A avaliação de risco relacionado ao combate à lavagem de dinheiro (ML) e financiamento ao terrorismo (TF) desempenha um papel importante na gestão de riscos, em especial nas instituições financeiras e outras empresas reguladas.
Este processo envolve a identificação e análise dos riscos inerentes, a avaliação da eficácia dos controles internos e a determinação dos riscos residuais, além de implementar medidas adicionais quando necessário.
O que vemos de conversas com o regulador, que tem olhado com cuidado como os bancos estabeleceram estruturas e processos para conduzir a gestão de riscos de lavagem e compliance, é a constatação de que a qualidade das avaliações varia significativamente entre as instituições, onde, segundo nos falam, alguns bancos implementaram boas práticas, como o uso de ferramentas quantitativas eficazes para detectar riscos de ML/TF, enquanto outros precisavam melhorar bastante a supervisão da gestão destes riscos, incluindo a metodologia e a implementação dos processos e sistemas.
Queria comentar abaixo especificamente sobre alguns pontos que acho relevantes:
A Alta Gestão Mantém Supervisão Ativa sobre a Gestão dos Riscos e PLD:
A alta gestão é responsável por supervisionar ativamente os frameworks e processos de gestão de riscos e PLD, garantindo conformidade com os avisos e diretrizes do regulador.
Mas o que na prática vemos acontecer em muitos casos é que a alta gestão aprovava as classificações e políticas finais, sem, infelizmente, entender completamente como essas foram definidas, faltando inclusive uma documentação robusta para rastreamento para auditorias. A supervisão eficaz inclui a implementação de medidas de controle para abordar lacunas identificadas e a monitoração contínua de seu status em relação às metas estabelecidas.
A prática recomendada é que a alta gestão conduza discussões detalhadas sobre as classificações de risco e os processos, garantindo que a gestão de riscos e o PLD não sejam tratados como um exercício mecânico, mas sim como um processo estratégico essencial para a gestão de riscos de ML/TF.
Desafios Comuns:
- Discussões superficiais ou inexistentes em comitês de gestão sobre os resultados das avaliações, com decisões finais sendo tomadas sem uma compreensão completa de como os resultados foram alcançados.
- Falta de documentação robusta que rastreie as discussões e decisões, comprometendo a rastreabilidade e a governança.
Práticas Recomendadas:
- A alta gestão deve demonstrar envolvimento direto e compreensão profunda das avaliações de risco, direcionando a implementação de medidas de mitigação conforme necessário.
- Os comitês de gestão devem promover discussões regulares e abrangentes sobre os resultados do risco e PLD, incorporando pontos de vista diversos para enriquecer as decisões.
- Documentação detalhada e acessível deve ser mantida, fornecendo uma trilha de auditoria clara para responsabilização.
Estruturas e Processos Sistemáticos para Avaliar Riscos Inerentes, Eficácia de Controles e Riscos Residuais:
Os bancos devem adotar metodologias sólidas e sistemáticas para identificar e analisar os riscos inerentes de ML/TF, avaliar a eficácia dos controles e determinar os riscos residuais.
O que mais vemos acontecer por aí é que algumas instituições incluem fatores irrelevantes ou omitem fatores relevantes em suas avaliações de risco, o que resulta em classificações imprecisas.
Para abordar isso, os bancos precisam revisar periodicamente suas metodologias de classificação de risco para garantir sua precisão e relevância, além de reavaliar as pontuações de risco após eventos materiais ou mudanças significativas no ambiente operacional.
Desafios Comuns:
- Metodologias de avaliação de risco mal desenhadas, que podem incluir fatores irrelevantes ou omitir fatores críticos.
- Aplicação genérica de templates de EWRA para diferentes linhas de negócios, sem ajustes específicos para os riscos de cada área.
Práticas Recomendadas:
- Metodologias devem ser adaptadas a cada linha de negócios, garantindo que fatores específicos, como o tipo de cliente, produto e região, sejam adequadamente considerados.
- A revisão periódica das metodologias deve ser uma prática padrão, para assegurar que elas permaneçam relevantes e precisas à medida que as circunstâncias e os riscos evoluem.
- Cada risco identificado deve ter uma ponderação bem justificada, levando em consideração a gravidade do risco e a eficácia das medidas de controle aplicadas.
Análises Qualitativas e Quantitativas Adequadas e Precisas:
Uma combinação de análises qualitativas e quantitativas é importante para compreender os riscos de ML/TF. Algumas instituições financeiras dependem excessivamente de análises qualitativas, o que limita sua compreensão detalhada dos riscos. Além disso, falhas e omissões nas avaliações, como erros de fórmulas e entradas de dados incorretas, são coisas comuns de vermos por aí.
Por isso é recomendável que os bancos utilizem ferramentas de análise de dados para aprimorar suas avaliações quantitativas e melhorem a integração de métricas quantificáveis, como percentuais de clientes de alto risco ou transações em países de alto risco. A aplicação de dados robustos pode fornecer uma visão mais detalhada da exposição aos riscos.
Desafios Comuns:
- Dependência excessiva de análises qualitativas, sem suporte de dados quantitativos robustos, o que limita a profundidade da análise.
- Falta de integração de dados de diferentes sistemas, dificultando a aplicação de ferramentas analíticas avançadas.
Práticas Recomendadas:
- Ferramentas de análise de dados devem ser usadas para capturar, consolidar e analisar grandes volumes de dados relacionados a transações, tipos de clientes e produtos de risco elevado.
- Bancos devem desenvolver métricas precisas e específicas para monitorar fatores de risco como a quantidade de clientes politicamente expostos (PEPs), o volume de transações com países de alto risco e o número de novos clientes de alto risco.
- A automação e o uso de inteligência artificial (IA) podem melhorar a capacidade de realizar análises de grandes volumes de dados de forma mais eficiente e precisa.
Avaliação da Eficácia dos Controles, Incluindo Testes e Avaliações Culturais:
A eficácia dos controles deve ser avaliada com base em políticas, procedimentos, resultados de testes de controle e insights sobre a cultura organizacional. A inclusão de resultados de testes de controle na gestão de riscos também de PLD pode ser considerada uma prática importante para refletir como os controles estão sendo implementados na prática. No entanto, ainda vemos algumas instituições falhando em realizar testes regulares por uma função independente, o que compromete a identificação de riscos.
Os bancos devem garantir que os testes de controle sejam realizados de forma consistente pela segunda linha de defesa, como o departamento de compliance, e incorporar esses resultados no processo de avaliação para fortalecer a eficácia geral dos controles.
Desafios Comuns:
- Falta de realização de testes regulares dos controles por funções independentes, como a segunda linha de defesa (compliance).
- A dependência excessiva de políticas e frameworks sem avaliação prática da implementação dos controles pode mascarar falhas.
Práticas Recomendadas:
- Testes regulares dos controles devem ser realizados pela segunda linha de defesa para identificar riscos emergentes de ML/TF e testar a eficácia dos controles implementados.
- Os resultados dos testes de controle devem ser formalmente incorporados no processo da gestão dos riscos para garantir uma avaliação ampla e baseada em evidências.
- Bancos devem incluir a avaliação da cultura de compliance e integridade, pois esses fatores têm impacto direto sobre a eficácia dos controles e o comportamento de adesão às políticas.
Processos Sistemáticos para Estabelecer e Implementar Medidas de Controle:
Os bancos devem adotar processos sistemáticos para identificar e implementar medidas de controle para lidar com as áreas de melhoria identificadas. Falhas em acompanhar essas áreas podem resultar em riscos não mitigados.
E o que mais vemos por aí são alguns bancos não implementando metodologias apropriadas para rastrear a implementação das medidas corretivas, resultando em ações não concluídas.
A boa prática é estabelecer um processo formalizado que inclua a identificação de partes responsáveis, prazos de conclusão e atualizações regulares sobre o status das ações implementadas, com a supervisão da alta gestão.
Desafios Comuns:
- Falta de acompanhamento das medidas corretivas identificadas na gestão dos riscos de PLD, resultando em riscos residuais não mitigados.
- Falta de processos formais para acompanhar o status de implementação das ações e garantir a responsabilidade das partes envolvidas.
Práticas Recomendadas:
- Bancos devem estabelecer um processo estruturado para monitorar a implementação das medidas de controle, com definição clara de responsáveis, prazos e relatórios periódicos sobre o status das ações.
- O progresso na implementação das medidas deve ser regularmente comunicado à alta gestão, garantindo a supervisão contínua e a responsabilização pelas áreas de melhoria identificadas.
- A validação da eficácia das medidas de controle implementadas deve ser realizada para garantir que os riscos estejam sendo efetivamente mitigados.
Processos Estruturados para Realizar Análises de Lacunas e Incorporar as Lições Aprendidas:
Os bancos devem realizar análises de gaps, garantindo que as melhores práticas do setor sejam incorporadas aos seus processos.
Muitas vezes o que se vê na prática é, infelizmente, a ausência de processos estruturados para conduzir essas análises e manter a documentação adequada, o que expõe as instituições a riscos potenciais não detectados.
A recomendação é que os bancos mantenham processos consistentes para realizar essas análises de forma tempestiva e sistemática, garantindo que as lições aprendidas sejam deliberadas por fóruns de gestão e devidamente documentadas para fins de responsabilidade e retenção de conhecimento.
Desafios Comuns:
- A ausência de processos formais para conduzir análises de lacunas contra orientações regulatórias, resultando em falhas na detecção de áreas de risco emergente.
- Falta de documentação adequada sobre a análise de lacunas e as discussões realizadas, o que compromete a retenção de conhecimento institucional.
Práticas Recomendadas:
- Processos sistemáticos devem ser implementados para conduzir análises de lacunas regularmente, garantindo que as novas orientações sejam incorporadas à gestão dos riscos.
- As lições aprendidas e as melhores práticas devem ser deliberadas por fóruns de gestão e incorporadas às políticas e procedimentos de controle.
- A documentação adequada e detalhada das análises de lacunas realizadas deve ser mantida, garantindo rastreabilidade e a retenção de conhecimento para futuras auditorias e revisões.