Avaliação Interna de Riscos LDFT

Em Pílulas:

1. Os riscos são a possibilidade e o impacto da ocorrência de um evento danoso para a organização, como, por exemplo, ter um de seus produtos utilizado para lavar dinheiro;
2. Os riscos LDFT podem ser identificados e mensurados de acordo com a probabilidade e o impacto, de forma direta, avaliando cada evento possível ou de forma indireta, avaliando os gaps da organização;
3. Os gaps são avaliados de acordo com as falhas da organização em identificar, mensurar e tratar os fatores que podem causar ou aumentar o risco LDFT, como, por exemplo, os clientes, os produtos, os canais, os parceiros, etc.
4. Uma boa Avaliação Interna de Riscos aborda não apenas os fatores que causam ou aumentam os riscos, mas também apresenta um plano de ação para prevenir e mitigar os riscos a partir de soluções concretas para os gaps identificados.

A mudança de perspectiva da abordagem baseada em regras para a abordagem baseada em riscos em matéria de PLDFT coloca a Avaliação Interna de Riscos (AIR) das organizações em evidência.

Nessa nova abordagem, os controles e mecanismos adotados pelas organizações deverão ser pautados nos riscos concretos identificados e terão por objetivo prevenir e mitigar esses riscos, o que faz com que a avaliação se torne o coração dos programas de PLDFT.

A partir de uma boa AIR, os parâmetros de implementação de um bom programa estarão dados, bem como os parâmetros para uma ponderação objetiva a ser realizada a título de Avaliação de Efetividade.

Mas em que consiste uma boa AIR?

Quando falamos em risco, é lugar comum descrever essa categoria como sendo composta de dois fatores relacionados: a probabilidade e o impacto. Esses dois fatores dizem respeito a um evento cujas chances de ocorrência e danosidade à organização são objetos de mensuração. Medir o risco, portanto, é medir a probabilidade de ocorrência e o potencial de dano de determinado evento.

Acontece que os riscos podem ser identificados, mensurados e avaliados e essa operações tem metodologias próprias e resultados distintos.

A identificação de um risco geralmente diz respeito a percepção de uma possibilidade que se torna concreta. Por exemplo, em matéria de LDFT, uma determinada pessoa obrigada não irá identificar riscos de lavagem atrelados à atividade imobiliária se ela não atua nesse setor. No entanto, ao adquirir determinada participação societária em uma empresa imobiliária, essa possibilidade passa a existir, de modo que o evento “lavagem de dinheiro por meio de transação imobiliária” se torna possível, tornando esse risco identificável.

Vamos continuar com nosso exemplo.

Se a nossa empresa fictícia investe em uma companhia que loca imóveis próprios, o risco de lavagem existe, mas a probabilidade identificada é menor que se a empresa investida atuasse no mercado de fundos imobiliários, incorporação ou loteamento. Essa avaliação da probabilidade diz respeito às facilidades de se utilizar determinado instrumento econômico (a locação ou a aquisição de cotas ou a compra e venda de imóvel) com o intuito de lavar dinheiro.

Uma menor possibilidade de ocorrência do evento danoso não diminui o impacto que esse evento traria para a instituição, mas certamente diminui o risco e o torna mais fácil de ser controlado, diminuindo a exigência sobre os controles – aqui, já estamos falando de mensuração de riscos.

As metodologias de identificação e mensuração de riscos sempre dependem, em algum grau, de critérios subjetivos, geralmente atrelados aos conhecimentos prévios de quem realiza essa análise. Esse conhecimento diz respeito não apenas ao aparato legal e regulatório, mas também de casos concretos, de recomendações de órgãos nacionais e internacionais, da jurisprudência, da imprensa, além, claro, de um bom conhecimento do próprio negócio, das estruturas contratuais, dos ativos reais e societários, e assim por diante

Para evitar que a análise de identificação e mensuração dos riscos se torne um evento muito subjetivo, porém, as pessoas obrigadas podem recorrer a soluções da AML Reputacional.

Os elementos objetivos na análise dos riscos em matéria de LDFT dizem respeito ao fato de que, de forma global, há uma metodologia bastante consolidada com relação aos passos que devem ser seguidos na identificação e na mensuração desses riscos a partir da revisão de determinados fatores que geram o risco de lavagem.

Por isso a metodologia de avaliação de riscos LDFT é estruturada a partir da avaliação do estado real dos grupos que são considerados não riscos em si, mas fatores de risco ou causadores de risco, que são: os clientes, os parceiros, os funcionários, os produtos e serviços e os canais de venda/distribuição.

Podemos falar que a avaliação de riscos é o processo total de análise (com começo, meio e fim) desses fatores, o qual permite mapear o risco a partir de tomadas de posicionamento sobre esses fatores. Essas tomadas de posicionamento, por sua vez, integram a subjetividade do apetite de risco da organização e são indissociáveis do estado de maturidade não apenas da organização, mas também do setor e em grande medida da regulação e do país em que se encontra.

Ou seja, a regulamentação já lista quais são os principias elementos que precisam ser verificados para a identificação de riscos atrelados a fatores concretos. Essa é a razão pela qual se analisam as bases de clientes em busca de indícios que podem apontar um acréscimo do risco não pelo impacto, mas pela probabilidade.

O sistema regulatório me matéria de PLDFT considera mais provável que pessoas com um histórico criminal declarado ou pessoas com exposição política, entre outros, possuem uma chance maior de utilizar os produtos de determinada empresa com o intuito de lavar dinheiro.

A AIR típica de lavagem, portanto, não é um procedimento de identificação e de mensuração dos diversos eventos-lavagem possíveis dentro de uma organização específica, e sim uma avaliação a partir da identificação dos elementos que podem aumentar ou diminuir a probabilidade de ocorrência de uma operação ilícita de lavagem.

Por isso são avaliados os causadores de risco e a avaliação precisa considerar a exposição da organização a esses causadores.

Possuir clientes que sejam pessoas expostas politicamente é um fator que aumenta o risco de lavagem pelo eixo da probabilidade, mas isso pode ser objeto de medidas de prevenção específica, como, por exemplo, saber quem são esses clientes e monitorar suas operações.

É por esta razão que a AIR não é apenas um procedimento de identificação, mas uma verdadeira avaliação que precisa dizer se as medidas concretas adotadas pela organização tratam corretamente o risco a que a organização se expõe e se são compatíveis com seu apetite de risco.

Uma boa AIR, portanto, precisa incluir uma análise dos gaps da instituição, que podem estar nas etapas de identificação ou mensuração dos riscos, a partir dos elementos que são de análise obrigatória (clientes, produtos, parceiros, etc.) ou nas medidas de tratamento desses riscos, que são os controles especificamente adotados.

A etapa final de toda AIR bem sucedida deverá ser um plano de ação para remediar os gaps identificados e prevenir e mitigar os riscos identificados.

Por fim, uma AIR excepcional vai além: antecipa potenciais gaps e riscos futuros a partir dos movimentos de expansão e novos negócios que serão engajados na organização.