iCVM 617: prevenção à lavagem para emissores e prestadores no mercado de capitais

A entrada em vigor iminente da Instrução CVM n.º 617 – que deve ocorrer em 1 de outubro de 2020 – e o pedido de alguns amigos e colegas que atuam no mercado de capitais me motivaram a analisar esta norma, também.

O mais relevante e que precisa ser objeto da atenção dos gestores, administradores, ecrituradores e demais pessoas obrigadas é que a iCVM 617 é uma norma substancialmente diversa da antiga, a iCVM 301. Uma simples “releitura” dos antigos documentos elaborados para atender aos preceitos de PLDFT vigentes não será capaz de satisfazer a exigência de uma Abordagem Baseada em Risco – exigência explícita da nova norma.

Diferentemente inclusive da Circular Bacen 3.978,  a nova norma da Comissão traz o conceito de Abordagem Baseada em Risco (ABR) no texto da instrução.

Isso faz da iCVM 617 o maior exemplo da mudança de paradigma em PLD de que falei no primeiro post deste blog.

Uma forma boa de sistematizar a norma para analisá-la é pensar nos documentos que precisarão ser elaborados para estar em conformidade – mas, antes, mais alguns destaques relevantes precisam ser feitos.

A CVM deixou claro, agora, quem são as pessoas obrigadas. Além daqueles sobre quem não havia dúvida (distribuidoras, corretoras, intermediários, etc.), a iCVM 617 traz uma lista esclarecedora de pessoas obrigadas: escrituradores, consultores, agências de classificação de risco, representantes de investidores não residentes, securitizadoras e auditores independentes.

É verdade que, nos termos da Lei de Lavagem,  já estava clara a vinculação dessas pessoas aos deveres PLDFT, mas a norma da Comissão faz bem ao tirar qualquer dúvida do radar.

Outro ponto da conjuntura atual e que precisa ser levado em consideração pelos gestores é que o “poder de fogo” da CVM aumentou significativamente nos últimos tempos. A edição da iCVM 607, sobre processo administrativo sancionador, bem como edição da Lei 13.506/2017 antes dela, remodelaram a atuação punitiva da Comissão. Os últimos Relatórios de Atividade Sancionadora têm deixado claro que aumentaram os valores das multas, a frequência das sanções de inabilitação e proibição e – atenção – o número de comunicações enviadas ao Ministério Público.

Pois bem, vamos aos documentos:

1. Política PLDFT (art. 4º)
   • Aprovação pela alta administração (art. 4º, §1º, II)
   • Regras de intercâmbio de informações entre sociedades integrantes do mesmo conglomerado, se for o caso (art. 4º, §2º);
   • Não há previsão de documento apartado para critérios de identificação de beneficiário final e práticas KYC, que podem integrar capítulos próprios da Política.
2. Avaliação Interna de Risco (art. 5º)
   • Relatório de Efetividade, de responsavilidade do Diretor responsável por PLDFT com indicadores de efetividade  (art. 6º);
     • Aprovação dos demais diretores de áreas de risco, se for apresentado o relatório integrado previsto no artigo 6º, §2º.
3. Regras, Procedimentos e Controles Internos escritos (art. 7º)
4. Registros de eleição do diretor PLDFT e de comunicação à CVM, à B3 e ao órgãos de autorregulação (art. 8º, §1º), se for o caso
   • Aprovação, por parte da sociedade, de sujeição ao diretor único do conglomerado, se for o caso, art. 8º, §5º).

Sobre esse conjunto de documentos, uma observação inicial: diferentemente do BACEN, a CVM não exige que cada subconjunto de procedimentos integra um manual autônomo. Isso não impede que as pessoas obrigadas desenvolvam esses manuais – a Política, por exemplo, não se confunde com o conjunto de regras que precisa ser escrito. As instituições são livres para, por exemplo, optar pelo desenvolvimento de um manual com modelos de registro de análise de operações e situações suspeitas e de comunicações ao COAF ou de um pequeno manual autônomo para cumprimento das obrigações relativas às listas do CSNU.

A Política PLDFT é o coração do programa de compliance das empresas reguladas pela CVM. Ela deve conter os elementos da ABR incluindo seus aspectos de governança e de procedimentos (dispensando especial atenção aos critérios de KYC, KYE, KYP, KYS que serão adotados), bem como os parâmetros de identificação de beneficiário final, dos indicadores de efetividade, enfim, das linhas reitoras  do programa.

É importante ressaltar que a iCVM 617 traz obrigações amplas, o que significa, na prática, que a Comissão espera uma leitura precisa e sincera do risco das pessoas obrigadas, mas também dos esforços que a empresa irá empregar para identificar e mitigar esses riscos. Uma das formas de levar esse projeto a cabo é estruturar, na Política, uma rotina de Risk Apetite Statement , bem como um descritivo realista da área responsável pela função de compliance.

Por isso, sempre recomendo que a Avaliação de Risco preceda a elaboração da Política, ainda que, após sua aprovação, seja refeita a Avaliação com base em critérios adicionais estipulados na Política. [Obs.: nesses caos, a Avaliação não precisa ser refeita do zero, mas pode ser complementada].

É com base em uma avaliação concreta dos fluxos de processos da instituição, por exemplo, que a Política poderá estipular os prazos de avaliação das operações e situações e os critérios para realização ou não das comunicações ao COAF, como destaquei em artigo para a Capital Aberto. A iCVM 617 não estipula o prazo, deixando inclusive esse importante critério para estruturação da ABR da instituição, mas, atenção, temos um parâmetro de prazo máximo no mercado financeiro, que é o de 45 dias previsto na Circular Bacen 3.978. Por fim, após encerrada a avaliação, o prazo para realizar a comunicação permanece sendo de 24 horas.

Outro ponto que precisa ser levado em consideração na Política são as limitações concretas que a instituição têm para obter informações de parceiros e clientes (nota: o cliente é, pela definição da norma, o investidor! Em caso de securitizadoras, por exemplo, o cedente deve ser considerado um parceiro, a companhia emitente do título objeto de distribuição e corretagem, também). Se uma instituição se vê impossibiltada de levantar todas as informações necessárias para realizar a sua própria análise de risco de uma operação e/ou de um cliente, ela pode gerenciar esse risco por estratégias contratuais – mas é importante que essa hipótese seja prevista e estruturada na Política e não seja objeto de uma decisão de última hora.

Na indústria de fundos, é importante que a Política preveja uma metodologia específica para a due diligence dos objetos de investimento. SIM, essa pode ser uma das maiores mudanças do enforcement da 617, e ponto de atenção especial para gestores de fundos: a DD de PLDFT.

Essa auditoria terá um foco PLDFT e seu objeto será a avaliação da licitude da origem do alvo do investimento e/ou a avaliação do risco futuro do uso do investimento em atividades que configurem infrações penais.

Essa modalidade de auditoria vai impactar todos os fundos, mas ela deve ser de especial atenção para os FIPs, porque existe uma modalidade específica de cometimento do crime de lavagem pela “participação“.

Por fim, é importante lembrar que a Política pode prever como a organização irá mensurar o risco do envolvimento em negócios com outras instituições sujeitas a controle PLDFT . Vale lembrar, por desencargo, que companhias abertas não são sujeitas aos controles PLDFT pelo simples fato de terem capital aberto, mas podem ser pessoas obrigadas em função de seu objeto social. Essa é uma informação relevante principalmente para quem atua no mercado de varejo (negociar títulos de uma companhai aberta que deveria ter os controles de PLDFT, mas não tem, é um negócio de alto risco).

Com relação à Avaliação de Risco é importante lembrar que ela deve levar em consideração não apenas os riscos de clientes (o contexto de cada cliente, sua situação financeira, localização geográfica, PEP, etc.), mas também os riscos atrelados aos produtos (fazendo distinções específicas entre as diversas estratégias de investimento, entre os produto de varejo, etc.) e aos “canais de venda” (relacionamento digital, interface com agentes autônomos, concentração em conglomerado ou não, etc.) e, por fim, os riscos das contrapartes (investidas, parceiros, fornecedores, etc.).

A avaliação, portanto, tem um tripé: clientes/ produtos/ parceiros, que precisam ser classificados minimamente com o parâmetro de risco baixo/médio/alto. A recomendação adicional para instituições que fazem parte de um conglomerado financeiro é incluir na avaliação um quarto elemento: o risco de governança, vinculado à possibilidade de situações de conflito de interesse.

O Relatório de Efetividade é um documento que precisa ser elaborado já para o ano de 2020, e deve ser técnico. Com isso quero dizer que este relatório precisa focar em informações quantitativas – os indicativos de efetividade – capazes de traduzir os resultados do programa implementado em dados objetivos e mensuráveis.

A iCVM 617 não deixa claro se a as Regras, Procedimentos e Controles podem integrar a Política, como disse acima, mas tudo indica que esses elementos serão avaliados separadamente. A Política, destacamos, também deve ser aprovada pela alta administração, enquanto que as regras procedimentais podem ter um fluxo de aprovação mais flexíveis, de modo que é interessante não amarrar os dois documentos. Elas devem trazer comandos claros e simples, plenamente direcionados aos profissionais da instituição de forma realista, atribuindo responsabilidades concretas a cargos específicos e prevendo as etapas de cada controle. Aqui, o maior desafio é objetividade e clareza, sendo o detalhamento dos procedimentos o alvo desse “manual”. A rotina de treinamentos também deve ser endereçada no documento das Regras, Procedimentos e Controles.

Esses são apenas alguns comentários, para auxiliar a todos os profissionais de PLDFT que têm até o dia 01 de outubro para atualizarem seus procedimentos! Boa sorte a todos, há muito a fazer!