Circular Bacen 3.978: das Fintechs aos Conglomerados

Entrará em vigor em outubro a nova norma de PLD aplicável às pessoas jurídicas autorizadas a funcionar pelo Banco Central do Brasil.

Enquanto rascunho o próximo post com os Comentários Esparsos, resolvi abordar um pouco os possíveis impactos da nova norma do Bacen para as IFs. Traço algumas anotações especiais para startups do setor financeiro conhecidas como Fintechs, mas também para a situação dos conglomerados (até porque, nos últimos anos, várias Fintechs foram objeto de investimento de grandes conglomerados financeiros!).

A grande novidade da 3.978 é, sem dúvida, sua aproximação ao conceito de abordagem baseada em risco (ABR), ainda que – diferentemente da iCVM 617 – o termo não tenha aparecido de forma explícita no texto da regulação.

Os documentos pelos quai a ABR vai se materializar nas pessoas obrigadas sujeitas à nova norma do BACEN são:

1. a Política PLDFT (art. 2º);
   • a aprovação da Política pela alta administração (art. 7º, II)
   • a formalização por parte da sociedade da adoção da Política do conglomerado, se for o caso;
   • as diferentes “versões” da Política, comunicadas aos diversos stakeholders (nos termos do artigo 6º)
2. a Avaliação de Risco (art. 10º)
   • a formalização por parte da sociedade da adoção da Avaliação de Risco do conglomerado, se for o caso
3. Manual de KYC (art. 13, §2º)
   • especificação dos procedimentos de identificação de beneficiário final e avaliação de risco de administradores e representantes (art. 24)
   • especificação dos procedimentos de identificação de PEP (art. 27)
4. Manual de avaliação de operações e situações suspeitas (art. 38, §3º, IV)
   • a formalização por parte da sociedade da adoção do Manual de avaliação de operações e situações suspeitas do conglomerado, se for o caso (art. 42, § único)
   • a formalização por parte da sociedade da adoção dos mecanismos de avaliação de operações e situações suspeitas do conglomerado, se for o caso (art.  46, § único)
   • a formalização por parte da sociedade dos canais unificados de comunicação ao COAF do conglomerado, se for o caso (art. 52)
5. Documento de KYE/KYP (art. 57)
6. Relatório da Avaliação de Efetividade (art. 62)
   • a formalização por parte da sociedade da sujeição à avaliação conjunta de efetividade do conglomerado, se for o caso (art. 64, § único)

Além disso, as financeiras também podem desenvolver modelos padrão dos seguintes documentos:

• modelo de contrato com instituição de pagamento não autorizada a funcionar pelo BACEN (art. 31)
• modelo de dossiê de análise de operação e situação suspeita (art. 43, §2º)
• modelo de detalhamento de comunicação ao COAF que integra o dossiê de análise de operação e situação suspeita (art. 48, §1ª, II)
• modelo de comunicação de não ocorrência (art. 54)
• modelo do plano de ação de solução de deficiências (art. 65, §2º)

Essa sistematização dos documentos é importante para que, até a entrada em vigor da 3.978, a instituição possa acompanhar o desenvolvimento da adaptação à nova norma como um verdadeiro projeto.

Com relação aos documentos, em 01 de outubro de 2020, é imprescindível que todos os 5 primeiros documentos listados acima estejam preparados. É possível agregar os documentos em dois centrais, a Política PLDFT e a Avaliação de Riscos. Não é recomendável unir esses dois documentos, inclusive para segregar as responsabilidades por sua respectiva elaboração.

Contudo, não há maiores prejuízos na existência de uma versão abrangente da Política PLDFT que inclua os parâmetros da avaliação de risco, as metodologias tanto de identificação de cliente/beneficiários finais (KYC), quanto de empregados, parceiros, terceiros, etc. (KYE/KYP) e o manual de avaliação de operações suspeitas.

Se a instituição optar por congregar esses documentos como “capítulos” da Política, é relevante, ainda que ela elabore outras “versões” da política, menos detalhadas e mais claras, voltadas para os diversos públicos que precisarão ser atingidos, por força da própria norma.

O coração da política será dividido em três: i) um descritivo da área responsável pelo PLDFT; ii) as diretrizes da metodologia da avaliação de risco (ponto central para desenvolver a abordagem baseada em risco) e para a avaliação de efetividade; iii) os gatilhos para alterações que dependam do engajamento da alta administração.

Com relação ao descritivo da área de PLDFT, é importante observar não apenas o descritivo de funcional e de aparato técnico (lembrando, sempre, da designação de budget mínimo e dos mecanismos que garantam ao diretor de PLDFT acesso irrestrito a todas as operações e informações da instituição), mas também os mecanismos que garantam independência de conflito de interesses com o conglomerado (se for o caso), nacionalização da estrutura do compliance e o engajamento de terceiros.

Este último ponto foi bastante debatido no edital de consulta pública que precedeu a Circular e, ao final, o Bacen deixou claro que as instituições podem sim contratar serviços auxiliares à avaliação das operações e situações suspeitas. O que ficou vedado foi a terceirização dessa avaliação. Justamente por isso, defendo que a política precisa prever os casos e etapa de engajamento de profissional especializado / consultor, porque essa é a maneira mais segura de se evitar que essa contratações fiquem caracterizadas como terceirizações ao serem feitas às pressas.

As diretrizes da avaliação de risco e de efetividade não se confundem com a metodologia específica de cada relatório – elas devem ser mais genéricas, justamente para que a política não precise ser alterada a cada pequena mudança que ocorra na instituição. Por outro lado, ela deve já prever a realização de avaliações de risco complementares e setorizadas para o lançamento de novos produtos, de novos canais, de novas regiões de atendimento presencial, etc.

O último ponto do que chamei de o coração da política é o mais negligenciado – e isso afeta muito a vida do diretor de PLDFT. A política precisa prever casos de envolvimento da diretoria (e, se necessário, do conselho e/ou de outros órgãos instalados) sempre que necessário, como, por exemplo:

• aprovação de contratações de serviços complementares para a área de PLDFT;
• aprovação de relatórios e políticas (lembro que os procedimentos de KYC precisam ser aprovados pela diretoria e não apenas pelo diretor PLDFT – art. 13, §3º);
• aprovação de cláusulas de contratação de parceiras internacionais e/ou de instituições de arranjo de pagamento não reguladas;
• aprovação de avaliações de risco complementares e do relatório de efetividade;

Essas e outras previsões precisam constar da política para evitar, justamente, que a cada vez que ocorram – em especial, se ocorrerem em situação de pressão, de operação suspeita, etc. – isso gere um problema de governança na instituição.

A seu turno, a Avaliação de Risco precisa ser extensa e flexível. Por extensa, quero dizer que ela precisa desenvolver cada um dos objetos da análise (clientes, produtos, canais, etc.) com seus critérios próprios e isso pode ser feito de modo a dialogar com outras metodologias de avaliação de risco que já existam na instituição (riscos operacionais, de crédito, liquidez, de prevenção à corrupção, LGPD, etc.). Por flexível, faço referência ao “estilo”, pois ela precisa ser capaz de incluir sub-análises de novos perfis de risco (de cliente, de produto, etc.) que sejam identificados.

Alguns pontos estão sendo deixado de lado nas discussões sobre Avaliação de Risco em instituições financeiras: a diferenciação da avaliação do onboarding e dos novos produtos com o histórico de clientes ativos e inativos e dos produtos que já estão em uso. via de regra, esses dois cenários (antigo – novo) apresentam perfis de risco diferentes e precisam ser endereçados de forma diversa.

Nos conglomerados, as instituições que forem simplesmente adotar a mesma política e demais documentos definidos pelo conglomerados podem tomar um cuidado adicional com relação aos seus diretores PLDFT autorizando-os a gerar um relatório de avaliação de conflito de interesse e/ou de suficiência da política do conglomerado para a sociedade.

Isso é particularmente importante caso a sociedade que pertence ao conglomerado também seja uma pessoa obrigada sujeita à regulação PLDFT de outro órgão regulador (ex.: CVM, SUSEP, COFECI, CFC, etc.).

Com relação aos manuais de KYC/E/P alguns comentários. KYC é, hoje, um serviço bastante automatizado. A nova versão da lista de PEPs é, certamente, o maior desafio, porque hoje é impossível manter atualizado a lista integra de PEPs a nível municipal. Veremos o que o Bacen dirá nos próximos anos em relação a isso. Por outro lado, a validação de beneficiário final deve ser objeto de uma avaliação específica. Isso porque, em situações em que o cliente apresente algum desvio de risco, a validação não poderá se basear somente na declaração, por exemplo.

Esse é um problema muito comum quando o BF se encontra no exterior. Aí, trata-se de prever uma metodologia específica de avaliação de risco para saber se vale o investimento de ir atrás dessa informação em bancos de dados no exterior ou não – isso deve ser previamente elaborado de acordo com o perfil de risco da instituição.

Com relação a KYE é preciso que o manual respeite tanto a jurisprudência trabalhista já consolidada sobre os limites da investigação sobre o perfil dos empregados, quanto as normas de proteção de dados pessoais.

O manual de KYP deve ser elaborado levando em consideração os diferentes níveis de envolvimento e parceria que compõem, de forma realista, os negócios do banco, lembrando que, como comentei em outros posts, existem modalidades do crime de lavagem de dinheiro que ocorrem justamente por investimentos/parcerias/participações/financiamentos, etc.

Por fim, o ponto de maior atenção quando o assunto é responsabilidade pessoal do diretor de PLDFT e do time de compliance: o manual de avaliação de operações e situações suspeitas. O primeiro ponto, antes que seja esquecido: sim, situações suspeitas – cabe ao manual definí-las e essa definição será essencial para basear os treinamentos dos funcionários da instituição. O pior erro a ser cometido aqui é ignorar a existência de obrigações específicas com relação às “situações” suspeitas, focando apenas nas operações.

Em segundo lugar, é preciso lembrar que há duas correntes com relação ao peso normativo das comunicações: sua realização afasta os riscos de sanções administrativas e até mesmo penais; sua realização é apenas a satisfação de uma obrigação e não afasta o risco de sanções. Explicarei com detalhes em um posto futuro nos Comentário Esparsos, mas me filio à primeira corrente. Em todo caso, contudo, a comunicação não afasta o risco de imagem e comunicações mal feitas ou não realizadas continuam expondo a instituição e o time de PLDFT.

Portanto, é muito importante que o manual seja detalhado, inclusive dando margem para a área de compliance solicitar assessoria de outras áreas do banco (controladoria, equipe análise de risco, jurídico) e assessores externos.

Um ponto relevante, também, e que demonstra a maturidade de instituições maiores, é alocar no manual de avaliação de operações e situações suspeitas uma previsão para situações de crise, quando os prazos forem muito curtos, ou mesmo em caso de perda do prazo ou de realização de comunicações equivocadas, e assim por diante.

Para concluir este longo comentário à 3.978, uma última tese: já em 2020 será preciso elaborar um primeiro relatório de efetividade que deverá cobrir pelo menos o período de outubro a dezembro, sob a vigência da nova Política PLDFT e, se possível, cobrindo também os trabalhos feitos antes da entrada em vigor da nova Circular. O documento precisará ser elaborado até março de 2021.

Estes são os principais pontos de atenção que devem ser levados em consideração. Tentei ser justo tanto com as iniciantes Fintechs, quanto com os conglomerados que já estejam estabelecidos! O prazo é curto e há muito trabalho a ser feito! Boa sorte a todos os profissionais de PLD!