Acredito de que o entendimento das Avaliações Nacionais de Risco, conhecidas globalente como National Risk Assessments, ou simplesmente no jargão de: "NRAs" é uma importante etapa fundamental para o fortalecimento dos regimes de prevenção à lavagem de dinheiro (PLD) e ao financiamento do terrorismo (FT), tanto no âmbito das políticas públicas quanto na estruturação dos programas internos de compliance das empresas sujeitas à regulação.
As NRAs são nas sua essência, ferramentas estratégicas de diagnóstico que permitem aos países identificar, quantificar e priorizar os riscos que ameaçam a integridade de seus sistemas financeiros e econômicos. Sua elaboração parte de uma exigência central do Grupo de Ação Financeira Internacional (GAFI/FATF), consagrada na Recomendação 1, que estabelece como premissa básica de qualquer sistema eficaz de PLD/FT a adoção de uma abordagem baseada em risco, então a lógica por trás dessa diretriz é simples e poderosa, de que os recursos institucionais, sejam estatais ou privados, são sempre finitos, e portanto devem ser alocados com base em critérios de risco, priorizando os setores, produtos, clientes ou canais que representem maiores ameaças potenciais de uso criminoso.
Nesse contexto uma NRA representa muito mais do que um relatório técnico, mas é um exercício estruturado, transversal e baseado em dados empíricos, conduzido em escala nacional, cujo objetivo é oferecer uma fotografia precisa do ecossistema de risco de lavagem de dinheiro e financiamento do terrorismo que afeta um determinado pais. Essa fotografia no entanto não é meramente descritiva, mas tem caráter operacional e normativo, servindo então como base para a construção de políticas públicas direcionadas, para a priorização da supervisão regulatória, para o fortalecimento de setores vulneráveis e, sobretudo, para guiar as instituições privadas, especialmente bancos, seguradoras, corretoras de valores, fintechs, corretoras de câmbio e empresas que atuam como prestadoras de serviços, na implementação de controles internos proporcionais, eficientes e sustentáveis. Podemos dizer então que a NRA é portanto um elo crítico entre o Estado e o setor privado no enfrentamento de crimes financeiros, promovendo não apenas segurança econômica, mas também confiança institucional e estabilidade sistêmica.
A primeira parte de qualquer NRA sólida começa pela delimitação conceitual clara do que ela é e do que se propõe a fazer, como um processo nacional, coordenado por uma autoridade central, normalmente uma Unidade de Inteligência Financeira (UIF - que aqui é o COAF), banco central ou comitê interinstituciona, que reúne e consolida dados oriundos de diversas fontes, incluindo forças policiais, autoridades fiscais, reguladores setoriais, instituições financeiras, empresas não financeiras designadas e, muitas vezes, organismos internacionais. A partir dessa coleta integrada de dados, o país realiza um processo analítico estruturado com o objetivo de identificar, avaliar e classificar seus riscos de lavagem de dinheiro e financiamento do terrorismo.
Essa avaliação segue um tripé metodológico amplamente consolidado internacionalmente, que começa com a análise de ameaças, vulnerabilidades e consequências. As ameaças dizem respeito às origens dos fundos ilícitos ou das fontes de financiamento ao terrorismo, como corrupção, fraude, tráfico de drogas, crimes ambientais, contrabando ou crimes cibernéticos. Cada país possui um perfil específico de ameaças, influenciado por fatores geográficos, institucionais, políticos e econômicos. Já as vulnerabilidades dizem respeito as fragilidades que tornam possível ou facilitam a ocorrência da lavagem de dinheiro ou do financiamento do terrorismo. Essas vulnerabilidades podem estar presentes na estrutura legal (por exemplo lacunas legislativas), no sistema financeiro (como o uso de instrumentos anônimos), no setor não financeiro (como o uso de imobiliárias ou de obras de arte), ou na governança institucional (como falhas de supervisão ou falta de coordenação entre agências). Por fim as consequências dizem respeito aos impactos concretos que a exposição a esses riscos pode gerar, incluindo impactos fiscais, econômicos, sociais, reputacionais e geopolíticos. A soma dessas três dimensões: ameaças, vulnerabilidades e consequências, permite que o país elabore um mapa de risco nacional, que será utilizado para orientar ações concretas de mitigação.
A qualidade e a utilidade prática da NRA dependem diretamente da robustez metodológica adotada. Em geral esse processo envolve o uso de dados quantitativos, como número de transações financeiras, volume de comunicações de operações suspeitas, estatísticas criminais, relatórios de inspeções e movimentações transfronteiriças. No entanto esses dados quantitativos precisam ser complementados por insumos qualitativos, como entrevistas com especialistas do setor público e privado, análises de caso, workshops multissetoriais e exercícios de validação interagencial. O Banco Mundial por exemplo disponibiliza um conjunto de ferramentas técnicas conhecido como "NRA Toolkit", que oferece modelos padronizados de planilhas, guias metodológicos e apresentações para facilitar a condução da NRA de forma estruturada, transparente e replicável.
Importante destacar que o produto final da NRA não deve ser um documento técnico hermético e de difícil compreensão, mas ao contrário a eficácia da NRA depende diretamente de sua capacidade de gerar impacto concreto sobre os atores que operam no sistema financeiro e na economia real. Para isso o relatório da NRA deve conter seções claras e práticas, como: um sumário executivo com os principais riscos e recomendações; um perfil de risco detalhado por setor, canal ou produto; planos de ação com medidas específicas de mitigação e prazos definidos; e uma descrição completa da metodologia e das fontes utilizadas, assegurando transparência e legitimidade.
A NRA deve ser entendida como um pilar central da governança de riscos de um país em matéria de crimes financeiros, aonde sua principal força reside na capacidade de articular atores diversos em torno de uma visão comum de risco, fornecendo uma linguagem única e dados compartilhados para orientar decisões de política pública, regulação, supervisão e compliance corporativo. Sua elaboração é complexa, exige coordenação, expertise técnica, engajamento multissetorial e compromisso político. Mas quando bem conduzida se transforma em uma poderosa alavanca de integridade institucional e de confiança internacional. É por essa razão que, cada vez mais, conselhos de administração, comitês de auditoria, CCOs e profissionais de PLD de ponta têm recorrido às NRAs como referência estratégica para a construção de programas de prevenção realmente efetivos e resilientes, capazes de enfrentar os riscos de um sistema financeiro em rápida transformação.
Dando continuidade à análise aprofundada, técnica e didática sobre as Avaliações Nacionais de Risco (NRAs), passamos agora ao propósito e os benefícios estratégicos que essas avaliações oferecem ao Estado, ao sistema financeiro, às empresas reguladas e à governança da integridade econômica de um país. A compreensão adequada dessa dimensão é essencial para que conselhos de administração, comitês de riscos, autoridades reguladoras, Unidades de Inteligência Financeira (UIFs) e profissionais de compliance compreendam por que investir tempo, recursos e esforços institucionais em uma NRA é uma ação com retorno estratégico — tanto do ponto de vista regulatório quanto da sustentabilidade financeira e reputacional da jurisdição.
O propósito principal de uma NRA é proporcionar ao país uma base analítica sólida para a formulação de políticas públicas eficazes de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, baseadas em evidências e com foco na proporcionalidade do risco. Em um cenário global cada vez mais exigente, onde o GAFI e os órgãos regionais de supervisão (como a AMLA europeia) demandam respostas concretas, atualizadas e coerentes com a complexidade dos riscos emergentes, a NRA surge como o instrumento técnico que permite transformar diretrizes genéricas em decisões operacionais localmente aplicáveis. Ou seja, ela traduz princípios normativos internacionais em estratégias nacionais pragmáticas, com foco em resultados.
Do ponto de vista governamental, as NRAs permitem ao Estado identificar com precisão os setores, produtos, canais e jurisdições que oferecem maior risco de serem utilizados por agentes criminosos. Isso possibilita uma melhor alocação dos recursos públicos de supervisão, inspeção e investigação, permitindo que os órgãos reguladores e policiais concentrem seus esforços onde há maior retorno esperado em termos de dissuasão e eficácia. Estamos falando então de uma ferramenta de racionalização do uso do aparato estatal, que evita a pulverização de ações e reforça a eficiência do sistema de defesa institucional contra o crime financeiro.
No plano setorial especialmente no que tange as instituições financeiras e as empresas sujeitas às normas de PLD/FT, a NRA fornece um referencial estratégico que orienta a elaboração, revisão e priorização dos programas internos de compliance. Ela funciona como um mapa de calor nacional, que sinaliza para as empresas onde estão os riscos mais relevantes que devem ser tratados com maior intensidade, seja por meio de controles mais robustos, diligência aprimorada, monitoramento transacional diferenciado ou processos internos mais rigorosos de aceitação de clientes e parceiros.
Além disso a NRA contribui diretamente para o fortalecimento dos processos de Customer Due Diligence (CDD), que são a base de qualquer programa eficaz de PLD/FT. Com base nas conclusões da NRA, as instituições podem, por exemplo, adotar abordagens de risco distintas para setores como prestadores de serviços com ativos virtuais (VASPs), transações com países de risco elevado, segmentos de clientes politicamente expostos (PEPs), ou operações envolvendo ativos de luxo, obras de arte e commodities valiosas. Da mesma forma as instituições podem ajustar seus modelos de reporte de atividades suspeitas (ROS) para refletir os padrões de risco identificados no diagnóstico nacional, melhorando tanto a qualidade quanto a tempestividade de seus relatórios às UIFs.
Outro benefício relevante das NRAs está no seu impacto sobre a proteção do sistema financeiro como um todo. Ao identificar pontos de fragilidade e áreas de exposição a riscos elevados, a NRA permite que medidas corretivas sejam adotadas antes que as vulnerabilidades sejam exploradas por redes criminosas ou terroristas. Isso contribui diretamente para a resiliência do sistema financeiro, reduzindo o risco sistêmico, protegendo investidores e assegurando a integridade dos fluxos financeiros internacionais. Países que conduzem NRAs bem estruturadas e atualizadas com frequência tendem a ser mais bem avaliados por organismos multilaterais, agências de rating e instituições financeiras internacionais, o que se traduz em maior confiança, menor risco-país e mais acesso ao financiamento externo.
Importante ressaltar também que a NRA tem função pedagógica e de alinhamento estratégico, pois envolve múltiplos atores como o governo, reguladores, setor privado, organismos multilaterais, em um processo colaborativo e baseado em dados, ela fortalece a cultura de risco e a maturidade institucional de todo país. A NRA promove um alinhamento conceitual e técnico entre os diversos elos da cadeia de defesa contra o crime financeiro, harmonizando vocabulários, metodologias e prioridades. Isso por si só já reduz ruídos regulatórios, evita assimetrias de interpretação e gera um ambiente mais previsível e confiável para os operadores econômicos.
Por fim a NRA é um instrumento de prestação de contas e de transparência. Quando divulgada de forma clara e pública (resguardando evidentemente os dados sensíveis), ela sinaliza ao mercado que o país leva a sério seu compromisso com a integridade financeira. Isso pode ser decisivo, por exemplo para evitar o isolamento bancário de determinados países (fenômeno conhecido como "de-risking"), manter relações com bancos correspondentes, atrair investimentos internacionais e participar de iniciativas globais de cooperação técnica e compartilhamento de inteligência.
Então o propósito de uma NRA vai muito além de atender formalmente a uma exigência do GAFI, mas se trata de um instrumento estratégico multifuncional, que beneficia o Estado, o mercado, as empresas reguladas, os consumidores e a própria reputação internacional da jurisdição. Uma NRA bem conduzida, tecnicamente robusta, metodologicamente coerente e politicamente respaldada tem o poder de transformar um sistema de PLD/FT reativo e fragmentado em uma engrenagem coordenada, responsiva e orientada por dados, capaz de enfrentar com inteligência os desafios cada vez mais complexos da criminalidade financeira transnacional.
Queria falar agora da evolução histórica e regulatória das Avaliações Nacionais de Risco (NRAs), até para contextualizar como as NRAs se consolidaram como instrumento obrigatório e estruturante dentro do ecossistema regulatório internacional de prevenção à lavagem de dinheiro (PLD) e ao financiamento do terrorismo (FT). Entender essa trajetória permite compreender não apenas as exigências atuais, mas também as tendências futuras e as pressões normativas que moldam a atuação de reguladores, supervisores e instituições financeiras em todo o mundo.
O surgimento formal das Avaliações Nacionais de Risco vem da revisão de 2012 das Recomendações do Grupo de Ação Financeira Internacional (GAFI), especificamente à Recomendação 1, que introduziu o princípio da “abordagem baseada em risco” como elemento central de qualquer regime de PLD/FT eficaz. Até então os programas nacionais e corporativos de combate à lavagem de dinheiro seguiam, em sua maioria, modelos padronizados e generalistas, com pouca diferenciação setorial ou geográfica e sem instrumentos robustos de priorização. Essa abordagem estava demonstrando limitações claras: o aumento da complexidade das estruturas criminosas, a internacionalização das redes de lavagem e o surgimento de novas tecnologias exigiam respostas mais sofisticadas e ajustadas à realidade de cada jurisdição.
Foi nesse contexto que o GAFI reformulou suas diretrizes para exigir que os países não apenas adotassem medidas contra LD/FT, mas que as fundamentassem em diagnósticos próprios e estruturados sobre seus riscos reais e específicos. Nascia assim a exigência da elaboração periódica de "Avaliações Nacionais de Risco". que mais do que simples relatórios formais, deveriam servir agora como base técnica para a formulação de políticas públicas, desenvolvimento regulatório, atuação supervisora e conformidade empresarial. O objetivo era claro de evitar desperdício de recursos, garantir proporcionalidade regulatória e promover maior eficácia na mitigação de riscos.
Com a publicação da versão revisada das Recomendações do GAFI, os países iniciaram, em ritmos diferentes, seus processos de internalização e aplicação prática da Recomendação 1. Os Estados Unidos por exemplo tradicionalmente à frente em temas de integridade financeira, foram um dos primeiros a adotar a nova orientação, publicando sua "National Money Laundering Risk Assessment" inaugural em 2015. Esse documento analisou riscos setoriais com base em dados criminais, financeiros, regulatórios e institucionais, servindo de modelo para outras jurisdições. O Reino Unido por sua vez passou a produzir suas próprias NRAs com base em amplas consultas públicas e envolvimento do setor privado, consolidando uma tradição de transparência e alinhamento entre políticas públicas e atores de mercado. Brasil também! Em paralelo países emergentes como os Emirados Árabes Unidos, Cingapura e Maurício também aderiram à prática muitas vezes impulsionados por avaliações mútuas do GAFI que identificavam a ausência de abordagens baseadas em risco como fator crítico de não conformidade.
Com o avanço das práticas e a maturação institucional dos países, surgiu a necessidade de ferramentas técnicas padronizadas que facilitassem a implementação das NRAs, especialmente em países com capacidades institucionais limitadas. Foi nesse contexto que o Banco Mundial lançou ainda lá em 2012, o primeiro NRA Toolkit que é um pacote metodológico composto por guias práticos, planilhas em Excel, modelos de apresentação e orientações passo a passo para conduzir avaliações nacionais de risco com consistência, qualidade e comparabilidade internacional. Essa iniciativa teve enorme impacto, pois democratizou o acesso ao conhecimento técnico necessário para realizar uma NRA de padrão internacional, inclusive em países em desenvolvimento. O NRA Toolkit passou então a ser adotado como referência básica por diversas jurisdições em sua primeira geração de diagnósticos.
A partir de 2015 a evolução das ameaças financeiras e a incorporação de novas tecnologias ao sistema financeiro global levaram a uma nova onda de revisões e aprimoramentos nos instrumentos de NRA. A crescente popularização dos ativos virtuais como as criptomoedas, e o uso de estruturas corporativas opacas em jurisdições offshore, além do financiamento ao extremismo violento por meio de redes descentralizadas e o uso de plataformas digitais para movimentações financeiras anônimas criaram um novo conjunto de riscos que desafiaram os modelos tradicionais de avaliação. Em resposta o GAFI e o Banco Mundial atualizaram suas diretrizes para incluir elementos como riscos cibernéticos e uso de tecnologia emergente, prestadores de serviços de ativos virtuais (Virtual Asset Service Providers – VASPs), pessoas jurídicas e arranjos legais de difícil rastreabilidade, fluxos financeiros ilícitos em organizações sem fins lucrativos e crimes ambientais como fonte de lavagem de dinheiro.
Com isso foram lançados a partir de 2022 módulos específicos do NRA Toolkit, como a Ferramenta de Avaliação de Risco de VASPs, a Ferramenta para Avaliação de Pessoas Jurídicas, a Ferramenta para Riscos Ambientais e outras, permitindo que os países aprofundassem seus diagnósticos com foco setorial e temático, respondendo de maneira mais ajustada à realidade concreta dos novos riscos emergentes.
Paralelamente o que vimos foi o avanço de ferramentas tecnológicas para análise preditiva de riscos, como o uso de inteligência artificial, mineração de dados e algoritmos de detecção de anomalias aplicados aos comunicados ao COAF de operaçoes suspeitas. Essa evolução tecnológica começou a ser incorporada pelos países mais avançados, como Cingapura cuja NRA de 2024 integrou análises automatizadas de grandes volumes de dados, possibilitando identificar padrões suspeitos que escapariam a revisão manual.
Outros avanços institucionais relevantes ocorreram em paralelo, como o fortalecimento das parcerias público-privadas para compartilhamento de informações de risco, a criação de grupos interagenciais permanentes (como o Risk and Typologies Inter-Agency Group de Cingapura), e a harmonização regional das NRAs, como ocorre no contexto da futura Anti-Money Laundering Authority (AMLA) da União Europeia, que visa consolidar uma avaliação conjunta de riscos em nível continental, permitindo respostas coordenadas e integradas entre os Estados-membros.
Portanto a evolução das Avaliações Nacionais de Risco reflete não apenas uma exigência formal do GAFI, mas um processo contínuo de adaptação institucional e tecnológica diante das dinâmicas sofisticadas da criminalidade financeira. As NRAs tem se tornarado ao longo da última década, o principal instrumento de interface entre o conhecimento técnico sobre riscos e a formulação de políticas públicas eficazes. Sua função não se limita mais ao diagnóstico; elas passaram a ser utilizadas como mecanismos de coordenação estratégica, instrumentos de transparência regulatória, e referência para a autoavaliação das empresas que buscam manter-se em conformidade com padrões globais.
Para os conselhos de administração, comitês de auditoria, chief compliance officers e reguladores do setor financeiro, acompanhar essa evolução é imperativo. Ignorar o conteúdo e as tendências das NRAs é se expor não apenas ao risco de sanções regulatórias, mas também à obsolescência de práticas de compliance em face de riscos que evoluem em ritmo acelerado. Em contrapartida ao integrar os avanços das NRAs aos programas internos de governança e controles representa uma oportunidade estratégica de robustecer a cultura de integridade, garantir resiliência institucional e posicionar a empresa de forma diferenciada no ecossistema financeiro global.
Queria agora abordar o tema da estrutura de governança, os mecanismos de coordenação institucional e os principais atores envolvidos na preparação e execução das NRAs. Esta etapa é determinante para garantir a legitimidade, a efetividade e a aplicabilidade prática dos diagnósticos gerados, uma vez que o grau de participação, engajamento e articulação entre os diferentes órgãos e setores envolvidos define diretamente a profundidade da análise, a qualidade dos dados coletados e, sobretudo, o alinhamento entre os achados da NRA e as políticas públicas subsequentes.
A preparação de uma Avaliação Nacional de Risco não é, e aliás nem deve ser responsabilidade de uma única entidade ou órgão estatal, mas é um exercício interinstitucional, transversal e colaborativo, que demanda a integração entre diferentes competências técnicas, visões setoriais e bases de dados, além de um alto grau de coordenação e legitimidade política. Por essa razão a maioria dos países que implementam NRAs adota um modelo de liderança centralizada sob uma autoridade nacional de referência, com apoio formal de um comitê coordenador e a participação de múltiplos stakeholders públicos e privados.
A liderança formal da NRA, conhecida como lead authority, varia de acordo com o arranjo institucional de cada país. Na maioria dos casos, esse papel é exercido por Unidades de Inteligência Financeira (UIFs), bancos centrais, ministérios da economia ou da justiça, ou ainda por comitês nacionais interministeriais dedicados à prevenção da lavagem de dinheiro e do financiamento do terrorismo. Independentemente da entidade responsável, o fator crítico de sucesso reside na capacidade dessa liderança de garantir a participação ativa e colaborativa dos demais atores relevantes, assegurar a coleta de dados sensíveis, preservar a integridade metodológica do processo e gerar consensos operacionais.
No campo dos stakeholders, o elenco de participantes deve ser amplo e diversificado. A participação de autoridades policiais, como unidades de combate ao crime organizado, à corrupção, ao tráfico e ao terrorismo, é indispensável, pois são elas que detêm o conhecimento direto sobre as dinâmicas criminosas e as rotas de escoamento de recursos ilícitos. Reguladores setoriais, como autoridades de supervisão bancária, de seguros, do mercado de capitais, de fintechs e de criptoativos, também devem contribuir ativamente, pois conhecem os produtos, canais e práticas operacionais dos setores que regulam. As próprias instituições financeiras devem estar envolvidas, seja diretamente (por meio de contribuições técnicas) ou indiretamente (por meio de entrevistas, questionários ou workshops), uma vez que são responsáveis por boa parte das comunicações de operações suspeitas e detêm dados valiosos sobre padrões transacionais, perfis de clientes e usos atípicos de produtos.
Importante destacar também o papel dos chamados setores não financeiros designados (Designated Non-Financial Businesses and Professions – DNFBPs), que, embora muitas vezes negligenciados em regimes regulatórios tradicionais, são reconhecidamente vulneráveis à lavagem de dinheiro. Isso inclui corretores de imóveis, advogados, auditores, leiloeiros, comerciantes de metais preciosos, operadores de jogos e loterias, e estruturas societárias complexas como holdings e trustes. A participação desses atores nas NRAs é crucial para identificar os riscos ocultos fora do sistema financeiro tradicional, especialmente em economias que registram alto volume de transações em dinheiro, informalidade ou uso de estruturas legais para fins ilícitos.
O envolvimento de órgãos fiscais, autoridades aduaneiras, departamentos de registro comercial, procuradorias, defensorias públicas e até mesmo universidades e centros de pesquisa pode complementar o processo, fornecendo dados sobre crimes antecedentes à lavagem de dinheiro, evasão fiscal, fluxos internacionais, fraudes em comércio exterior e lacunas legais estruturais. Além disso a inclusão de organismos internacionais como o Banco Mundial, o FMI, o Escritório das Nações Unidas sobre Drogas e Crime (UNODC) e organismos regionais pode contribuir com benchmarks, apoio técnico e validação metodológica.
A complexidade e a variedade de atores envolvidos impõem a necessidade de uma estrutura de governança formal, com definição clara de papéis, responsabilidades e cronogramas. É comum que os países criem comitês interinstitucionais permanentes, com coordenação central e grupos técnicos temáticos ou setoriais, responsáveis por consolidar dados, produzir relatórios setoriais e validar hipóteses analíticas. Esses comitês devem operar com base em normas procedimentais que garantam transparência, confidencialidade, independência analítica e capacidade de resposta às exigências do GAFI. A ausência de um modelo formal de governança tende a produzir avaliações fragmentadas, enviesadas ou sem efetiva aplicabilidade prática, comprometendo sua utilidade.
Outro ponto fundamental na governança da NRA é a existência de mecanismos de validação e revisão interagencial. O processo de avaliação de riscos exige julgamentos técnicos e decisões metodológicas que, se não forem validadas por múltiplos atores, podem gerar distorções relevantes na classificação de riscos e, por consequência, em políticas públicas inadequadas. A existência de um processo formal de revisão cruzada das análises, com documentação técnica robusta, controle de qualidade dos dados e arbitragem de divergências, contribui significativamente para a credibilidade e a aceitação do resultado final.
Vale ainda destacar que uma boa governança da NRA não se encerra com a publicação do relatório. Ao contrário, os países mais avançados mantêm estruturas permanentes de atualização contínua dos dados, revisão periódica das conclusões e acompanhamento sistemático da implementação dos planos de ação derivados da avaliação.
A qualidade e a efetividade de uma Avaliação Nacional de Risco dependem, em larga medida, da robustez de sua estrutura de governança. Sem uma liderança técnica e política forte, sem coordenação interinstitucional eficaz e sem envolvimento significativo dos setores regulados e dos demais stakeholders, a NRA corre o risco de tornar-se um documento decorativo, sem impacto real. Já quando bem governada, a NRA se transforma em um instrumento vivo de orientação estratégica, cuja legitimidade deriva justamente da multiplicidade de vozes e da pluralidade de saberes que a constituem.
Vamos falar agora do conteúdo que é analisado e avaliado no processo de uma NRA, mostrando aqui a importância para profissionais de risco, compliance, regulação e inteligência financeira, pois trata dos três pilares centrais da análise de risco utilizada no modelo consagrado pelo GAFI: ameaças, vulnerabilidades e consequências. Cada um desses elementos carrega implicações práticas diretas sobre o desenho dos programas de prevenção à lavagem de dinheiro e financiamento do terrorismo, a priorização de recursos supervisores, o foco da due diligence de clientes e a formulação de políticas públicas setoriais.
O primeiro componente de uma Avaliação Nacional de Risco é a análise das ameaças, entendidas como as fontes potenciais ou reais de recursos financeiros ilícitos que podem ser introduzidos no sistema econômico do país com o objetivo de ocultar sua origem, disfarçar sua propriedade ou financiar atividades criminosas. As ameaças são inerentemente externas ao sistema financeiro. ou seja dizem respeito às atividades delituosas que produzem recursos a serem lavados, como o tráfico de drogas, a corrupção pública, o contrabando, os crimes cibernéticos, o tráfico de pessoas, os crimes ambientais, a extorsão, o financiamento ao terrorismo, entre outros. A natureza e intensidade dessas ameaças variam significativamente entre os países, dependendo de fatores como geografia, estabilidade política, estrutura econômica, fronteiras porosas, presença de organizações criminosas ou radicais, grau de informalidade da economia e volume de transações em espécie.
A identificação das ameaças deve ser feita com base em dados empíricos sempre que possível. Isso inclui estatísticas de apreensões, investigações policiais em curso, processos judiciais, relatórios de inteligência, fluxos financeiros transfronteiriços, registros de movimentações atípicas, dados de comércio exterior, entre outros. Um exemplo prático é se um áís registra aumento significativo nas apreensões de drogas em seus portos, associado a um crescimento das operações em dinheiro em determinadas áreas comerciais, isso pode indicar uma ameaça concreta associada ao tráfico de drogas e à posterior tentativa de lavagem por meio de empresas de fachada ou de setores de alta rotatividade. A robustez da análise de ameaças é essencial para evitar que os esforços de combate à lavagem de dinheiro se concentrem em áreas de baixo impacto enquanto fontes reais de recursos ilícitos permanecem desconsideradas ou subestimadas.
O segundo componente da NRA são as vulnerabilidades. Ao contrário das ameaças, que dizem respeito à origem externa dos fundos ilícitos, as vulnerabilidades tratam das fragilidades internas ao sistema institucional, legal e financeiro que podem ser exploradas para permitir ou facilitar a lavagem de dinheiro e o financiamento do terrorismo. São pontos de permeabilidade, lacunas regulatórias, falhas de supervisão, baixa capacidade de detecção ou ausência de mecanismos de controle. As vulnerabilidades podem estar presentes tanto no setor financeiro (ex: instituições não sujeitas à regulação, produtos de alta liquidez, uso de tecnologias disruptivas sem supervisão adequada), quanto no setor não financeiro (ex: uso de imobiliárias, obras de arte, estruturas societárias pouco transparentes), ou ainda na governança pública (ex: falta de coordenação entre agências, base legal insuficiente, baixa capacidade investigativa).
A análise das vulnerabilidades exige um olhar crítico e sistêmico sobre a arquitetura legal e operacional do país. Exemplos práticos de vulnerabilidades relevantes incluem: ausência de exigência de beneficiário final em registros empresariais, anonimato em transações de criptoativos, deficiências nos programas de PLD de casas de câmbio, baixa taxa de reporte de operações suspeitas por determinados setores, ou mesmo a existência de mecanismos informais de transferência de valores (como hawala ou hand-carry money). A compreensão das vulnerabilidades permite às autoridades reguladoras e supervisores setoriais direcionarem reformas normativas, programas de capacitação e inspeções in loco com foco nos pontos críticos identificados.
O terceiro pilar da avaliação é o das consequências. Ainda que uma ameaça exista e que o sistema apresente vulnerabilidades, é necessário compreender quais são os efeitos práticos da ocorrência desses riscos, e qual a magnitude do dano que pode ser gerado à jurisdição em termos econômicos, políticos, sociais e reputacionais. As consequências de uma estrutura de lavagem de dinheiro ou financiamento do terrorismo não mitigada podem ser profundas: distorção de mercados legítimos, fomento à economia paralela, aumento do risco-país, perda de confiança internacional, redução de investimentos, exclusão bancária, deterioração do ambiente institucional e até impactos sobre a segurança pública e a estabilidade nacional.
A análise de consequências pode envolver modelagens de impacto econômico, simulações setoriais, estudos comparativos com outras jurisdições e avaliação da interconectividade entre setores críticos. Em países altamente dependentes de exportações de commodities, por exemplo, um escândalo de lavagem de dinheiro envolvendo o setor pode comprometer contratos comerciais, linhas de crédito e a própria imagem internacional da indústria. Em países com relevância estratégica no combate ao terrorismo, uma estrutura frágil de controle de movimentações financeiras pode ser explorada para viabilizar ataques ou apoiar grupos extremistas, com repercussões geopolíticas graves.
Ao integrar esses três elementos: ameaças, vulnerabilidades e consequências a NRA permite a construção de um perfil de risco nacional que identifica não apenas onde estão os riscos mais elevados, mas também quais são as prioridades de intervenção. Essa priorização é expressa nas conclusões da NRA e serve de base para os planos de ação regulatórios e para os programas internos de conformidade das empresas sujeitas à legislação de PLD/FT. Em sua forma mais avançada, a NRA não apenas classifica os riscos por setor ou produto, mas também analisa os mecanismos de transmissão desses riscos, ou seja como uma ameaça específica pode se infiltrar por meio de uma vulnerabilidade e gerar uma consequência concreta.
É importante observar que essa abordagem integrada também permite capturar riscos sistêmicos ou intersetoriais, que não são visíveis quando os setores são avaliados de forma isolada. Por exemplo a combinação entre uma ameaça de corrupção sistêmica, a vulnerabilidade na constituição de empresas de fachada, e a consequência do enfraquecimento da confiança nos contratos públicos pode indicar a necessidade de reformas transversais que vão além da simples supervisão de instituições financeiras.
Além disso essa análise integrada favorece a adoção de medidas preventivas proporcionais. Setores classificados com alto risco exigirão inspeções mais frequentes, exigências de diligência aprimorada, limitação de determinadas operações e monitoramento mais intensivo. Já setores de risco moderado ou baixo podem ter maior flexibilidade regulatória, o que por sua vez favorece a eficiência econômica sem comprometer a segurança do sistema.
Então a parte central de uma NRA, que compreende a análise das ameaças, vulnerabilidades e consequências, constitui o núcleo da inteligência regulatória e estratégica do país no combate à lavagem de dinheiro e ao financiamento do terrorismo. Seu valor reside não apenas na descrição estática dos riscos, mas na sua capacidade de gerar conhecimento aplicável, acionável e alinhado com os interesses de proteção da integridade financeira da jurisdição. Para os profissionais de compliance, a internalização desses achados no programa de PLD da empresa é não só uma boa prática, mas uma expectativa regulatória crescente. Para os reguladores e formuladores de políticas, é a principal bússola para decisões baseadas em evidência.
Vamos falar agora da metodologia de preparação adotada na construção dessas avaliações. que é um componente fundamental para assegurar a credibilidade, a robustez analítica e a aplicabilidade prática das conclusões geradas. A metodologia de uma NRA precisa conciliar rigor técnico com viabilidade operacional, integrando dados quantitativos e qualitativos de múltiplas fontes, adotando critérios claros de classificação de risco, e promovendo mecanismos de validação interinstitucional que confiram legitimidade e consenso aos achados. Esta combinação metodológica é o que transforma uma avaliação de risco em um instrumento efetivo de governança.
A primeira etapa metodológica na preparação de uma NRA é a definição do escopo analítico, ou seja, a delimitação dos setores econômicos, produtos financeiros, canais de transação, jurisdições geográficas e estruturas institucionais que serão avaliados. Essa definição deve refletir as características da economia nacional, os padrões de uso do sistema financeiro, a presença de setores informalizados ou opacos, e a relevância de determinadas atividades econômicas no contexto local. Por exemplo, países com forte atividade imobiliária voltada ao mercado de luxo tendem a incluir esse setor como prioritário na avaliação; países com uso intensivo de criptoativos ou de plataformas digitais de pagamento devem expandir o foco para ativos virtuais e prestadores de serviços relacionados (VASPs); já países com alto volume de exportações em commodities devem observar o risco de trade-based money laundering.
Com o escopo definido, a segunda etapa é a coleta de dados primários e secundários. Essa coleta precisa ser ampla, sistemática e diversificada, contemplando fontes como:
- Dados quantitativos estruturados: incluem o volume de transações financeiras por setor, número de contas bancárias ativas, registros de operações suspeitas, estatísticas criminais, fluxos de comércio exterior, registros fiscais, e dados cadastrais de pessoas jurídicas. Esses dados são normalmente obtidos por meio de solicitações formais às autoridades reguladoras, supervisores setoriais, UIFs, bancos centrais e instituições privadas colaboradoras.
- Informações qualitativas e percepções setoriais: são obtidas por meio de entrevistas com especialistas, oficinas temáticas, questionários estruturados com stakeholders, consultas públicas, estudos de caso e análises de tipologias criminais previamente investigadas. Esse tipo de dado é fundamental para captar nuances e práticas que nem sempre aparecem nos dados estatísticos, como o uso de mecanismos informais, dissimulação por meio de prestadores de fachada, falhas operacionais recorrentes ou zonas cinzentas da regulação.
A terceira etapa metodológica é a análise de risco propriamente dita, que envolve a aplicação de modelos de avaliação que integrem os dados coletados, ponderem os fatores de risco e classifiquem os elementos avaliados (setores, produtos, canais, geografias) segundo sua exposição ao risco de LD/FT. O modelo mais comum e inclusive aquele incorporado ao NRA Toolkit do Banco Mundial , adota uma matriz de risco baseada em dois eixos principais, que são o mível de ameaça, que é a intensidade e frequência da origem dos fundos ilícitos associados ao setor ou atividade, e depois o grau de vulnerabilidade, que é a fragilidade estrutural, legal ou operacional que facilita o uso indevido do setor.
Ao cruzar essas duas dimensões, obtém-se uma pontuação ou classificação de risco (baixo, médio ou alto), permitindo a ordenação dos setores por criticidade. Essa análise pode ser desdobrada por produto (ex: contas de pagamento anônimas), por canal (ex: transferências eletrônicas internacionais), por tipo de cliente (ex: pessoas politicamente expostas – PEPs) ou por país de destino (ex: países listados como de alto risco pelo GAFI). Algums píses mais avançadas já incorporam variáveis adicionais ao modelo, como a capacidade de mitigação setorial (nível de compliance médio do setor), histórico de supervisão, ou impacto reputacional potencial.
A quarta etapa metodológica é a validação dos resultados preliminares, etapa crítica para garantir a consistência, a neutralidade técnica e o alinhamento institucional da avaliação. Normalmente, após a análise inicial, os resultados são submetidos à revisão de um comitê técnico interinstitucional, que pode incluir representantes das UIFs, reguladores, autoridades policiais, supervisores e, em alguns casos, representantes do setor privado. Essa etapa permite revisar hipóteses, corrigir distorções analíticas, calibrar os modelos utilizados e assegurar que os achados reflitam a realidade prática das operações. Além disso garante o buy-in dos diversos órgãos envolvidos, o que é fundamental para que as recomendações da NRA sejam efetivamente implementadas posteriormente.
A quinta etapa é a documentação e sistematização dos resultados, que culmina na elaboração do relatório técnico da NRA. Embora o GAFI não imponha um formato único obrigatório, há uma estrutura recomendada que contempla, um sumário executivo. destacando os principais riscos, setores críticos e recomendações. assim como os perfis setoriais de risco, contendo a análise individualizada de setores, produtos ou canais, e um plano de ação nacional com medidas de mitigação sugeridas, prazos, responsáveis e indicadores de monitoramento, e a descrição metodológica explicando as fontes de dados, critérios de análise, fórmulas utilizadas e processo de validação.
A sexta etapa, muitas vezes negligenciada, mas fundamental para a eficácia da NRA, é o monitoramento da implementação das recomendações, para acompanhar, por meio de indicadores quantitativos e qualitativos, se as medidas sugeridas foram adotadas, quais impactos geraram, e se houve mudança no perfil de risco nacional desde a avaliação anterior. Essa prática fortalece o ciclo de melhoria contínua, promove accountability institucional e retroalimenta o processo analítico para futuras avaliações.
A solidez metodológica da NRA é, portanto, um fator crítico para sua utilidade prática. Uma avaliação baseada apenas em percepções subjetivas, sem fundamentação empírica, tenderá a gerar diagnósticos frágeis, medidas desproporcionais ou mal direcionadas. Por outro lado uma metodologia robusta, transparente, validada e adaptada ao contexto nacional permite que a NRA transcenda seu papel de diagnóstico e se torne uma ferramenta de governança regulatória, de alocação de recursos públicos, de orientação setorial e de autorregulação empresarial.
Agora queria falar do uso prático desses diagnósticos por empresas, instituições financeiras, reguladores, autoridades públicas e demais stakeholders. Mais do que um exercício técnico ou uma exigência regulatória, as NRAs são, na prática, verdadeiros manuais estratégicos que orientam o comportamento institucional diante dos riscos de lavagem de dinheiro e financiamento do terrorismo, sendo utilizadas para ajustar políticas internas, capacitar equipes, alocar recursos, desenvolver planos de ação, estruturar fiscalizações e, sobretudo, garantir aderência aos padrões internacionais estabelecidos pelo GAFI e organismos multilaterais. Seu uso eficaz é um indicador claro de maturidade em gestão de riscos e governança.
No contexto corporativo especialmente em instituições financeiras, seguradoras, corretoras, fintechs, empresas de câmbio, commodities ou comércio exterior, o principal uso das NRAs é como referência para customização dos programas internos de PLD/FT, garantindo que os procedimentos, controles e políticas internas estejam alinhados com os riscos efetivamente identificados como prioritários no país. Isso representa um deslocamento importante do paradigma tradicional de compliance, que antes se estruturava de forma genérica, repetindo boas práticas internacionais sem necessariamente considerar o perfil de risco local. Com as NRAs, espera-se que cada instituição faça uma leitura crítica dos achados e os incorpore às suas matrizes de risco, modelos de diligência de clientes, critérios de triagem e regras de alerta para transações suspeitas.
Por exemplo se uma NRA nacional identificar que o setor de comércio de metais preciosos está particularmente exposto ao uso para lavagem de dinheiro, uma instituição que atue nesse setor deverá revisar seu modelo de aceitação de clientes, fortalecer os procedimentos de Know Your Customer (KYC), revisar seus parâmetros de monitoramento transacional, treinar suas equipes para os sinais de alerta associados a esse tipo de atividade, e eventualmente reportar transações atípicas com maior frequência. Do mesmo modo se a NRA indicar que determinadas jurisdições estrangeiras representam risco elevado, seja por estarem listadas pelo GAFI, seja por estarem associadas a fluxos ilícitos, as empresas que realizarem transações com esses países deverão adotar procedimentos reforçados de Enhanced Due Diligence (EDD), monitoramento contínuo e comunicação à Unidade de Inteligência Financeira (UIF), quando necessário.
Outro uso altamente relevante das NRAs no ambiente empresarial é na orientação e estruturação de programas de treinamento interno e capacitação de equipes. Muitas empresas enfrentam o desafio de manter seus profissionais atualizados sobre os riscos relevantes e em conformidade com as expectativas regulatórias. As NRAs fornecem insumos atualizados, oficiais e contextualizados para orientar programas de capacitação focados. Em vez de treinamentos genéricos sobre lavagem de dinheiro, a empresa pode oferecer workshops específicos sobre os riscos destacados pela NRA — como uso indevido de produtos digitais, desafios em criptomoedas, financiamento do extremismo, anonimato em estruturas societárias, entre outros. Esse direcionamento confere maior valor pedagógico ao treinamento e maior aderência às exigências regulatórias.
Além disso as NRAs funcionam como instrumento de gestão de prioridades e alocação de recursos internos. Em um cenário de orçamentos limitados e crescente pressão por eficiência operacional, a capacidade de priorizar esforços com base em evidências torna-se crítica. As NRAs permitem que áreas de compliance, risco, jurídico e tecnologia concentrem investimentos nos setores, processos ou produtos de maior risco. Isso pode incluir, por exemplo, a aquisição de novas soluções tecnológicas para monitoramento transacional, o desenvolvimento de sistemas de screening mais eficazes, a contratação de especialistas para áreas de maior exposição ou o reforço dos controles internos em segmentos apontados como vulneráveis.
Sob a ótica do relacionamento com reguladores, a utilização prática da NRA pelas empresas também demonstra compromisso com a abordagem baseada em risco, o que é visto com bons olhos em processos de supervisão, inspeções e auditorias. Reguladores que adotam um modelo de supervisão proporcional e orientado por risco esperam que as instituições demonstrem, de forma concreta, como utilizam as NRAs para calibrar seus programas internos. Isso pode ser evidenciado, por exemplo, pela existência de relatórios de alinhamento entre a matriz de risco da empresa e a matriz de risco nacional, pela documentação de decisões estratégicas tomadas com base em achados da NRA, ou pela integração dos resultados da NRA nos critérios de avaliação interna de risco de clientes e contrapartes.
Já no âmbito das autoridades públicas, a aplicação prática das NRAs está associada à definição de políticas públicas setoriais e desenvolvimento normativo. Órgãos reguladores e formuladores de política pública utilizam os achados da NRA para justificar intervenções regulatórias, promover reformas legais, fortalecer setores vulneráveis e justificar alocação de orçamento público.
As NRAs também orientam ações de fiscalização e supervisão, permitindo que as autoridades concentrem inspeções, auditorias temáticas, programas de orientação e ações sancionatórias nos setores, produtos ou canais mais sensíveis. Um modelo avançado de supervisão baseada em risco utiliza as NRAs como insumo primário para construir planos anuais de fiscalização, selecionar entidades a serem inspecionadas e definir o escopo das auditorias, com foco na prevenção e não apenas na punição. O alinhamento entre NRA, supervisão e regulação confere consistência ao sistema de integridade financeira e reduz assimetrias entre exigência normativa e capacidade operacional do setor regulado.
Do ponto de vista internacional, a utilização adequada das NRAs também fortalece a posição do país em avaliações multilaterais, como as avaliações mútuas do GAFI e o acompanhamento de organismos multilaterais (FMI, Banco Mundial, OCDE). Países que demonstram uso ativo, concreto e contínuo de suas NRAs são vistos como mais comprometidos, tecnicamente maduros e institucionalmente confiáveis. Isso tem reflexos diretos em sua classificação em listas internacionais, acesso ao sistema financeiro global, relacionamento com bancos correspondentes e atratividade para investimento estrangeiro direto.
Por fim, um uso ainda pouco explorado. mas altamente estratégico, das NRAs é como instrumento de comunicação pública e reputacional. Quando adequadamente divulgadas (resguardando, claro, informações sensíveis), as NRAs demonstram ao mercado, à imprensa e à sociedade civil que o país reconhece seus riscos, age de forma transparente e se compromete com sua mitigação. Isso fortalece a confiança nas instituições e amplia a base de apoio à integridade econômica. Da mesma forma, empresas que integram os achados da NRA às suas políticas e demonstram essa integração publicamente (por exemplo em seus relatórios de sustentabilidade ou de riscos) reforçam sua imagem de responsabilidade e conformidade perante investidores, clientes e parceiros internacionais.
O uso das Avaliações Nacionais de Risco na prática ultrapassa os limites de um documento técnico, em que estamos falando aqui de um mecanismo operacional, normativo, estratégico e reputacional, cuja integração na cultura institucional, seja pública ou seja privada, representa um diferencial de governança, maturidade regulatória e capacidade de resposta a riscos complexos. O desafio não está apenas em produzir uma NRA, mas em fazê-la viver dentro das estruturas decisórias das empresas, dos gabinetes regulatórios e dos processos de supervisão. As instituições que conseguem fazer esse movimento se posicionam melhor frente aos desafios do compliance moderno, operam com mais segurança jurídica e constroem um diferencial competitivo de longo prazo.
Queria comentar agora sobre o alinhamento das NRAs com os padrões globais de prevenção à lavagem de dinheiro (PLD) e ao financiamento do terrorismo (FT). Esta dimensão é de suma importância, pois o valor estratégico e regulatório de uma NRA não reside apenas em sua utilidade interna, mas, sobretudo, em sua capacidade de posicionar o país de forma coerente, consistente e conectada ao ecossistema normativo internacional. O alinhamento com as Recomendações do GAFI, as prioridades nacionais soberanas e as tendências globais emergentes é o que garante que a NRA seja reconhecida como um instrumento legítimo de compliance macroestrutural, tanto para efeito de avaliação externa quanto como base para a integração ao sistema financeiro internacional.
O primeiro e mais direto ponto de alinhamento das NRAs é com as Recomendações do Grupo de Ação Financeira Internacional (GAFI) e mais especificamente com a Recomendação 1, que estabelece que os países devem identificar, avaliar e compreender seus riscos de LD/FT, e tomar ações eficazes, incluindo a designação de autoridades responsáveis, para mitigar esses riscos. Essa recomendação não apenas legitima as NRAs como elemento central do regime nacional de PLD/FT, como também estabelece expectativas formais para sua estrutura metodológica, periodicidade, cobertura temática e aplicabilidade prática. O não cumprimento efetivo da Recomendação 1 pode acarretar sérias consequências reputacionais e operacionais, como a inclusão do país na “lista cinza” ou “lista negra” do GAFI, comprometendo o acesso da jurisdição ao sistema bancário internacional, elevando custos de transações transfronteiriças e dificultando operações de financiamento externo.
Além da Recomendação 1 as NRAs também se conectam diretamente com outras recomendações do GAFI, como a Recomendação 10 (devida diligência do cliente), a Recomendação 26 (supervisão baseada em risco), a Recomendação 28 (regulação de profissões não financeiras designadas – DNFBPs), e a Recomendação 30 (responsabilidades das autoridades policiais). A interrelação entre essas recomendações exige que a NRA seja mais do que um exercício acadêmico: ela deve ser operacionalmente integrada aos processos de supervisão, fiscalização, regulação setorial e às políticas públicas. Em países que demonstram elevado grau de alinhamento com essas recomendações, observa-se uma sinergia clara entre os resultados da NRA e os programas de inspeção dos supervisores, os critérios de classificação de risco utilizados pelos bancos, e a agenda legislativa prioritária do Estado.
O segundo eixo de alinhamento importante é com as prioridades nacionais específicas, que refletem a realidade concreta de riscos e vulnerabilidades que o país enfrenta com base em sua estrutura econômica, jurídica, geográfica e institucional. Embora o GAFI forneça a moldura internacional, cabe a cada jurisdição ajustar seu enfoque de risco conforme seus desafios internos. Esses alinhamentos demonstram como as NRAs funcionam também como espelho de soberania regulatória, permitindo que os países enfrentem suas fragilidades estruturais de forma legítima, orientada por evidências e respaldada por um framework normativo reconhecido internacionalmente.
A capacidade de alinhar as NRAs às prioridades nacionais também fortalece a coordenação entre diferentes políticas públicas como políticas de segurança, controle fiscal, transparência orçamentária, integridade pública, atração de investimentos e comércio exterior, que são frequentemente impactadas, direta ou indiretamente, por fluxos ilícitos ou por falhas na governança de riscos financeiros. Esse alinhamento transversal multiplica os efeitos positivos das NRAs e transforma o documento em uma plataforma estratégica interministerial, e não apenas em um produto técnico confinado às áreas de compliance.
O terceiro eixo de alinhamento e cada vez mais relevante, é com as tendências globais emergentes, que moldam o panorama internacional de riscos financeiros, exigindo atualização constante das ferramentas de diagnóstico, como as NRAs. Essas tendências incluem:
- Digitalização dos meios de pagamento, com foco em ativos digitais, stablecoins, tokens de pagamento e plataformas peer-to-peer. Países como Cingapura e Reino Unido já incorporaram esses riscos em suas NRAs mais recentes, incluindo análises técnicas sobre uso de carteiras digitais e operações criptoanônimas.
- Criminalidade ambiental como fonte de recursos ilícitos, que vem sendo explorada em novas ferramentas do World Bank NRA Toolkit, considerando atividades como extração ilegal de madeira, mineração informal, tráfico de fauna e uso indevido de créditos de carbono.
- Financiamento ao extremismo e uso de estruturas descentralizadas, incluindo canais de microdoações, plataformas de financiamento coletivo e redes informais de transferências, como hawala e underground banking.
- Uso abusivo de estruturas societárias pouco transparentes, como trusts, fundações privadas e empresas de fachada, especialmente em países com baixa exigência de transparência sobre beneficiários finais. As NRAs avançadas já incluem avaliações específicas sobre o risco sistêmico dessas estruturas, incentivando reformas em registros públicos de empresas.
- Deslocamento do risco regulatório para os prestadores de tecnologia e provedores de dados (regtechs e fintechs), que se tornam cada vez mai, fatores operacionais de risco, mesmo sem serem instituições financeiras propriamente ditas.
O acompanhamento dessas tendências por meio da incorporação de novos módulos nas NRAs, como o uso de inteligência artificial para análise de transações, o monitoramento de plataformas descentralizadas, e a avaliação de setores até então negligenciados (como jogos eletrônicos e apostas online), é um indicador claro de maturidade institucional e aderência ao estado da arte regulatória internacional.
Em termos operacionais os países que mantêm suas NRAs atualizadas, alinhadas as Recomendações do GAFI, refletindo riscos internos e atentos às transformações globais, são percebidas como mais confiáveis pelo sistema financeiro internacional. Isso se traduz em benefícios concretos, como um menor risco de desintermediação financeira (de-risking), e uma maior facilidade na manutenção de contas de correspondência bancária internacional, assim com o acesso facilitado a plataformas de cooperação técnica com o Banco Mundial, o FMI, a OCDE e outros organismos multilaterais, e a redução no custo de capital e de transações internacionais, especialmente em setores expostos a controles de integridade.
O alinhamento das NRAs com os padrões globais não se dá apenas por critérios técnicos, mas também por posicionamento institucional estratégico. Ao publicar uma NRA robusta, metodologicamente sólida, bem estruturada e em sintonia com os frameworks globais, o país sinaliza que está comprometido com a integridade financeira internacional, com a prevenção ao crime transnacional e com a boa governança. Esse sinal político quando combinado com ações concretas e reformas normativas, confere ao país uma posição diferenciada no cenário internacional, com reflexos diretos sobre sua diplomacia econômica, sua reputação e sua capacidade de atrair investimentos sustentáveis.
Queria agora comentar sobre as diretrizes formais e práticas para a estruturação, apresentação e formatação dos relatórios de NRA, com base nas orientações do GAFI, nos padrões do Banco Mundial e nas boas práticas adotadas por jurisdições que atingiram alto grau de maturidade regulatória. Ainda que o GAFI não imponha um modelo único obrigatório de formatação, existem expectativas implícitas e diretrizes amplamente aceitas que visam garantir clareza, consistência metodológica, transparência e usabilidade dos documentos. Um relatório de NRA não deve ser um compêndio técnico hermético, mas sim um instrumento estratégico acessível, compreensível e acionável, tanto para formuladores de políticas públicas quanto para supervisores, empresas reguladas, organismos multilaterais e profissionais de compliance.
A estrutura mais comum e recomendada para os relatórios de NRA segue uma lógica de construção progressiva, que facilita a leitura, promove a padronização internacional e permite o uso prático dos achados por diferentes tipos de leitores. Essa estrutura é, em geral, composta por quatro grandes blocos interdependentes: Sumário Executivo, Perfil Nacional de Risco, Plano de Ação de Mitigação e Descrição da Metodologia e Fontes Utilizadas.
O Sumário Executivo é a seção mais crítica do ponto de vista estratégico. Ele deve apresentar de forma clara, sintética e objetiva os principais riscos identificados, os setores ou produtos mais vulneráveis, as ameaças predominantes e as recomendações-chave para mitigação. Para reguladores, tomadores de decisão e conselhos de administração que não terão tempo de ler o relatório completo, essa seção funciona como o “mapa do território”. Ela precisa ser escrita com linguagem acessível, livre de jargões técnicos desnecessários, mas tecnicamente precisa. Idealmente, o sumário também deve incluir infográficos, mapas de calor ou quadros-síntese que indiquem a hierarquia de riscos e os setores mais expostos.
Depois o Perfil Nacional de Risco constitui o corpo central do relatório. Nessa seção devem ser apresentadas de forma detalhada e sistemática as análises conduzidas sobre cada um dos setores avaliados, as ameaças identificadas, as vulnerabilidades estruturais mapeadas e as potenciais consequências associadas à lavagem de dinheiro ou ao financiamento do terrorismo. Essa parte deve estar organizada por categorias analíticas — por exemplo, setor financeiro, setor não financeiro designado (DNFBPs), estruturas societárias, ativos digitais, comércio exterior, organizações sem fins lucrativos, entre outros —, permitindo que o leitor encontre facilmente os segmentos mais relevantes para sua atuação.
Cada setor deve conter minimamente uma descrição do escopo analisado, assim como os dados utilizados (quantitativos e qualitativos), e o raciocínio lógico por trás da avaliação de risco, mas também a pontuação atribuída (baixo, médio, alto), além obviamente dos fatores críticos que justificam essa classificação.
O terceiro bloco do relatório é o Plano de Ação de Mitigação. Essa seção representa o elo entre o diagnóstico e a resposta institucional. Aqui são listadas as ações que o Estado e, em alguns casos, o setor privado, devem implementar para mitigar os riscos identificados. As ações devem ser formuladas com base no princípio da proporcionalidade e da efetividade, e organizadas com os seguintes elementos: descrição da medida; entidade ou autoridade responsável; prazo estimado de implementação; nível de prioridade (ex: urgente, médio prazo, longo prazo); e indicadores de sucesso ou monitoramento. Em países que seguem boas práticas, como Canadá, Austrália ou França, essa seção é vinculada diretamente aos compromissos internacionais e integrada aos planos estratégicos de ministérios, agências de supervisão e unidades de inteligência financeira. No caso do Brasil, por exemplo, essa lógica deve estar conectada com o Plano Nacional de Combate à Corrupção e à Lavagem de Dinheiro (PNLD) e com os planos de ação da Estratégia Nacional de Combate à Corrupção e à Lavagem de Dinheiro (ENCCLA).
O quarto e último bloco essencial é a Descrição da Metodologia Utilizada, que assegura a transparência do processo, a credibilidade das análises e a possibilidade de replicação futura. Essa seção deve descrever de forma minuciosa as fontes de dados utilizadas (estatísticas criminais, transações financeiras, registros fiscais, ROS/STRs, entrevistas), assim como os critérios de avaliação de risco, e os pesos atribuídos aos fatores de ameaça e vulnerabilidade, além das fórmulas de pontuação, e dos mecanismos de validação interinstitucional adotados, como também os eventuais ajustes metodológicos realizados ao longo do processo.
Essa parte é especialmente relevante para avaliadores externos (como o GAFI ou o Banco Mundial), que precisam aferir a aderência da NRA aos princípios metodológicos reconhecidos internacionalmente. Também é útil para outras áreas técnicas do governo ou de entidades privadas que queiram utilizar o relatório como insumo para estudos complementares, avaliações internas ou processos regulatórios.
Além dessas quatro seções principais, há elementos complementares que podem ser incluídos, a depender da maturidade técnica do país e da disponibilidade de dados. Isso inclui por exemplos os anexos estatísticos, com dados agregados e desagregados por setor, ano, ou região, os estudos de caso ilustrativos, que demonstrem como os riscos mapeados se materializaram na prática (ex: uso de empresa de fachada para disfarçar fluxos ilícitos) e mapas de risco geográficos, indicando regiões mais afetadas por determinados crimes antecedentes ou por fluxos de financiamento suspeitos, além de quadros de evolução histórica, comparando os achados com NRAs anteriores para mostrar progressão ou agravamento dos riscos.
Outro aspecto relevante no formato do relatório diz respeito ao nível de confidencialidade. Muitos países adotam uma estratégia de publicação em dois níveis: uma versão pública, contendo o sumário executivo e as conclusões estratégicas, e uma versão confidencial, destinada exclusivamente a autoridades governamentais e agências de segurança, contendo dados sensíveis, padrões operacionais e vulnerabilidades críticas que poderiam ser exploradas por atores maliciosos. Essa prática equilibra a transparência com a segurança institucional, e é especialmente relevante para jurisdições que enfrentam ameaças reais de redes criminosas organizadas, grupos terroristas ou riscos geopolíticos.
Em termos de formato visual,a dica é de que os relatórios sigam padrões gráficos claros e profissionais, com uso de ícones, cores padronizadas para níveis de risco, gráficos de radar, fluxogramas de risco e infográficos que permitam a comunicação rápida com públicos não especializados. A linguagem deve ser precisa, mas acessível, evitando jargões excessivos e focando na utilidade prática das conclusões.
A formatação e estruturação do relatório de NRA são tão relevantes quanto seu conteúdo técnico. Um relatório tecnicamente excelente, mas mal estruturado, terá baixa utilização e impacto limitado. Já um relatório claro, bem organizado, metodologicamente transparente e estrategicamente útil, transforma-se em ferramenta de gestão pública, planejamento regulatório, supervisão baseada em risco e conformidade corporativa. Para atingir esse padrão, recomenda-se fortemente o uso das ferramentas do NRA Toolkit do Banco Mundial, que consolidam as melhores práticas internacionais em um conjunto de instrumentos técnicos acessíveis e personalizáveis.
Vamos então agora para a análise das inovações recentes e avanços técnicos observados nas práticas contemporâneas de condução das NRAs, o que é de fundamental importância para profissionais de compliance, formuladores de política pública, reguladores e líderes institucionais, pois revela a direção para onde evoluem os modelos de avaliação de risco de lavagem de dinheiro e financiamento do terrorismo no cenário internacional. A NRA não é mais um exercício estático e periódico. Em sua forma mais avançada, ela se transforma em um sistema vivo de inteligência regulatória, sustentado por tecnologias emergentes, redes de colaboração interinstitucional e foco crescente na adaptabilidade frente aos riscos complexos e mutáveis do sistema financeiro global.
Um dos avanços mais significativos nos últimos anos é a adoção de tecnologias de análise de dados e inteligência artificial na condução das NRAs. Países mais avançadas, como Cingapura, Reino Unido, Holanda e Estados Unidos, têm incorporado ferramentas analíticas automatizadas para examinar padrões ocultos, anomalias e correlações entre variáveis em bases massivas de dados financeiros, como relatórios de operações suspeitas, fluxos de pagamento internacional, operações com ativos digitais e registros de pessoas jurídicas. Esses sistemas utilizam algoritmos de aprendizado de máquina para identificar comportamentos atípicos que possam estar associados a esquemas de lavagem de dinheiro, financiamento ilícito ou ocultação de beneficiários finais. Ao invés de depender exclusivamente de entrevistas, percepções setoriais ou análises manuais, essas jurisdições transformam a NRA em um processo contínuo de mineração de inteligência regulatória. Isso permite, por exemplo, prever emergências de risco, calibrar rapidamente setores emergentes e antecipar vulnerabilidades antes que elas sejam exploradas por redes criminosas.
Outra inovação relevante é a produção de avaliações nacionais de risco setoriais específicas, ou seja de documentos dedicados a setores particularmente expostos ou emergentes. Trata-se de uma evolução da NRA “macro”, com foco mais granular, detalhado e dirigido. Esses diagnósticos setoriais são essenciais em economias altamente digitalizadas ou em setores que operam à margem dos mecanismos tradicionais de supervisão, como apostas esportivas, leilões digitais, crowdfunding e economias paralelas. Avaliações específicas também vêm sendo conduzidas para o setor de organizações sem fins lucrativos, devido à possibilidade de uso indevido dessas estruturas para canalização de fundos a grupos extremistas ou financiamento encoberto de atividades ilegais.
No campo institucional, outra evolução importante é o fortalecimento das parcerias público-privadas no processo de produção da NRA. Esse movimento busca romper com a lógica verticalista e estatal que, historicamente, dominava o campo da regulação e do combate à lavagem de dinheiro. Países como Cingapura, Canadá e Reino Unido passaram a estruturar grupos permanentes de trabalho intersetoriais, compostos por representantes do setor público (reguladores, UIFs, polícias especializadas), setor financeiro (bancos, seguradoras, fintechs) e setores não financeiros designados (imobiliárias, auditores, advogados, prestadores de serviços fiduciários). Esses fóruns permitem a troca constante de informações, o compartilhamento de práticas, a retroalimentação de percepções operacionais e o aprimoramento técnico mútuo. Além disso, aumentam a legitimidade dos achados e facilitam sua posterior implementação, uma vez que os atores privados passaram a participar desde o início do processo.
Outro avanço notável é a integração regional das Avaliações Nacionais de Risco, promovida principalmente em blocos econômicos e regulatórios como a União Europeia, o GAFILAT (Grupo de Ação Financeira da América Latina) e o ESAAMLG (Grupo da África Oriental e Austral contra a Lavagem de Dinheiro). A futura AMLA (Anti-Money Laundering Authority) da União Europeia, por exemplo, terá um mandato específico para consolidar avaliações de risco transnacionais e garantir que os Estados-membros adotem critérios e metodologias consistentes entre si. Essa integração busca uniformizar o entendimento dos riscos em áreas de livre circulação de capitais, bens e serviços, como o Espaço Econômico Europeu, e combater o uso de arbitragens regulatórias por atores criminosos que exploram diferenças de exigência entre países vizinhos. No caso da América Latina, o GAFILAT também vem promovendo modelos convergentes de NRA, com apoio técnico do Banco Mundial e com foco na harmonização metodológica, uso de indicadores regionais e incorporação de riscos comuns como tráfico de drogas, corrupção e crimes ambientais.
Adicionalmente,algums países vêm inovando na frequência e no formato da atualização das NRAs, superando o modelo tradicional de ciclos longos (a cada 5 ou 6 anos). Com o avanço das tecnologias de informação, alguns países passaram a adotar modelos de atualização contínua, com módulos dinâmicos de dados, dashboards interativos e mecanismos de monitoramento de risco em tempo real. O uso de plataformas digitais integradas permite que novas ameaças (como o surgimento de novas moedas digitais, tipologias de fraude emergente ou tensões geopolíticas) sejam refletidas na matriz nacional de risco de forma quase imediata. Isso garante maior responsividade institucional, reduz a defasagem entre diagnóstico e ação, e fortalece a capacidade preditiva do sistema de integridade financeira.
Um avanço de natureza normativa e estratégica observado em NRAs recentes é a vinculação entre os achados da avaliação e reformas legais estruturantes. Em vez de tratar os resultados da NRA como recomendações isoladas ou meramente técnicas, governos mais avançados passaram a incorporar os achados das NRAs como justificativa formal e fundamento técnico para propostas legislativas relevantes. O caso de Maurício, que utilizou os resultados da NRA de 2021 para estruturar um novo marco regulatório para ativos virtuais, é exemplar. Essa prática reforça o caráter de política pública da NRA e a transforma em motor institucional de mudança regulatória, com legitimidade derivada de evidência analítica e alinhamento internacional.
As inovações recentes nas Avaliações Nacionais de Risco apontam para uma transformação conceitual importante: a NRA não é mais apenas um “documento”, mas um sistema estratégico de inteligência financeira, continuamente atualizado, tecnologicamente integrado, socialmente legitimado e orientado para ação. Para empresas reguladas, conselhos de administração, áreas de risco e compliance, acompanhar essas inovações é imperativo para manter a relevância e a eficácia de seus programas internos. Para os reguladores e formuladores de políticas públicas, representa a oportunidade de ampliar o impacto das estratégias nacionais de combate à criminalidade financeira, fortalecer a confiança do sistema internacional e aumentar a resiliência do país frente a ameaças complexas e globais.
Agora queria entrar no tema da obrigatoriedade formal das NRAs, das consequências práticas da sua não realização ou má condução, e dos impactos positivos e negativos., que sua qualidade exerce sobre o posicionamento internacional de um país, seu sistema financeiro e sua governança institucional. Esta discussão é crucial para compreender que uma NRA não é apenas uma recomendação técnica, mas um instrumento normativo obrigatório, cuja ausência ou fragilidade pode resultar em efeitos sistêmicos severos, tanto para a soberania regulatória da jurisdição quanto para a integridade e estabilidade do seu sistema econômico.
A obrigatoriedade das NRAs está formalmente estabelecida pela Recomendação 1 do Grupo de Ação Financeira Internacional (GAFI), que determina que todos os países devem identificar, avaliar e compreender seus riscos de lavagem de dinheiro (LD) e financiamento do terrorismo (FT), e adotar medidas eficazes, proporcionais e baseadas em risco para mitigá-los. Essa exigência inclui, expressamente, a realização de uma avaliação nacional abrangente, documentada e atualizada periodicamente, que fundamente todas as ações subsequentes de política pública, supervisão, fiscalização e compliance do setor privado. Se trata de uma exigência legal de aplicação obrigatória, sujeita a verificação nas avaliações mútuas do GAFI, realizadas a cada ciclo de anos pelos organismos regionais correspondentes (GAFILAT, MONEYVAL, APG, ESAAMLG, entre outros).
O não cumprimento dessa exigência, seja por omissão, desatualização ou inconsistência metodológica da NRA, compromete diretamente a avaliação do país nos indicadores centrais da metodologia do GAFI, principalmente nos itens relacionados à eficácia do regime de PLD/FT (compreensão dos riscos e coordenação nacional) e a conformidade técnica com a Recomendação 1. Países que falham nesse aspecto crítico enfrentam sérias consequências reputacionais e operacionais, a principal delas sendo a inclusão na “lista cinza” do GAFI, que representa jurisdições sob maior monitoramento devido a deficiências estratégicas em seus regimes de prevenção. Em casos extremos, a não realização ou manipulação sistemática das NRAs pode levar à inclusão na “lista negra”, com consequências ainda mais drásticas, como sanções econômicas, bloqueios financeiros e exclusão do sistema bancário global.
Os efeitos concretos da inclusão em listas do GAFI incluem, entre outros como a perda de acesso ao sistema de correspondência bancária internacional, afetando bancos locais, casas de câmbio, fintechs e operadores de comércio exterior; o aumento do custo de captação de recursos em mercados financeiros internacionais, afetando Tesouro Nacional, empresas públicas e grandes corporações privadas; a elevação do risco-país, com impacto sobre a classificação de agências de rating; e a retração do investimento estrangeiro direto, devido à percepção de alto risco regulatório e institucional; além da dificuldade na cooperação internacional em investigações financeiras e criminais, e do isolamento em plataformas multilaterais de financiamento, como FMI, Banco Mundial e OCDE.
Além disso a ausência de uma NRA robusta prejudica diretamente o setor privado regulado, que se vê obrigado a operar às cegas, sem diretrizes oficiais sobre os riscos prioritários, o que aumenta a insegurança jurídica, a assimetria de expectativas com reguladores e a ineficiência na alocação de recursos de compliance. Isso, por sua vez, gera desequilíbrios entre instituições bem estruturadas e aquelas que, sem orientação estratégica, ficam mais vulneráveis a penalidades e exclusões contratuais por parte de parceiros internacionais.
Por outro lado os benefícios de uma NRA bem conduzida e atualizada são profundos e estruturantes. Em primeiro lugar ela permite que o país demonstre comprometimento com os padrões internacionais de integridade financeira, o que gera confiança nos mercados, melhora sua posição nas avaliações do GAFI e de organismos multilaterais, e reduz o risco de sanções formais ou informais. Em segundo lugar uma NRA eficaz fortalece a coordenação entre agências públicas, como bancos centrais, UIFs, polícias especializadas, autoridades fiscais e ministérios setoriais, promovendo ações mais integradas, compartilhamento de inteligência e alinhamento regulatório.
No plano do setor privado, uma NRA de qualidade serve como base técnica para as instituições estruturarem seus programas internos de PLD/FT, inclusive para fins de justificativa perante supervisores. Permite que CCOs, comitês de risco, conselhos de administração e áreas de auditoria alinhem seus esforços aos riscos efetivamente identificados como prioritários, evitando tanto a subavaliação quanto o excesso de controles em áreas de baixo risco. A clareza da NRA também favorece a gestão reputacional e a comunicação com stakeholders, pois permite que a empresa demonstre aderência a padrões regulatórios nacionais e internacionais com base em diretrizes oficiais.
Outro benefício concreto é a capacidade da NRA de orientar reformas legislativas, políticas públicas e medidas de supervisão proporcionais, corrigindo falhas estruturais e modernizando o arcabouço institucional. Em diversos países, os achados das NRAs serviram como gatilho para reformas importantes: a regulação de ativos virtuais em Maurício, o reforço nos controles sobre beneficiários finais no Reino Unido, a modernização dos registros imobiliários nos Emirados Árabes Unidos, e a criação de autoridades centralizadas de supervisão, como a futura AMLA na União Europeia.
Em termos estratégicos, a realização de uma NRA robusta também fortalece a soberania regulatória do país, pois reduz a dependência de avaliações externas, amplia sua capacidade de resposta a pressões internacionais e permite que o país negocie com mais legitimidade em fóruns multilaterais. Ao fundamentar suas decisões em diagnósticos técnicos próprios, metodologicamente sólidos e internacionalmente validados, o país eleva sua posição geopolítica no debate sobre criminalidade financeira, integridade de mercado e proteção ao sistema financeiro global.
Finalmente vale destacar que a condução eficaz de uma NRA, desde sua preparação até a publicação e a execução dos planos de ação, melhora o desempenho do país em diversos rankings internacionais relacionados à integridade, ambiente de negócios, transparência e governança, como o Doing Business, o Índice de Percepção da Corrupção (Transparency International), os relatórios de Financial Secrecy (Tax Justice Network), e os Country Risk Assessments da OCDE. Esses ganhos reputacionais e técnicos são cumulativos e estruturantes, impactando positivamente não apenas o setor financeiro, mas a economia nacional como um todo.
A obrigatoriedade das Avaliações Nacionais de Risco vai muito além de uma formalidade burocrática, mas é um instrumento de afirmação institucional, de proteção econômica e de inserção estratégica no sistema financeiro global. Países que negligenciam suas NRAs se expõem a riscos multilaterais, enquanto aqueles que as conduzem com qualidade posicionam-se como parceiros confiáveis, reguladores maduros e atores relevantes no enfrentamento da criminalidade econômica transnacional.
Vamos agora abrodar a leitura aplicada, interpretação estratégica e uso prático das NRAs pelos profissionais de compliance, gestores de risco, auditores internos, conselheiros e áreas técnicas de empresas reguladas. Esta seção é especialmente útil para traduzir o conteúdo, muitas vezes denso e técnico das NRAs, em decisões concretas e operacionais dentro das instituições, permitindo que o diagnóstico nacional se transforme em ação empresarial efetiva, proativa e alinhada às expectativas dos reguladores.
A leitura de uma NRA, quando feita de forma estratégica, deve seguir uma lógica estruturada e voltada à aplicabilidade prática. O primeiro passo, e talvez o mais subestimado, é a leitura cuidadosa e crítica do sumário executivo. Essa seção como já discutido anteriormente, concentra as conclusões de maior impacto, os setores prioritários, as ameaças predominantes e as recomendações de mitigação. O profissional de compliance deve começar a leitura da NRA por esse ponto, não como um resumo superficial, mas como um direcionador estratégico. Nesse momento se deve tomar nota dos setores, produtos, canais e tipos de clientes mencionados como críticos, e imediatamente compará-los com o portfólio da própria instituição. Trata-se de um exercício de espelhamento: “os riscos apontados na NRA coincidem com áreas que atuamos?”, “nossos produtos estão presentes nas cadeias de valor associadas aos riscos?”, “nosso perfil de clientes ou operações transnacionais toca os pontos identificados como de alta exposição?”.
A segunda etapa consiste em focar com atenção redobrada nos setores identificados como de risco elevado, seja no setor financeiro tradicional (como bancos, cooperativas, câmbio), no setor de prestadores de serviços financeiros não tradicionais (fintechs, VASPs), ou entre os Designated Non-Financial Businesses and Professions (DNFBPs), como imobiliárias, advogados, auditores, galerias de arte ou empresas que atuam com bens de luxo. A NRA normalmente apresenta, setor a setor, uma análise de ameaças, vulnerabilidades e consequências. Ao identificar que o setor de atuação da instituição (ou seus parceiros comerciais) aparece em destaque, o profissional de compliance deve imediatamente revisar os seguintes aspectos internos como a matriz de risco setorial da empresa está atualizada e compatível com a avaliação nacional? Os procedimentos de diligência de clientes (KYC, CDD, EDD) contemplam os fatores de risco mencionados na NRA? Os parâmetros de monitoramento transacional e geração de alertas refletem os riscos descritos? Os critérios de aceitação de clientes, parceiros ou terceiros precisam ser ajustados com base nos achados da NRA? Os treinamentos internos já incluem os riscos e setores identificados na avaliação nacional?
A terceira etapa da leitura estratégica envolve a análise do plano de ação e das recomendações políticas apresentadas pela NRA. Esse trecho do relatório, muitas vezes relegado ao segundo plano, fornece pistas preciosas sobre os rumos da regulamentação, as prioridades de fiscalização e os focos da atuação governamental para os próximos ciclos. Para as empresas, esse conhecimento antecipado permite sepreparar antes que as obrigações se tornem normativas, ajustando processos, fortalecendo controles, reavaliando fornecedores e, principalmente, demonstrando proatividade perante os supervisores. Uma empresa que internaliza as recomendações da NRA e as transforma em melhorias internas demonstra governança sólida, capacidade de antecipação e compromisso com a integridade — diferenciais claros diante de inspeções e auditorias regulatórias.
A quarta etapa do uso estratégico da NRA é o aproveitamento dos dados estatísticos, tabelas e indicadores apresentados ao longo do documento. Muitas NRAs incluem gráficos de distribuição de ROS por setor, mapas de risco geográficos, volume de transações atípicas, taxas de reporte por setor, ou dados de criminalidade vinculada a atividades econômicas. Esses elementos são valiosíssimos para alimentar os ajustes nas matrizes de risco quantitativas da instituição, os modelos internos de avaliação de risco de clientes ou produtos, as análises de risco de novas linhas de negócio, e os documentos de base para processos de aprovação de novos produtos ou expansão territorial, além dos insumos para relatórios de riscos a serem apresentados aos comitês ou ao conselho de administração.
Importante destacar que as áreas de compliance e risco devem buscar documentar de forma estruturada como os achados da NRA foram incorporados às suas políticas internas, seja por meio de pareceres técnicos, registros de atualização de políticas, relatórios de benchmark interno ou atas de comitês de risco. Esse registro permite comprovar, durante uma supervisão regulatória, que a instituição adota efetivamente uma abordagem baseada em risco (risk-based approach), conforme exige a Recomendação 1 do GAFI e os marcos regulatórios locais.
Outro ponto relevante é a integração da NRA nos treinamentos e capacitações internas, sobretudo para áreas de negócios, canais de atendimento, onboarding de clientes, área jurídica e de novos produtos. Em vez de oferecer treinamentos genéricos sobre lavagem de dinheiro, a área de compliance pode estruturar capacitações focadas nos riscos prioritários mapeados pela NRA, como uso indevido de empresas de fachada, ocultação de beneficiário final, financiamento ao extremismo via ONGs, ou uso abusivo de criptoativos. Esse tipo de treinamento “vivo” e contextualizado aumenta o engajamento, fortalece a cultura de conformidade e torna o programa de integridade mais aderente à realidade.
O uso da NRA deve ser levado ao nível da alta administração e do conselho de administração, especialmente nos momentos de definição de estratégia, aprovação de apetite a risco e decisões de expansão territorial ou lançamento de novos produtos. A apresentação de um resumo executivo da NRA aos conselheiros e executivos é uma boa prática, demonstrando visão estratégica, responsabilidade fiduciária e alinhamento com o cenário regulatório. Isso é particularmente importante para instituições que atuam em setores sensíveis, lidam com grandes volumes financeiros, operam internacionalmente ou estão sob regimes de supervisão reforçada.
A leitura e o uso inteligente de uma NRA pelos profissionais de compliance transformam um documento técnico em uma ferramenta prática de gestão de riscos, de compliance estratégico e de alinhamento regulatório. Instituições que adotam essa abordagem saem do modo reativo e assumem uma postura proativa, preventiva e estrategicamente posicionada, tanto perante o regulador quanto perante o mercado. Com isso constroem resiliência protegem sua reputação e fortalecem sua posição competitiva no ecossistema de integridade global.
Comentei acima e queria agora detalhar melhor o tal do NRA Toolkit do Banco Mundial, que é uma das ferramentas mais relevantes, estruturadas e utilizadas internacionalmente para a condução técnica das NRAs em conformidade com as Regras do GAFI. Este conjunto metodológico, desenvolvido pelo Financial Market Integrity Group do Banco Mundial, tornou-se referência global por sua aplicabilidade prática, por sua base conceitual sólida e por permitir que países, inclusive aqueles com capacidades institucionais limitadas — consigam realizar diagnósticos de risco consistentes, comparáveis e reconhecidos no plano internacional.
O NRA Toolkit foi desenvolvido inicialmente em 2012 como resposta à crescente demanda por instrumentos técnicos padronizados que auxiliassem os países na implementação da Recomendação 1 do GAFI. Ele se destina em especial a autoridades nacionais encarregadas de conduzir Avaliações Nacionais de Risco, como Unidades de Inteligência Financeira (UIFs), bancos centrais, ministérios da economia, comissões interministeriais e agências de supervisão. Porém seus recursos também são valiosos para reguladores setoriais, consultores técnicos, empresas públicas e privadas que participam da NRA ou desejam compreender a lógica analítica que sustenta os relatórios oficiais.
O NRA Toolkit é composto por um conjunto integrado de ferramentas operacionais, guias metodológicos, planilhas, apresentações e instruções técnicas, organizadas de forma modular, com o objetivo de facilitar a condução da NRA desde sua fase preparatória até a divulgação dos resultados finais. Ele combina conceitos acadêmicos de avaliação de risco, diretrizes normativas do GAFI e boas práticas consolidadas em diversas jurisdições. Seu conteúdo pode ser classificado em três categorias principais: instrumentos genéricos, ferramentas específicas por setor ou risco, e material de suporte técnico e treinamento.
No núcleo do toolkit encontra-se o chamado “Modelo Genérico de Avaliação Nacional de Risco de LD/FT”, publicado oficialmente em 2015. Essa ferramenta serve como ponto de partida para países que estão conduzindo sua primeira NRA ou que precisam de um modelo replicável e alinhado às exigências internacionais. O modelo oferece uma matriz central de risco em formato Excel, com fórmulas integradas para cálculo de pontuações de ameaça, vulnerabilidade e consequência; critérios padronizados para classificação de setores, produtos, canais e tipos de cliente; pesos e fatores de risco já calibrados segundo benchmarks internacionais; planilhas de entrada de dados (input) e de saída (output), permitindo visualizações por setor e por categoria de risco; capacidade de adaptação a diferentes tamanhos e níveis de maturidade institucional.
Em complemento ao modelo genérico, o Banco Mundial desenvolveu, a partir de 2022, uma série de módulos especializados que permitem avaliações temáticas e setoriais mais aprofundadas, alinhadas às tendências emergentes de risco. Esses módulos são:
- Terrorist Financing Risk Assessment Tool: voltado à análise específica dos riscos de financiamento ao terrorismo, com enfoque em tipologias, canais de movimentação, uso de ONGs e mecanismos de transferência informal.
- Legal Persons and Legal Arrangements ML Risk Tool: dedicado à avaliação de riscos associados a pessoas jurídicas, empresas de fachada, estruturas societárias opacas e trustes, com foco na ocultação de beneficiário final.
- Virtual Assets and VASPs Risk Tool: ferramenta especializada para avaliar riscos em ativos virtuais e prestadores de serviços relacionados (como exchanges, custodians e plataformas de P2P trading), com integração às diretrizes do GAFI de 2019 e aos novos padrões de regulação prudencial e tecnológica.
- Non-Profit Organizations TF Risk Tool: módulo direcionado à análise de risco de financiamento ao terrorismo por meio de organizações sem fins lucrativos, com base na Recomendação 8 do GAFI e nos casos registrados de desvio de finalidade em ONGs.
- Environmental and Natural Resources Risk Tool: ferramenta piloto voltada à avaliação de riscos associados a crimes ambientais e ao uso de recursos naturais como forma de gerar ou lavar recursos ilícitos, como mineração ilegal, tráfico de madeira, pesca predatória e comércio de carbono.
Além das ferramentas analíticas, o toolkit disponibiliza um conjunto robusto de materiais de apoio técnico, que incluem os manuais de orientação para aplicação das ferramentas; glossários técnicos e notas metodológicas; modelos de apresentações em PowerPoint para workshops, capacitações e painéis multissetoriais; cronogramas e checklists para gerenciamento do projeto NRA; formulários-padrão de coleta de dados com stakeholders.
Um diferencial importante do toolkit é que ele foi desenhado para funcionar em regimes colaborativos interinstitucionais, ou seja sua estrutura permite que diferentes agências ou grupos temáticos insiram dados, compartilhem percepções e validem hipóteses analíticas em um ambiente de trabalho colaborativo. Isso favorece a criação de comitês técnicos por setor (ex: bancário, não financeiro, ONGs, criptoativos) e estimula a corresponsabilidade dos atores na produção do diagnóstico nacional.
Do ponto de vista técnico o modelo do Banco Mundial adota uma metodologia quantitativa e qualitativa híbrida, baseada no cálculo de risco como uma função de:
Risco = Ameaça x Vulnerabilidade x Consequência
Cada uma dessas dimensões é subdividida em indicadores específicos, com escalas de avaliação geralmente de 1 a 4 (ou 1 a 5), pesos relativos e fórmulas automáticas de agregação que resultam na classificação final por setor, produto ou risco. O modelo é suficientemente flexível para permitir ajustes locais, mas robusto o bastante para garantir comparabilidade com outras jurisdições e aderência às diretrizes do GAFI.
Importante observar que o uso do toolkit não é obrigatório para os países membros do GAFI, mas sua adoção ou adaptação parcial é altamente recomendada e amplamente aceita nos processos de avaliação mútua. Países que utilizam a ferramenta tendem a obter melhor desempenho na comprovação da conformidade técnica com a Recomendação 1, bem como no Immediate Outcome 1 (eficácia na compreensão e coordenação dos riscos de LD/FT).
Para os profissionais de compliance e consultores que desejam acompanhar, entender ou apoiar o processo de NRA em sua jurisdição, o acesso ao toolkit permite compreender os critérios de classificação de risco que podem impactar sua empresa; simular cenários de risco interno com base nos mesmos modelos utilizados pelo governo; antecipar mudanças regulatórias com base na lógica analítica oficial; participar tecnicamente de workshops, consultas públicas e processos de coleta de dados, com contribuição qualificada.
O toolkit completo está disponível no portal do Banco Mundial, mediante aceitação dos termos de uso e pode ser acessado neste link oficial:
Este material do World Bank NRA Toolkit é uma ferramenta técnica de altíssimo valor estratégico, que democratiza o acesso à metodologia de avaliação de riscos complexos, fortalece a governança multissetorial e oferece aos paises um caminho estruturado para o cumprimento eficaz das exigências internacionais de PLD/FT. Sua adoção contribui para elevar o padrão técnico da NRA, para aumentar sua credibilidade junto a atores internacionais e para transformar o processo de avaliação em um verdadeiro sistema de inteligência regulatória integrada.
Queria agora comentar sobre o que considero algumas mensagens-chave, implicações práticas e recomendações estratégicas para os principais agentes envolvidos, desde o setor financeiro, autoridades reguladoras, órgãos de supervisão, conselhos de administração, comitês de auditoria e líderes de compliance. O objetivo desta conclusão é transformar o conhecimento construído nas seções anteriores em uma plataforma de ação concreta, que permita às instituições não apenas cumprir exigências regulatórias, mas extrair valor estratégico, governança e resiliência a partir da leitura, interpretação e internalização efetiva das NRAs.
A principal lição que emerge deste estudo é que as Avaliações Nacionais de Risco não são meros relatórios técnicos ou exigências formais do GAFI, mas sim sistemas integrados de inteligência institucional, projetados para alinhar o entendimento de risco entre os setores público e privado, orientar decisões regulatórias, estruturar programas de compliance e proteger a integridade do sistema financeiro. Elas operam como a espinha dorsal de um regime moderno de prevenção à lavagem de dinheiro e financiamento do terrorismo, estabelecendo prioridades, critérios, justificativas e evidências para intervenções coordenadas e proporcionais.
Para o setor financeiro regulado como bancos, seguradoras, corretoras, financeiras, fintechs, VASPs e DNFBPs o uso estratégico da NRA permite:
- Desenhar e calibrar a matriz de risco interna, alinhada à matriz nacional, com foco nos setores e produtos de maior risco identificados;
- Aprimorar os programas de diligência de clientes (CDD e EDD), especialmente em segmentos sensíveis como PEPs, offshores, comércio de alto valor e ativos digitais;
- Direcionar investimentos em tecnologia, treinamento e controles internos de forma proporcional e eficiente, com base em dados oficiais e atualizados;
- Antecipar mudanças regulatórias, ajustando processos antes que os normativos sejam formalizados;
- Reduzir risco regulatório e reputacional, demonstrando aderência à abordagem baseada em risco durante inspeções e auditorias;
- Integrar as conclusões da NRA à estratégia institucional, inclusive em decisões de expansão geográfica, desenvolvimento de novos produtos e avaliação de parceiros comerciais.
Para as autoridades reguladoras e supervisores, a NRA representa:
- Uma plataforma objetiva para priorização de esforços de fiscalização, inspeções, revisão de licenciamento e programas de orientação setorial;
- Um instrumento de alocação eficiente de recursos públicos, direcionando o aparato institucional aos setores com maior retorno esperado em mitigação de risco;
- Um mecanismo de alinhamento com os compromissos internacionais assumidos no âmbito do GAFI, GAFILAT, FMI, Banco Mundial e outras instituições multilaterais;
- Um canal legítimo para propor reformas legais e estruturais, amparado em diagnóstico técnico robusto e aceito internacionalmente;
- Um espaço de coordenação interinstitucional, que fortalece a governança entre bancos centrais, UIFs, ministérios, polícias e agências setoriais.
Para os conselhos de administração, comitês de auditoria e comitês de riscos, a NRA deve ser incorporada ao ciclo de governança da organização como:
- Um insumo de alta relevância estratégica, capaz de orientar a definição de apetite a risco, política comercial e plano de continuidade de negócios;
- Um parâmetro externo de risco, que fortalece a função de supervisão exercida pelo conselho sobre as decisões executivas em setores regulados;
- Um fator de risco transversal, que deve ser discutido em conjunto com temas como segurança cibernética, governança ESG, integridade corporativa e risco regulatório;
- Um indicador de maturidade de compliance e cultura de integridade, quando seus achados são devidamente incorporados, monitorados e reportados.
Para os líderes de compliance, risk officers, auditores internos e DPOs, as NRAs oferecem um roteiro técnico para:
- Elaborar relatórios internos de risco regulatório, com base em evidências externas validadas;
- Analisar lacunas nos controles internos, com foco na convergência entre riscos reais e riscos tratados;
- Reforçar a função de educação e treinamento, com material nacionalmente validado e contextualizado;
- Desenvolver planos de ação internos conectados aos planos de mitigação propostos pelas autoridades, criando sinergia institucional e facilitando interlocução com o supervisor.
No plano nacional, uma NRA bem conduzida permite ao país:
- Preservar sua reputação internacional, manter acesso a bancos correspondentes e participar do sistema financeiro global;
- Evitar sanções formais e informais, como inclusão nas listas do GAFI, aumento do risco-país ou exclusão de financiamentos multilaterais;
- Fortalecer a confiança institucional, interna e externa, sobre sua capacidade de prevenir crimes financeiros e proteger os fluxos econômicos lícitos;
- Transformar risco em oportunidade, utilizando os achados da NRA para aprimorar sua legislação, atrair investimentos responsáveis e fortalecer o setor privado local.
Ao consolidar todas essas implicações, torna-se evidente que a NRA não é fim em si mesma , mas é um meio estruturante para produzir alinhamento regulatório, governança baseada em dados, resiliência institucional e vantagem competitiva regulatória. As empresas que internalizam esse modelo operam em sintonia com a lógica contemporânea de supervisão baseada em risco. Os países que conduzem NRAs robustas passam a ocupar posições de liderança no debate internacional sobre integridade financeira e enfrentamento ao crime econômico.
Em um mundo onde a complexidade regulatória cresce exponencialmente, onde a criminalidade financeira se torna cada vez mais digital, fragmentada e transnacional, e onde a confiança institucional é o novo ativo estratégico das economias, a NRA é mais do que uma ferramenta técnica: é um pilar de soberania regulatória, um vetor de previsibilidade para o setor privado e um instrumento de defesa da reputação nacional.