Há mais de um ano, ela já é realidade no nosso ordenamento. Em breve, serão pelo menos 4 relevantes normas de PLDFT que abraçam a ideia de Abordagem Baseada em Risco: a Circular Bacen 3978, a Instrução CVM 617, a Circular SUSEP 612 e a Resolução COAF n.º 36.
Mas, após todos esses arcabouços normativos, já sabemos com certeza em que consiste a abordagem baseada em risco (ABR)?
A ABR não é nova no cenário internacional. De forma tímida, ela aparece, por exemplo, na primeira versão das 40 recomendações do GAFI-FATF, quando o órgão afirma que a Costumer Due Diligence (CDD) em instituições financeiras deve ser risk sensitive, sendo que para clientes classificados como de alto risco o GAFI já recomendava a enhanced due diligence, ou seja, procedimentos de avaliação reforçados.
Podemos debater, academicamente, o que é a ABR. Mas um começo simples pode ser se perguntar: o que está sendo abordado pela ABR?
A própria prevenção. Esse ponto é relevante e relativamente simples, mas pode causar confusão. ABR nada mais é que abordar a prevenção à lavagem de dinheiro a partir da identificação, avaliação e tratamento do risco de lavagem de dinheiro. É por isso que ela costuma ser oposta à Abordagem Baseada em Normas (ABN) (usualmente, fala-se em Regras, mas para não confundirmos as siglas, resolvi diferenciar).
Em uma perspectiva de ABN, a qualidade da prevenção à lavagem de dinheiro é mensurada pelo nível de conformidade às normas de PLD editadas pelas autoridades competentes.
Essas normas costumavam trazer uma série de obrigações que podem ser divididas em dois tipos de deveres: i) deveres de instalação de controles; e ii) deveres de comunicação.
Os deveres de controles mais comum dizem respeito à obtenção de dados amplos sobre os clientes (e, em um segundo momento, também sobre parceiros, fornecedores e empregados) e sobre as operações. Em ambientes de negócio mais dinâmicos, como bancos, esses deveres são complementados com a ideia de monitoramento, que é um controle de identificação parametrizado para ocorrer com alguma frequência e avisar quando ocorrer alguma alteração fora de um padrão previamente definido.
Os deveres de comunicação derivam justamente dos primeiros: quando os controles identificam uma situação ou operação suspeita, surge o dever de comunicar. A relevância do dever de comunicar é a de afastar um “dever de declinar”, ou seja, ao se comunicar a instituição obrigada estaria cumprindo com sua parte nos controles de PLD e não seria, portanto, obrigada a declinar de realizar a operação. Infelizmente, nossa Lei de Lavagem não explicita esse entendimento, mas ele pode ser defendido de forma sistêmica.
A ABR não rompe de forma radical com esse sistema. Afinal, os controles continuam sendo orientados por regra. Não entender isso é perigoso e pode gerar confusão. O que está sujeito à avaliação de risco é a decisão sobre qual controle utilizar, mas controles eficientes são lógicos, eles sempre replicam o mesmo resultado para as mesmas condições. Ou seja, o controle é um sistema simples, ainda que navegue por uma ampla complexidade de dados.
Por exemplo: controles de monitoramento de transações bancárias. Cada cliente tem um hábito de transação único, mas o programa de monitoramento pode comparar os hábitos de determinado cliente: i) com outros clientes com um perfil de renda, de idade, de localização (etc.) semelhante; e ii) com o histórico de histórico de operações daquele mesmo cliente.
Mas, via de regra, a definição de desvio – ou seja, de uma operação não-usual – é dada previamente. Assim, o controle se baseia em um universo de dados previamente coletado (e quanto mais dados houver, melhor tende a ser a análise), mas ele não cria parâmetros. Mesmo nas discussões mais avançadas sobre o uso de inteligência artificial com capacidade de aprendizado partem de um conjunto de dados e de um conjunto de regras e parâmetros iniciais, dados pelos profissionais especializados em PLD.
Onde, então, entra a diferença de uma abordagem baseada em risco?
Entra no fato de que o controle passa a ser avaliado não mais em um critério existe/não-existe, mas de adequação baseado no risco identificado. Para um risco menor, menos controle. Para um risco maior, mais controle.
Qual o nível de controle adequado? Depende do risco. O risco, por sua vez, precisa ser identificado e avaliado e esse é o papel da Avaliação Interna de Risco. A instituição obrigada, por sua vez, possui seu apetite por risco e um limite de risco que ela tolera, de acordo com a sua capacidade de controlar esse risco.
Assim, a qualidade dos controles passa a depender de sua adequação aos riscos identificados, ou seja, a principal novidade da ABR é colocar a avaliação de risco como elemento central da prevenção.
É óbvio que, mesmo em um cenário de ABR, há regras que permanecem em um cenário de existe/não existe. A identificação do beneficiário final, o registro das operações realizadas, entre outros, são deveres que independem do risco identificado. Dificuldades concretas na identificação dos beneficiários finais ou na descrição minuciosa das operações, no entanto, podem ser relevadas se estivermos falando de situações que apresentem um menor risco de lavagem ou de financiamento do terrorismo.
Em uma operação simples, que apresenta baixo risco de lavagem, passa a ser tolerável um menor rigor sobre a identificação minuciosa de todas as partes e seus beneficiários finais e de todos os detalhes de uma operação, mas também inadmissível em um cenário de maior risco – esse é o espírito da ABR.
Se a avaliação de risco é a peça inaugural da ABR, o registro do risco identificado em cada caso é seu complemento. A Avaliação Interna de Riscos pode ser vista como a estrutura, o design do programa de PLDFT e os registros, as avaliações pontuais, são seu conteúdo. O papel do compliance PLDFT se aproxima dos demais setores de risco.
Mas não se enganem: a ABR não gerará robôs avaliadores de risco – os parâmetros serão sempre decididos por humanos. O risco de lavagem que se avalia de forma estrutural ou a cada caso está sempre relacionado a um fator subjetivo e o desafio da instituição é tornar esses fatores o mais objetivos possível sem desnaturar o aspecto subjetiva dessa avaliação. Acontece que haverá, sempre, uma avaliação não quantificável na percepção do risco e na decisão de seguir ou não com um cliente ou com uma operação.
A liberdade de comércio, o princípio da confiança, o dever de polícia público, o histórico de relações comerciais com determinadas partes, os vínculos de costume local, entre outros, são parâmetros, dados e “regras” que não podem ser traduzidas em algoritmos sem perda de qualidade.
ABR é uma estratégia que reforça, portanto, o lado humano da tomada de decisão em matéria de PLDFT ao mesmo tempo que incentiva as empresas a tomarem decisões informadas e pautadas em dados.
AML Brazil / PLD Brasil 
[…] O foco é o risco. […]
CurtirCurtir
[…] a nova Circular Susep teve um papel relevante nisso, assim como a divulgação da Abordagem Baseada em Risco no […]
CurtirCurtir