes regionais e locais impostas por autoridades reguladoras como o Banco Central, a CVM, a SEC, a OFAC e a FCA.
O questionário inicia solicitando a confirmação da existência de um programa formal de PLD/CFT e Sanções, com políticas e procedimentos documentados, atualizados e aprovados pela alta administração da instituição. Tal programa deve abranger a totalidade das operações da entidade, com especial atenção a clientes, produtos, canais e geografias de maior risco. A ausência de um programa estruturado, ou a existência de documentos não atualizados ou limitados à forma, já configura um "red flag" de governança e pode ser indicativo de risco de não conformidade sistêmica.
A seguir o FCCQ busca verificar a existência de um executivo responsável formalmente designado para a função de PLD/CFT, normalmente chamado de MLRO (Money Laundering Reporting Officer) ou função equivalente. Esse profissional deve possuir autoridade funcional e hierárquica para aplicar medidas corretivas, interromper transações, reportar incidentes internamente e se comunicar com autoridades reguladoras e unidades de inteligência financeira (como o COAF, FinCEN, FCA ou FIU). A ausência de designação formal ou a limitação da autonomia do responsável por PLD/CFT enfraquece a capacidade institucional de resposta a incidentes críticos e evidencia fragilidade na segunda linha de defesa.
Outro ponto fundamental analisado é a abrangência dos procedimentos de Customer Due Diligence (CDD) e Enhanced Due Diligence (EDD). A instituição deve demonstrar que coleta, verifica e monitora informações dos clientes desde o onboarding até o encerramento da relação comercial, incluindo dados sobre identidade, beneficiário final, origem dos recursos, propósito da relação e perfil transacional esperado. Em casos de risco elevado, tais como Pessoas Politicamente Expostas (PEPs), entidades offshore, instituições que atuam com criptoativos, ONGs com atuação transfronteiriça, ou clientes que realizam transferências internacionais frequentes, devem ser adotadas medidas de diligência reforçada (EDD).
A ausência de critérios objetivos e escalonamento por risco evidencia ausência de abordagem baseada em risco (risk-based approach) e pode comprometer a eficácia de todo o programa de compliance.
O FCCQ também solicita informações sobre a existência de sistemas de verificação em listas de sanções, que lá fora o pessoal chama de: "sanctions screening", tanto no onboarding de clientes quanto no processamento de transações. A instituição deve operar com listas atualizadas de sanções emitidas por jurisdições como OFAC (EUA), ONU, União Europeia, Reino Unido (HMT) e outras autoridades relevantes, conforme sua área de atuação. É esperado que a verificação em listas seja automatizada, em tempo real, com alertas parametrizados e possibilidade de bloqueio ou rejeição de transações com base nas listas. A verificação manual, especialmente em instituições com grande volume de transações ou atuação internacional, é considerada insuficiente pelas boas práticas internacionais.
O uso de sistemas desatualizados, a ausência de calibração ou falhas recorrentes de bloqueio também representam riscos relevantes.
Adicionalmente o questionário avalia se a instituição realiza treinamentos periódicos e obrigatórios sobre PLD/CFT e sanções, dirigidos a todos os níveis da organização, incluindo a alta administração. A existência de treinamentos customizados por função, aplicação de testes de assimilação, manutenção de registros e indicadores de efetividade são considerados sinais de maturidade. A falta de treinamento ou a realização de capacitações meramente formais, com conteúdo superficial, é um indicativo de cultura de conformidade frágil.
Outro ponto de destaque é a existência de procedimentos formais de reporte de atividades suspeitas, aqui ao COAF, com canais internos definidos, critérios de escalonamento, tempos máximos de resposta e interface clara com as autoridades competentes. A instituição deve ser capaz de identificar, classificar e reportar transações suspeitas de forma tempestiva, com documentação suficiente e mecanismos de registro auditável. A ausência destes comunicados ao COAF ou de processo estruturado para seu envio pode ser sinal de deficiência sistêmica, especialmente em instituições com volume expressivo de operações ou exposição a mercados de risco.
Além disto o FCCQ questiona se a instituição implementa medidas preventivas contra práticas como data stripping, uso de intermediários não identificados, operações estruturadas, disfarce de titularidade ou transferências mascaradas por camadas de entidades jurídicas (layering). Essas práticas são frequentemente utilizadas para evasão de sanções e lavagem de capitais e exigem o uso de ferramentas analíticas, parametrizações nos sistemas e integração entre áreas de tecnologia, compliance e negócio.
Do ponto de vista de quem analisa o FCCQ, esta seção é uma das mais relevantes para determinar o nível de risco de integridade da contraparte. A ausência de qualquer um dos componentes centrais, como CDD estruturado, triagem de sanções, programa de reporte, treinamentos, supervisão formal, pode justificar a rejeição da relação, a exigência de due diligence reforçado ou a imposição de cláusulas contratuais específicas de mitigação. A maturidade do programa de PLD/CFT e sanções é o principal fator considerado por bancos correspondentes, autoridades reguladoras e auditores independentes na avaliação da continuidade ou início de relacionamento bancário.
No Brasil essa seção está fortemente vinculada ao cumprimento da Circular nº 3.978, que estabelece as diretrizes sobre políticas, procedimentos e controles internos para a prevenção da utilização do sistema financeiro para fins ilícitos. Além disso a Lei nº 13.810, que dispõe sobre o cumprimento de sanções impostas pelo Conselho de Segurança das Nações Unidas, exige que instituições bloqueiem imediatamente bens e ativos de pessoas ou entidades sancionadas, o que exige sistemas de triagem robustos, bem como processos de reporte consistentes.
Item 3 sobre a Prevenção à Corrupção e Suborno (Anti-Bribery & Corruption)
A terceira seção do FCCQ é dedicada à verificação da existência, abrangência e efetividade do programa de integridade voltado à prevenção de corrupção e suborno, conhecido internacionalmente como Anti-Bribery & Corruption ou apenas ABC Programme. Esse componente, apesar de muitas vezes tratado como uma área separada da prevenção à lavagem de dinheiro, é na verdade um vetor crítico e interdependente no sistema de combate aos crimes financeiros. As práticas de suborno, pagamento de vantagens indevidas, favorecimento ilícito e conflitos de interesse estão diretamente conectadas a estruturas de ocultação patrimonial, movimentações atípicas e esquemas transnacionais de lavagem de capitais.
O questionário solicita que a instituição informe se possui políticas formais e documentadas contra corrupção, suborno e práticas relacionadas, como pagamento de facilitação, presentes corporativos não autorizados, uso de terceiros intermediários para obtenção de vantagens indevidas ou desvio de recursos públicos. Essas políticas devem ser aprovadas pela alta administração e atualizadas regularmente, com linguagem clara, aplicabilidade objetiva e abrangência que contemple todos os funcionários, executivos, membros do conselho e terceiros contratados. Uma política genérica, pouco difundida ou sem mecanismos de monitoramento ativo é considerada insuficiente e representa risco de governança.
Outro aspecto central desta seção é a identificação de uma função formalmente responsável pelo programa de integridade, que pode estar alocada em compliance, jurídico ou em uma diretoria específica de riscos e governança. Essa função deve ter autonomia para revisar contratos, vetar contratações de terceiros com histórico problemático, aprovar exceções com base em critérios objetivos e reportar à alta administração casos de descumprimento ou fragilidade sistêmica. A inexistência de uma figura com autoridade institucional para conduzir o programa de integridade é um red flag relevante e pode indicar que as ações de prevenção à corrupção existem apenas no papel.
O FCCQ também questiona se a instituição realiza avaliações de risco periódicas em matéria de corrupção e suborno, com metodologias documentadas, escopo amplo e participação de áreas-chave como compliance, jurídico, auditoria e negócios. A avaliação de risco de corrupção (também chamada de ABC Risk Assessment) deve considerar os seguintes fatores:
Interação com agentes públicos (licitações, concessões, fiscalizações, subsídios);
Presença em países com alto índice de percepção de corrupção (ex: segundo o CPI da Transparency International);
Uso de terceiros para atividades críticas (ex: despachantes, consultores, representantes comerciais);
Práticas de hospitalidade, patrocínios, doações, contribuições políticas;
Existência de unidades de negócio com exposição a práticas de facilitação ou favorecimento.
Além disso o FCCQ exige a descrição dos mecanismos de controle e mitigação de riscos de suborno implementados pela instituição. Entre os controles esperados estão:
Política formal de presentes e hospitalidades, com limites monetários, aprovação hierárquica e registros documentados;
Due diligence prévia de terceiros e fornecedores, com análise de histórico reputacional, vínculos com PEPs, atuação em países de risco e inserção de cláusulas contratuais anticorrupção;
Processos formais de aprovação de patrocínios, doações e contribuições políticas, com rastreabilidade documental e análise prévia de risco;
Canal de denúncia anônima independente, com garantia de proteção ao denunciante e mecanismos de resposta documentada.
O programa de integridade também deve contemplar treinamentos obrigatórios e periódicos sobre corrupção e suborno, com conteúdo específico para diferentes níveis hierárquicos e áreas de atuação. Os treinamentos devem incluir exemplos práticos, jurisprudência, análise de casos reais, e testes de retenção de conhecimento. A ausência de treinamento ou a realização de sessões meramente formais, sem adaptação por função ou sem registro de conclusão, é sinal de programa ineficaz.
Do ponto de vista de quem analisa o FCCQ (ex: bancos parceiros, investidores, reguladores), esta seção permite avaliar o nível de comprometimento institucional com práticas éticas e de integridade. A ausência de política de integridade a inexistência de due diligence sobre terceiros, a falta de processo de aprovação de brindes e hospitalidades ou a ausência de avaliação de risco periódica são falhas que, se não corrigidas, podem inviabilizar a relação comercial, especialmente em operações internacionais que envolvem bancos sob fiscalização da OFAC, DOJ, SFO, FCA, BaFin, entre outros.
No Brasil, essa seção está diretamente vinculada à Lei nº 12.846 (Lei Anticorrupção), que impõe responsabilidade objetiva à pessoa jurídica por atos lesivos praticados contra a administração pública, nacional ou estrangeira. O Decreto nº 11.129, que regulamenta a lei, define os elementos essenciais de um programa de integridade efetivo, incluindo comprometimento da alta administração, análise de perfil e riscos, estrutura de controles internos, monitoramento contínuo e ações de capacitação. Além disso, a existência de um programa de integridade efetivo é considerada atenuante no cálculo de sanções em processos administrativos, conforme previsto na própria legislação.
O Item 3 do FCCQ funciona como um filtro para identificação de maturidade ética e de integridade institucional, sendo essencial para sustentar relações com contrapartes exigentes em temas ESG, com exposições regulatórias múltiplas ou que operam sob obrigações extraterritoriais como o FCPA (Foreign Corrupt Practices Act) ou o UK Bribery Act. A sua correta aplicação protege a instituição contra riscos legais, reputacionais e operacionais, e é cada vez mais vista como um fator estratégico de diferenciação e confiança no ambiente financeiro.
Item 4 sobre KYC, Monitoramento de Transações e Reporte de Atividades Suspeitas
A quarta seção do FCCQ trata de três componentes absolutamente críticos de qualquer programa de integridade institucional: o processo de conhecimento do cliente (KYC – Know Your Customer), o monitoramento das transações financeiras realizadas e o reporte tempestivo de operações suspeitas às autoridades competentes. Esses elementos são os que, em conjunto, permitem a aplicação efetiva da abordagem baseada em risco recomendada pelas 40 Recomendações do GAFI e exigida por todos os marcos regulatórios sérios, incluindo as normas do Banco Central do Brasil, da CVM, da FINCEN, da FCA e demais autoridades de supervisão.
O processo de KYC não se limita à coleta documental de dados cadastrais no momento de abertura da conta. Ele envolve, fundamentalmente, a formação de um perfil de risco da contraparte, com base em múltiplas dimensões: natureza da atividade econômica, origem e destino de recursos, estrutura societária, participação em mercados regulamentados, uso de produtos financeiros complexos, canais de acesso, presença internacional, e histórico reputacional.
O FCCQ exige que a instituição informe se possui políticas formais e procedimentos operacionais documentados de identificação e verificação de clientes, com escopo que cubra tanto pessoas físicas quanto jurídicas, incluindo beneficiários finais (UBOs), representantes legais e terceiros autorizados. A verificação documental deve envolver a análise de autenticidade, validade, consistência e adequação da documentação fornecida, cruzando dados com fontes oficiais (como registros públicos, bases governamentais, listas restritivas, cadastros de PEPs, entre outros). Em clientes corporativos, o processo de KYC deve incluir a compreensão da estrutura de propriedade e controle, identificação de controladores indiretos e de beneficiários com participação igual ou superior a 10% conforme o padrão do FATF, e a verificação da existência de vínculos com jurisdições de risco elevado. A ausência de política de identificação de beneficiários finais é considerada falha crítica de conformidade.
Outro aspecto abordado nesta seção é a classificação de risco dos clientes, com base em critérios objetivos e revisões periódicas. Instituições maduras aplicam modelos de risco parametrizados, segmentando sua base de clientes em categorias como: “baixo”, “médio” e “alto risco”, e ajustando o nível de due diligence aplicável conforme a classificação atribuída. Para clientes de alto risco, tais como PEPs, ONGs internacionais, empresas com presença em paraísos fiscais, operadores de ativos virtuais ou clientes que movimentam valores atípicos sem justificativa econômica, a instituição deve aplicar procedimentos de due diligence reforçado (EDD – Enhanced Due Diligence). Esse procedimento envolve a obtenção de informações adicionais, análise da origem dos recursos, comprovação da licitude da atividade, aprovação por comitê ou alta administração e monitoramento contínuo mais intensivo.
O FCCQ também analisa a existência de revisões periódicas das informações cadastrais e do perfil de risco dos clientes, com frequência proporcional ao risco atribuído. A simples coleta de documentos no onboarding, sem atualizações regulares, é considerada prática deficiente, pois impede a identificação de alterações relevantes (mudança de controladores, envolvimento em sanções, mudança no padrão de movimentações).
Após a identificação e qualificação do cliente, o próximo pilar abordado é o monitoramento de transações. O questionário exige que a instituição informe se possui sistemas de monitoramento automatizados, parametrizados com base em perfis de risco e integrados ao core bancário, capazes de identificar transações incomuns, padrões atípicos, estruturação de operações e movimentações incompatíveis com o perfil econômico declarado. O sistema deve permitir a geração de alertas, investigação interna e, quando necessário, escalonamento para o reporte às autoridades. Esse monitoramento deve abranger as principais variáveis de risco: volume, frequência, país de origem/destino, natureza dos produtos utilizados, canais (presencial, digital, por terceiros), beneficiário da transação e finalidade declarada.
É esperado que o sistema aplique regras baseadas em tipologias de lavagem de dinheiro, além de modelos estatísticos, análise de comportamento e, nas instituições mais avançadas, algoritmos de machine learning para detecção de anomalias.
A instituição deve demonstrar que mantém equipes dedicadas à análise dos alertas gerados, com formação técnica e autonomia para investigar e, se necessário, escalar os casos. É essencial que haja segregação de funções, ou seja, quem realiza o monitoramento não deve ser o mesmo que aprova ou executa as transações, a fim de evitar conflitos de interesse. O sistema deve manter registro auditável de todas as transações analisadas, decisões tomadas, justificativas documentadas e comunicações realizadas.
Além disto o FCCQ trata do processo de reporte de atividades suspeitas ao COAF. A instituição deve comprovar que possui fluxos definidos para comunicação de operações suspeitas, com prazos compatíveis às exigências regulatórias, canais de reporte interno bem definidos, procedimentos formais de documentação e envio de relatórios às autoridades competentes. No caso do Brasil, a autoridade competente é o COAF, e o reporte deve ser realizado por meio do Siscoaf, observando os prazos legais estabelecidos pela Resolução COAF nº 36 e a Circular Bacen nº 3.978. A ausência de comunicações de operações suspeitas por longos períodos, em instituições com volume significativo de transações ou perfil de risco relevante, pode indicar deficiência grave no programa de PLD/CFT.
Da mesma forma, comunicações feitas apenas após identificação de incidentes públicos, ou motivadas por exigência de contrapartes, são evidência de ausência de controle proativo.
É esperado que a instituição mantenha estatísticas agregadas de alertas gerados, investigações conduzidas, SARs enviados, e ações corretivas implementadas.
Do ponto de vista de quem analisa o FCCQ, a solidez dessa seção é essencial para mensurar a capacidade real da instituição de conhecer, monitorar e reagir às movimentações dos seus clientes. Sinais de alerta incluem: ausência de sistema automatizado de monitoramento; falta de classificação de risco de clientes; inexistência de política de EDD; nenhum reporte de operação suspeita nos últimos anos; ou falhas recorrentes nos cadastros de clientes. Esses elementos, se presentes, podem indicar exposição a riscos não mitigáveis e, consequentemente, justificar a rejeição do relacionamento pretendido ou a exigência de due diligence reforçado.
No Brasil as exigências de KYC, classificação de risco, monitoramento e reporte estão estabelecidas com alto grau de rigor pela Circular nº 3.978, além das normas complementares do COAF, do BACEN e da CVM. A inobservância dessas normas pode levar à imposição de sanções administrativas, multas, ações judiciais e restrições operacionais, além de comprometer a reputação da instituição junto ao mercado e a seus pares internacionais.
Item 5 e a Prevenção à Fraude (Fraud Prevention)
A quinta seção do FCCQ é dedicada à análise da estrutura de prevenção, detecção e resposta a fraudes implementada pela instituição, reconhecendo que o risco de fraude em suas diversas formas, é um dos principais vetores de perdas financeiras, comprometimento reputacional e, frequentemente, um fator precursor de lavagem de dinheiro, corrupção ou manipulação contábil. As boas práticas internacionais, bem como as normativas de órgãos reguladores como o Banco Central do Brasil, FCA, EBA, FINCEN e BaFin, reconhecem a prevenção à fraude como uma função central da governança de risco operacional, exigindo controles sistematizados e integrados à cultura organizacional.
O FCCQ inicia solicitando à instituição que confirme a existência de um programa formal de prevenção à fraude, com políticas, procedimentos e responsabilidades claramente definidos. Essa política deve ser aprovada pela alta administração, atualizada regularmente e disseminada a todos os colaboradores. O programa deve contemplar a prevenção de fraudes internas (praticadas por funcionários, ex-funcionários ou prestadores de serviço), fraudes externas (praticadas por terceiros, clientes, fraudadores especializados), fraudes digitais (em canais eletrônicos, aplicativos, plataformas online), e fraudes híbridas ou estruturadas, como as praticadas em conluio entre clientes e colaboradores, ou via engenharia social.
A instituição deve indicar se possui uma função ou área dedicada exclusivamente à prevenção e investigação de fraudes, dotada de autonomia, recursos técnicos, capacidade investigativa e acesso aos dados transacionais, cadastrais e comportamentais dos clientes. Idealmente, essa área deve operar com independência da primeira linha de negócio e da área de compliance, reportando-se diretamente à alta administração ou ao comitê de riscos. A ausência de estrutura dedicada, especialmente em instituições com canais digitais ou produtos de alto risco, é considerada fragilidade relevante.
Outro aspecto central abordado é o uso de tecnologias antifraude. O FCCQ questiona se a instituição utiliza ferramentas especializadas para detecção de fraudes em tempo real, com base em parâmetros de risco, comportamento anômalo, padrões transacionais e cruzamento de variáveis técnicas. Entre os controles esperados estão:
Análise de IP, geolocalização, dispositivo e sistema operacional;
Reconhecimento facial, biometria comportamental e autenticação multifatorial (MFA);
Machine learning supervisionado para detecção de padrões fraudulentos;
Sistemas de scoring antifraude integrados ao onboarding e à execução de transações;
Bloqueio automático de transações ou sessões em caso de detecção de anomalias.
O questionário também analisa se a instituição realiza coleta e registro sistemático de dados técnicos de autenticação e comportamento, como por exemplo data/hora de acesso, geolocalização, tipo de navegador, tempo médio de navegação, padrões de digitação, entre outros. A análise desses dados permite construir perfis de comportamento e identificar desvios em tempo real, especialmente em canais digitais. A não coleta desses dados em ambientes sensíveis indica ausência de maturidade tecnológica na prevenção de fraudes.
Outro elemento essencial diz respeito aos procedimentos de investigação de fraudes detectadas ou reportadas. A instituição deve demonstrar que possui mecanismos internos para escalonamento de alertas, condução de apurações, coleta de evidências, aplicação de medidas disciplinares e reporte às autoridades competentes. Deve haver integração entre os times de fraude, compliance, jurídico, segurança da informação e auditoria, sempre que um incidente for identificado. A ausência de processo formal de apuração, ou a existência de casos recorrentes não tratados adequadamente, pode configurar deficiência de governança e gerar risco de exposição legal.
Além disso o FCCQ exige que a instituição promova treinamento e capacitação periódica sobre prevenção à fraude, direcionado a todas as linhas de defesa, com foco em sensibilização, reconhecimento de sinais de alerta e boas práticas operacionais. A realização de simulações, testes antifraude e campanhas educativas é altamente recomendada, especialmente em canais digitais, onde o fator humano continua sendo uma vulnerabilidade crítica.
Do ponto de vista de quem avalia o FCCQ, esta seção é determinante para entender a resiliência da instituição frente a fraudes digitais, estruturadas ou sofisticadas. Sinais de alerta incluem: inexistência de ferramenta antifraude; falta de integração entre sistemas; elevada taxa de chargebacks ou reclamações; ausência de canal de denúncias específico para fraudes; ou inexistência de treinamentos específicos. Tais fragilidades, combinadas com presença digital relevante, representam riscos elevados e frequentemente não mitigáveis sem ações corretivas substanciais.
No Brasil a Resolução CMN nº 4.557 obriga as instituições financeiras a manterem sistemas eficazes de gerenciamento de risco operacional, o que inclui a prevenção e resposta a fraudes. A Circular Bacen nº 3.978 por sua vez exige que os controles internos estejam alinhados à complexidade da instituição e às exposições de risco identificadas, sendo obrigatório o monitoramento de comportamentos atípicos e a manutenção de registros para investigação. Adicionalmente, normas como a Resolução CMN nº 4.893, voltada à segurança cibernética, reforçam a obrigatoriedade de controles técnicos e organizacionais voltados à integridade das operações em ambientes digitais.
O Item 5 do FCCQ funciona como uma métrica direta da maturidade da segunda e terceira linha de defesa contra fraudes. Sua análise deve considerar não apenas a existência formal de políticas, mas a implementação de sistemas, processos e cultura de prevenção, sendo essa seção particularmente crítica para instituições com operação digital intensiva, grande base de clientes, canais terceirizados ou produtos de alto risco (ex: crédito, pagamentos instantâneos, investimentos online).
Item 6 sobre a Auditoria Interna (Internal Audit)
O sexto e último item do FCCQ trata da função de auditoria interna, responsável por executar avaliações independentes da efetividade dos controles internos, da conformidade com as políticas institucionais e das obrigações legais e regulatórias da instituição, que é a terceira linha de defesa do modelo de governança e gestão de riscos recomendado por organismos internacionais como o Comitê de Basiléia, o IIA (Institute of Internal Auditors), o GAFI/FATF e o próprio Wolfsberg Group. A função de auditoria é, portanto, essencial para atestar se os controles implementados pelas áreas operacionais (primeira linha) e supervisionados por PLD, compliance e riscos (segunda linha) estão realmente funcionando e se são eficazes diante da natureza e complexidade das exposições assumidas.
O FCCQ exige que a instituição declare se mantém uma estrutura formal de auditoria interna, com independência funcional e hierárquica em relação às áreas auditadas. Essa estrutura deve reportar diretamente ao conselho de administração, ao comitê de auditoria ou a uma instância equivalente de governança. A simples vinculação administrativa ao presidente ou à diretoria executiva, sem canal de reporte independente à alta governança, fere os princípios da imparcialidade e da autonomia e representa uma limitação grave ao escopo da auditoria.
Além disso a auditoria interna deve operar com base em um plano anual de auditoria baseado em risco (Risk-Based Audit Plan), aprovado pela instância de governança competente, com cobertura de todos os processos críticos e áreas de risco elevado, como:
Prevenção à Lavagem de Dinheiro (PLD/CFT);
Conformidade com sanções internacionais;
Programas anticorrupção e de integridade;
Prevenção à fraude;
Processos de onboarding e KYC;
Monitoramento de transações e reporte de atividades suspeitas;
Segurança da informação e controle de acessos;
Terceirização de atividades sensíveis.
O questionário também investiga se a auditoria interna conduz testes de efetividade dos controles, ou seja, se a avaliação vai além da verificação da existência formal de políticas e procedimentos, avaliando a execução prática, a aderência ao que está previsto e os resultados operacionais. Por exemplo uma auditoria de PLD eficaz não se limita a revisar o manual da política mas verifica:
Se os sistemas de monitoramento transacional estão parametrizados adequadamente;
Se os alertas são tratados dentro dos prazos definidos;
Se os reportes ao COAF foram realizados corretamente;
Se há documentação de suporte às decisões tomadas;
Se os treinamentos foram realizados e seus registros mantidos.
Outro aspecto central é a independência técnica e a capacitação da equipe de auditoria. Os auditores devem possuir conhecimento técnico especializado sobre os temas avaliados (compliance, riscos, controles, tecnologia, contabilidade, segurança cibernética, etc.), acesso irrestrito a documentos, sistemas e pessoas, e estar livres de conflitos de interesse. A rotatividade da equipe, a subutilização da função ou a ausência de formação técnica específica são sinais de fragilidade organizacional.
O FCCQ ainda busca verificar se a auditoria interna realiza follow-up estruturado dos achados, ou seja, se há processo formal para acompanhar o cumprimento dos planos de ação derivados dos relatórios de auditoria, com prazos definidos, responsáveis identificados e penalidades em caso de não atendimento. Também é considerado positivo quando a auditoria revisita os processos auditados para verificar se as medidas corretivas foram de fato implementadas e se surtiram os efeitos esperados.
Do ponto de vista da instituição que analisa o FCCQ, a ausência de auditoria interna independente, ou a existência de uma estrutura inoperante, que apenas revisa documentos de forma esporádica, indica uma falha de governança profunda. Em operações internacionais ou em relacionamento com bancos correspondentes, a existência de uma função de auditoria forte é fator-chave de decisão para manutenção do relacionamento, pois atesta a capacidade da instituição de autoavaliar-se criticamente e evoluir seus controles preventivos.
Na realidade regulatória brasileira a Resolução CMN nº 4.588estabelece os requisitos mínimos da função de auditoria interna para instituições financeiras, incluindo independência, abrangência e avaliação dos processos de controles internos e gerenciamento de riscos. A Circular nº 3.978 reforça a exigência de que os sistemas de PLD/CFT sejam auditáveis e periodicamente avaliados quanto à sua efetividade. Já a Resolução CMN nº 4.557 que trata do gerenciamento integrado de riscos e de capital, define a necessidade de revisão independente da estrutura de gerenciamento e dos controles internos, especialmente em instituições sujeitas ao Acordo da Basileia.
Portanto o Item 6 do FCCQ permite aferir com precisão a maturidade do sistema de governança da instituição, especialmente em sua capacidade de monitorar-se de forma independente, documentar suas deficiências, implementar ações corretivas e evoluir seus processos internos. Uma função de auditoria bem estruturada e tecnicamente capacitada é um indicativo de resiliência organizacional, cultura de integridade e robustez de controles, sendo cada vez mais um requisito mínimo para instituições que desejam operar em nível global ou manter relações com parceiros exigentes em termos de compliance.
Adaptação do FCCQ à Realidade Regulatória Brasileira
A aplicação do FCCQ por instituições que operam no Brasil exige atenção ao alinhamento com as normas e exigências das autoridades reguladoras locais, principalmente Banco Central do Brasil (BACEN), Conselho de Controle de Atividades Financeiras (COAF) e Comissão de Valores Mobiliários (CVM). Apesar do FCCQ ter origem internacional, sua estrutura conceitual é compatível com a regulação nacional, desde que observados alguns pontos de contextualização, que vou tentar resumir abaixo:
PLD/CFT: No Brasil, a Circular nº 3.978 do Bacen estabelece os parâmetros técnicos obrigatórios para a política de PLD/CFT, incluindo os requisitos de avaliação de risco, classificação de clientes, identificação de UBOs, monitoramento de transações e reporte de operações suspeitas ao COAF. A Resolução COAF nº 36 complementa com exigências operacionais e prazos.
Sanções Econômicas: A Lei nº 13.810 trata da internalização obrigatória das sanções do Conselho de Segurança da ONU e obriga instituições a bloquearem ativos e reportarem imediatamente ao Bacen e ao COAF. A ausência de mecanismos automatizados de triagem contra listas de sanções pode configurar infração à norma brasileira, ainda que a legislação internacional também exija esse controle.
Anticorrupção: A Lei nº 12.846 (Lei Anticorrupção), regulamentada pelo Decreto nº 11.129, define os parâmetros de um programa de integridade. Dessa forma, as seções do FCCQ que exigem políticas anticorrupção, due diligence de terceiros, controles sobre doações, patrocínios e interações com o setor público encontram paralelo direto na legislação brasileira e devem ser tratadas com igual rigor.
Prevenção à Fraude: A Resolução CMN nº 4.893 exige que instituições mantenham estruturas de segurança cibernética compatíveis com seus riscos, o que abrange sistemas antifraude, autenticação forte, análise comportamental e proteção de dados. A ausência desses controles pode ser vista como falha operacional grave, mesmo em instituições de menor porte.
KYC e Monitoramento de Transações: A estrutura de onboarding, classificação de risco e monitoramento transacional, conforme exigida pelo FCCQ, está totalmente alinhada com a Circular nº 3.978. No entanto o padrão exigido pelas instituições internacionais pode ser mais elevado em termos tecnológicos (ex: uso de IA, integração com bases externas, análise comportamental), e as instituições brasileiras devem estar preparadas para justificar eventuais diferenças com base na proporcionalidade regulatória.
Auditoria Interna: A Resolução CMN nº 4.588 regula a função de auditoria interna, que deve ter independência, escopo definido por risco e plano de ação com follow-up formal. O FCCQ pressupõe o cumprimento desses requisitos como condição mínima para avaliação positiva.
Assim o preenchimento do FCCQ por instituições brasileiras deve ser feito com atenção à tradução dos conceitos internacionais para os referenciais normativos locais, sempre que possível anexando os documentos comprobatórios relevantes, como políticas de PLD/CFT, plano de auditoria, relatórios de avaliação de risco, estruturas de compliance e governança, e evidências de reporte ao COAF.
