Dicas para uma Matriz de Risco PLDFT

Este post foi feito com base em diversas conversas que venho tendo com profissionais de compliance do mercado financeiro e de capitais nos últimos meses, focando especialmente nas dificuldades resultantes das metodologias da Abordagem Baseada em Risco.

Como resultado de – e, também, como forma de agradecimento por – todas essas conversas, resolvi listar 10 dicas para profissionais que estão fazendo ou revendo as matrizes de risco PLDFT de suas organizações, em especial para as que estão se adaptando à Circular BACEN 3.978 e à iCVM 617.

O blog já está chegando ao seu terceiro mês e tem gerado um impacto positivo além do que eu poderia imaginar, e esta é uma forma de agradecer aos diversos feedbacks! Em breve, continuarei com os comentários esparsos à Lei de Lavagem.

10 dicas para uma boa matriz de risco PLDFT:

1. Conheça a norma...

As normas de PLD, cada vez mais, apresentam uma divisão clara entre requisitos concretos e requisitos “abstratos”.

Os requisitos que chamo de concretos ou objetivos geralmente se materializam na obrigação de estruturar documentos (Avaliação de Risco, Política PLDFT, Manual de KYC/BF, etc.) e seus respectivos trâmites de aprovação (quem precisa aprovar? qual será o fluxo de revisão? etc.). Outras obrigações (designação de diretor, adoção dos modelos de cadastro, etc.) também são facilmente identificáveis e podem ser “tabeladas”, como um verdadeiro check-list a ser cumprido.

Já os requisitos abstratos, que realmente dão mais trabalho, também podem ser listados para que haja um acompanhamento da evolução de sua implantação. Trata-se do desafio de transformar questões subjetivas em parâmetros claros e concretos, como, por exemplo medir o nível de aculturação PLDFT da organização e dos colaboradores, mensurar o apetite de risco, etc. Ao fazê-lo, você já pode endereçar os aspectos que guiarão a elaboração do relatório de efetividade, acompanhando o cronograma de evolução da organização com relação ao assunto.

2. … mas não se esqueça da Lei

É virtualmente impossível prevenir lavagem de dinheiro sem saber o que ela significa. E, atenção, as normas de PLDFT não definem lavagem de dinheiro – é imprescindível conhecer as facetas do crime de lavagem, dispostas na Lei.

Não por outro motivo, tenho insistido nas modalidades em que este crime pode ser cometido. A organização somente poderá superar o paradigma “cara-crachá” de prevenção – o qual, muitas vezes, se resume ao cumprimento das obrigações de conheça seu cliente (KYC) – se prestar atenção nas diversas possibilidades do cometimento da lavagem e evoluir para uma robusta abordagem baseada em risco.

3. Avalie o Risco por Produto…

A avaliação do risco por produto é uma necessidade regulatória, mas, mais que isso, é uma metodologia acertada. Ela envolve um exercício simples de suposição: “se eu fosse um lavador, como eu poderia fazer uso do produto X, Y ou Z para esquentar meus recursos”?

A partir desse exercício hipotético, é possível mapear os perfis de risco do produto e reconstruir, também, os perfis de clientes mais propensos a apresentar riscos PLD no uso de determinados produtos.

Compreender as possibilidades de triangulação, a facilidade em realizar diversas operações simultâneas, o nível de diligência exigido pela lei em relação aos clientes (diligência a ser feita pela própria organização ou por outras pessoas obrigadas envolvidas na articulação de determinado produto) são os pontos fortes de centralizar o risco do produto como eixo da metodologia da avaliação de risco.

Na prática, isso pode ser feito listando os produtos e confrontando-os com elementos típicos do risco de lavagem: internacionalização, liquidez, terceirização, etc.

4. … e explore a diversidade dos Canais

Um título vendido por um gerente em uma conversa presencial apresenta um perfil de risco diverso do mesmo título, se vendido por aplicativo e precificado por algoritmo.

Se sua organização atua com diferentes canais, ela precisa cobrir e compreender a diversidade dos riscos por canais. Inclusive, é isso que permitirá que ela explore novos canais de forma segura – uma espécie de prevenção by design.

E para avaliar bem os canais é preciso conversar com quem os conhece – uma avaliação de risco dos canais digitais que não envolve os profissionais especializados no asunto está provavelmente fadada ao fracasso.

5. Terceirize… o que puder ser terceirizado

No momento de compreender seus riscos, é importante ter consciência de o que é possível avaliar internamente, assim como do o que é recomendável avaliar apenas internamente ou terceirizar. A diferença é sensível.

Se a área de PLDFT será responsável por gerir os riscos identificados, é sempre uma boa medida de governança validar externamente os riscos mapeados e a metodologia desenvolvida, para evitar qualquer suspeita de conflito de interesses e diminuir o custo de responsabilidade pessoal do gestor responsável por compliance.

Além disso, as normas de PLDFT autorizam expressamente a contratação de serviços auxiliares – sendo vedada, no caso da Circular Bacen, por exemplo, a terceirização da tomada de decisão, o que faz todo sentido.

Tanto a terceirização de serviços específicos quanto a contratação de profissionais capacitados são fatores que devem ser levados em consideração na matriz de risco!

6. Deixe rastros

Não é exagero dizer que a matriz de risco é viva. Por isso, sua elaboração e seu aprimoramento são objetos de constante atenção.

Essas são funções essenciais atreladas ao compliance, de modo que é importante comprovar não apenas o ponta-pé inicial, mas também a evolução. Todas as decisões tomadas, as evoluções nos processos, as contratações estratégias são exemplos de passos devem ser arquivados como registro e prova da competência do “design” do programa de compliance.

A matriz deve ser encarada como um projeto da organização, estruturado o suficiente para deixar registros ordenados.

Esses rastros também servem de garantia para o compliance officer.

7. Diversifique o Risco

Todos os coaches e terapeutas que atendem profissionais de compliance devem ouvir a mesma reclamação: “eu gostaria de participar mais do negócio, do business”. Ter mais ingerência, proatividade e relevância nas tomadas de decisão que geram resultados para a organização são anseios legítimos que todo profissional corporativo tem.

A matriz de risco pode servir para esse fim.

A identificação do risco pode ser o ponto de partida para medidas estratégicas de diversificação de risco e modelagem de novos produtos e soluções (derisking, alterações nos fluxos, alterações nos projetos, exploração de dados cadastrais de formas legítimas, etc.) que diminuam custos e/ou aumentem o faturamento.

8. Seja criativo e prático

A matriz de risco não precisa ser uma tabela, um arquivo no excel.

Há inúmeras formas criativas de apresentar resultados de avaliação de riscos, de apresentar os fluxos, os inputs de probabilidade e de impacto, os resultados. A matriz pode gerar gráficos automáticos, pode ser integrada com alguma rede da instituição, pode usufruir de redes neurais (em breve, um texto sobre isso neste blog!).

Mas não se perca: entregue o resultado exigido e o resultado esperado – o que for além, é mérito seu, certamente.

9. Foque no PLD – mas não ignore o FT 

Até segunda ordem – ou seja, até que estudos internacionais, comunicações do GAFI ou do CSNU reportem o contrário – o Brasil não é um polo de financiamento do terrorismo. Contudo, nosso país sofre de um mal endêmico de lavagem de ativos.

Não há, portanto, justificativa político-econômica para que os programas de prevenção dispensem os mesmos esforços em prevenção ao financiamento do terrorismo e em PLD.

A verdade é que PLD deve ser o centro das atenções das pessoas obrigadas. Isso posto, é preciso ao menos traçar o episódio, verdadeiro cisne negro, de a organização identificar recursos vinculados a pessoas potencialmente ligadas a atos terroristas e que estejam sujeitas ao regime de congelamento automático de bens.

Será imenso o impacto na organização que deixe passar uma situação de identificação de financiamento ao terrorismo que teria sido possível por meio de controles simples, tais como a extensão da verificação de listas de KYC, para incluir as atualizações do CSNU.

10. Compartilhe!

Nada se constroi a sós, ainda mais nesse mundo compartilhado, interligado e globalizado! Então, compartilhe este texto em suas redes e envie o seu feedback!

 

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s