Abordagem integrada da resiliência

A resiliência integrada como abordagem integrada das capacidades de adaptação e restabelecimento

No contexto da gestão integrada dos riscos de criminalidade financeira, a resiliência integrada deve ser entendida como uma abordagem integrada em que a capacidade de adaptação, a capacidade de absorção e a capacidade de restabelecimento não se apresentam como temas diretivos ou operacionais separados, mas como condições estreitamente entrelaçadas para a preservação da integridade financeira sob pressão. O conceito pressupõe que a resiliência de uma estrutura não pode ser adequadamente avaliada apenas com base na existência de medidas preventivas, de estruturas formais de governação ou de capacidades de intervenção reativa, porque a essência da resiliência reside na faculdade de absorver uma perturbação sem que as funções fundamentais do sistema fiquem esvaziadas de conteúdo. Para a gestão integrada dos riscos de criminalidade financeira, isso significa que a qualidade da estrutura não se manifesta apenas na precisão da monitorização das transações, na solidez do rastreio de sanções ou no rigor das investigações antifraude, mas na questão de saber se essas funções conservam o seu valor de integridade quando as condições em que devem operar se tornam instáveis, ambíguas ou interrompidas. A resiliência integrada põe, assim, em evidência que o valor de uma arquitetura de integridade não reside principalmente no seu refinamento em condições normais, mas na sua capacidade para permanecer normativa e funcionalmente íntegra durante períodos de fricção, pressão e incerteza.

O caráter integrado desta abordagem implica que a capacidade de adaptação não pode ser reduzida a uma flexibilidade organizacional de caráter geral. No âmbito da gestão integrada dos riscos de criminalidade financeira, a capacidade de adaptação designa a aptidão para recalibrar as representações do risco, a lógica de escalada, os quadros de priorização, os circuitos de decisão e os métodos de controlo, de modo que a evolução dos padrões de ameaça e dos contextos seja incorporada atempadamente na função de integridade, sem gerar arbitrariedade, desproporção ou desorientação diretiva. A capacidade de restabelecimento, por seu turno, não se refere apenas à retoma dos processos após um incidente. Dentro de um quadro de resiliência integrada, o restabelecimento compreende também a capacidade de corrigir resultados erróneos, de remediar intervenções desproporcionadas, de reconstruir uma confiança danificada, de reavaliar dependências e de restabelecer as condições institucionais necessárias para um exercício fiável das funções de integridade. O núcleo desta abordagem reside, por conseguinte, no reconhecimento de que a integridade financeira só pode ser protegida de forma duradoura se a estrutura não for simplesmente capaz de suportar perturbações, mas também de continuar a efetuar distinções significativas, a atribuir responsabilidades e a produzir decisões normativamente defensáveis quando desaparecem as certezas habituais da rotina e da estabilidade.

Esta abordagem integrada comporta implicações consideráveis para a forma como os sistemas de gestão integrada dos riscos de criminalidade financeira são concebidos, governados e avaliados. Isto implica que a gestão dos riscos não pode ser organizada segundo compartimentos estritamente funcionais em que a prevenção, a deteção, a decisão, a escalada e o restabelecimento sigam, cada um, uma lógica própria e limitada, mas requer uma visão coerente do modo como esses elementos se influenciam reciprocamente sob pressão. Um controlo que parece sólido quando considerado de forma isolada pode, em termos sistémicos, aumentar a vulnerabilidade se não for capaz de absorver grandes volumes, se amplificar sinais erróneos, se produzir exclusões desproporcionadas ou se paralisar os tempos de reação diretiva. Do mesmo modo, uma intervenção de crise rápida pode produzir uma impressão de eficácia e, ainda assim, enfraquecer a capacidade de restabelecimento quando compromete a qualidade da tomada de decisão, debilita a rastreabilidade jurídica ou interrompe os processos estruturais de aprendizagem. A resiliência integrada exige, por conseguinte, que a gestão integrada dos riscos de criminalidade financeira seja tratada como um conjunto de capacidades adaptativas, corrigíveis e interdependentes, cuja qualidade só se demonstra quando a perturbação não se limita a ser superada, mas é processada de forma que a continuidade e a integridade permaneçam numa relação de prolongamento recíproco.

Resiliência para além da conformidade, da continuidade operacional e da gestão de crise

Uma abordagem integrada da resiliência desloca com clareza o quadro conceptual da gestão integrada dos riscos de criminalidade financeira para além dos limites da conformidade clássica, da continuidade operacional convencional e da gestão tradicional de crise, sem negar a importância dessas disciplinas. A conformidade continua a ser indispensável como fundamento normativo e jurídico da direção da integridade, a continuidade operacional conserva a sua importância como instrumento de proteção dos processos críticos e a gestão de crise continua a ser necessária como método diretivo de tomada de decisão sob pressão. Nenhuma destas disciplinas, porém, é suficiente por si só, quando considerada isoladamente, para explicar se um sistema é capaz de preservar a sua função de integridade financeira quando uma perturbação afeta simultaneamente vários níveis da organização. A dificuldade não decorre da existência destas disciplinas, mas do seu alcance limitado quando são tratadas como domínios distintos e, em larga medida, autorreferenciais. A conformidade pode estar formalmente assegurada enquanto os sinais se tornam inutilizáveis sob pressão operacional. A continuidade operacional pode ativar circuitos alternativos de tratamento enquanto a qualidade de integridade dessas alternativas se revela insuficientemente garantida. A gestão de crise pode intensificar-se rapidamente enquanto falta coerência substantiva entre a atuação jurídica, operacional e reputacional. A resiliência integrada corrige esta fragmentação formulando de outro modo a questão central: não qual disciplina concreta é responsável no plano formal, mas se a estrutura, no seu conjunto, pode continuar a garantir a sua função de integridade sem perder o controlo normativo e sem deslizar para uma incoerência diretiva.

Esta ampliação de perspetiva é essencial porque a criminalidade financeira raramente se comporta de acordo com as delimitações nítidas em que os modelos clássicos de controlo se apoiam implicitamente. Na prática, as obrigações jurídicas, a continuidade operacional, a dependência tecnológica, o risco de fornecedores, o impacto sobre a clientela, os efeitos reputacionais e os interesses estratégicos sobrepõem-se. Uma modificação imediata do regime de sanções pode suscitar uma questão de conformidade e, ao mesmo tempo, provocar estrangulamentos operacionais, tensionar as relações de correspondência, redistribuir as prioridades comerciais e ativar sensibilidades reputacionais. Um incidente cibernético pode ser tratado como um problema de continuidade operacional e, simultaneamente, comprometer o controlo de identidade, a integridade dos pagamentos, a prevenção da fraude e a fiabilidade dos trilhos de auditoria. Uma vaga de fraude de grande magnitude pode ser formalmente atribuída a uma função delimitada, enquanto a pressão real se manifesta na sobrecarga do pessoal, na perceção pública, na atenção dos reguladores e na perda de confiança no ambiente de controlo. Uma abordagem integrada da resiliência torna visível o facto de que a gestão integrada dos riscos de criminalidade financeira não pode funcionar eficazmente quando é integrada apenas em manuais de conformidade, planos de continuidade ou protocolos de crise que só se encontram quando a perturbação já se agravou.

Em consequência, a resiliência, neste contexto, exige uma disciplina institucional mais ampla que não se limite a perguntar se cada subsistema está adequadamente configurado quando considerado de forma isolada, mas também se as transições entre esses subsistemas são capazes de resistir à pressão, à ambiguidade e à velocidade. As vulnerabilidades mais desestabilizadoras costumam surgir não da ausência total de regras ou de dispositivos, mas da incerteza quanto aos momentos de transição: quando uma questão de conformidade se torna uma prioridade operacional, quando um incidente adquire uma dimensão de integridade, quando uma perturbação técnica produz consequências jurídicas ou quando a pressão reputacional eleva ou reduz o limiar de escalada. A resiliência integrada obriga, assim, a gestão integrada dos riscos de criminalidade financeira a adotar uma forma de pensamento sistémico em que a qualidade do conjunto não se deduz da soma das funções individuais, mas da fiabilidade dos vínculos entre a definição de normas, a execução, a supervisão, a direção da crise e o restabelecimento. Deste modo, a resiliência surge como algo que vai para além da conformidade, para além da continuidade dos processos e para além da gestão de incidentes: torna-se a medida através da qual avaliar se o sistema, sob pressão, é capaz de conter os abusos financeiros e económicos sem sacrificar a sua substância diretiva, jurídica e social.

Resiliência nos níveis institucional, económico e social

A resiliência integrada, no quadro da gestão integrada dos riscos de criminalidade financeira, não pode limitar-se ao nível da organização individual, porque as consequências dos abusos financeiros e económicos raramente podem ser confinadas dentro de fronteiras institucionais. A integridade financeira tem sempre um alcance estratificado. Incide no nível institucional da tomada de decisão interna, da governação, da direção do risco e do controlo dos processos, mas também se estende ao nível económico da confiança dos mercados, da segurança das transações, dos fluxos de capital, da segurança do abastecimento e das relações concorrenciais, bem como ao nível social da legitimidade, da acessibilidade, das perceções de equidade e da confiança nas instituições públicas e privadas. Uma perturbação dentro de uma única instituição pode, por conseguinte, produzir repercussões mais amplas do que aquelas que as perdas financeiras imediatas ou a infração jurídica, por si só, deixam entrever. Quando a criminalidade financeira compromete a função de integridade de um ator central, essa afetação pode repercutir-se sobre as relações de cadeia, as dinâmicas de mercado, as redes de correspondência, as expectativas do público e as relações de governação. Uma abordagem integrada da resiliência exige, por isso, que a gestão integrada dos riscos de criminalidade financeira não seja concebida a partir de uma perspetiva organizacional estreita, mas a partir da consciência de que toda a rutura ou enfraquecimento da integridade coloca também uma questão de propagação sistémica e de resiliência coletiva.

No nível institucional, isso significa que deve examinar-se se as estruturas de governação, os mecanismos de escalada, os dispositivos informativos e os processos operacionais estão configurados de forma que as decisões de integridade não só sejam formalmente defensáveis, mas também possam ser adotadas sob pressão com rapidez suficiente, coerência e capacidade de restabelecimento. No nível económico, a análise desloca-se para a função mais ampla da integridade financeira como condição do funcionamento fiável dos mercados, da previsibilidade das relações contratuais e da credibilidade da aplicação de normas que operam para além das fronteiras ou ao longo das cadeias de valor. Quando grandes atores de um ecossistema financeiro ou económico não são capazes de manter a sua função de integridade sob pressão, o resultado não é apenas um problema interno de controlo, mas também um risco para a estabilidade e a fiabilidade das interações económicas num sentido mais amplo. No nível social, essa mesma perturbação incide na medida em que os cidadãos, os clientes, as contrapartes e as instituições públicas podem conservar a sua confiança na legalidade e na equidade do sistema. Uma resposta insuficiente perante a criminalidade financeira pode alimentar a impressão de que as regras são aplicadas de forma seletiva, de que a proteção é distribuída de modo assimétrico ou de que os atores poderosos beneficiam de margens de erro mais amplas do que outros. A resiliência integrada exige, por conseguinte, que a gestão integrada dos riscos de criminalidade financeira trate estes três níveis não como análises paralelas, mas como dimensões interdependentes de uma mesma questão de resiliência.

Daí decorre que a eficácia da gestão integrada dos riscos de criminalidade financeira não pode ser adequadamente avaliada apenas através de indicadores internos de desempenho. Indicadores como os volumes de alerta, os prazos de tramitação, a qualidade dos processos ou as taxas de conformidade podem ser pertinentes, mas oferecem apenas uma visibilidade limitada sobre a questão de saber se a estrutura é resiliente nos níveis institucional, económico e social. Um sistema eficiente no plano interno pode suscitar desconfiança externa quando os seus resultados são desproporcionados, opacos ou incoerentes. Um processo que parece estável do ponto de vista económico pode revelar-se institucionalmente frágil quando assenta em soluções manuais insustentáveis ou numa discricionariedade não formalizada. Uma atuação juridicamente correta pode causar um dano social quando os mecanismos de restabelecimento face a intervenções erróneas estão ausentes ou são insuficientemente acessíveis. A resiliência integrada exige, portanto, um padrão de avaliação mais amplo, em que a gestão integrada dos riscos de criminalidade financeira seja entendida como uma estrutura que deve proteger conjuntamente a governabilidade institucional, a fiabilidade económica e a legitimidade social. O decisivo não é a existência abstrata de um controlo, mas a capacidade do sistema para continuar a ser credível, funcional e corrigível de forma simultânea em várias esferas.

A relação entre prevenção, absorção, adaptação e restabelecimento

Numa abordagem integrada da resiliência, a relação entre prevenção, absorção, adaptação e restabelecimento não pode ser entendida como um modelo linear ou sequencial em que o dano seria primeiro evitado, depois absorvido, em seguida ajustado e finalmente reparado. No contexto da gestão integrada dos riscos de criminalidade financeira, estas quatro dimensões estão constantemente entrelaçadas e exercem uma influência recíproca na conceção, na execução e na governação. A prevenção continua a ser indispensável, pois constitui o primeiro nível de proteção face a padrões de ameaça conhecidos, vulnerabilidades identificáveis e formas previsíveis de abuso. Ao mesmo tempo, o alcance da prevenção está limitado pela realidade de que as ameaças evoluem, as contrapartes antecipam os controlos, os dados são incompletos e o engano estratégico faz parte do panorama do risco. Por esta razão, uma estrutura que derive quase por completo a sua autoimagem da sua eficácia preventiva pode desenvolver uma perigosa ilusão de controlo. A resiliência integrada rejeita esta premissa e contrapõe-lhe a ideia de que a capacidade de absorção é igualmente essencial: a capacidade de suportar uma perturbação sem desorganização imediata do sistema, sem perda de informação essencial e sem colapso da função de integridade em que assenta toda a intervenção ulterior.

A absorção, por si só, contudo, é insuficiente quando não é acompanhada de adaptação. Um sistema pode absorver um incidente ou uma vaga de ameaças e, ainda assim, permanecer estruturalmente enfraquecido se as circunstâncias que tornaram possível o incidente não forem reconhecidas, interpretadas e incorporadas na configuração posterior da gestão integrada dos riscos de criminalidade financeira. A adaptação refere-se aqui à revisão das tipologias de risco, ao aperfeiçoamento das regras de decisão, ao ajustamento dos critérios de escalada, ao redesenho das dependências e à redistribuição das capacidades, de modo que a estrutura não fique exposta repetidamente a pressões análogas. A relação entre absorção e adaptação adquire, por isso, uma importância fundamental: quem se limita a absorver conserva a vulnerabilidade; quem procura apenas adaptar-se sem uma capacidade suficiente de absorção, muitas vezes não dispõe nem da calma, nem da informação, nem da margem diretiva necessárias para introduzir ajustamentos significativos. A resiliência integrada exige que a gestão integrada dos riscos de criminalidade financeira seja capaz, durante e após a perturbação, de distinguir entre uma pressão temporária e um ensinamento estrutural, entre uma improvisação ditada pelo incidente e uma recalibração duradoura, bem como entre medidas de emergência necessárias e uma erosão indesejável do limiar normativo mínimo.

O restabelecimento não constitui, em seguida, uma fase terminal, mas uma componente de princípio do conjunto. Nos contextos de integridade financeira, o restabelecimento não significa apenas que os sistemas técnicos voltem a funcionar, que os atrasos sejam eliminados ou que os processos regressem a um estado rotineiro. O restabelecimento refere-se também à restauração da fiabilidade normativa da estrutura: à correção de bloqueios erróneos, à compensação de consequências desproporcionadas, à reconstrução da auditabilidade, à revogação de exceções temporárias que já não são defensáveis e à recuperação da confiança de clientes, contrapartes, autoridades supervisoras e atores sociais mais amplos. Uma abordagem integrada da resiliência põe em evidência que a prevenção, a absorção, a adaptação e o restabelecimento determinam conjuntamente a qualidade efetiva da gestão integrada dos riscos de criminalidade financeira. A prevenção sem absorção cria uma falsa segurança, a absorção sem adaptação conserva a fragilidade, a adaptação sem restabelecimento descurra a legitimidade e o restabelecimento sem um fundamento preventivo e absorvente continua a ser reativo e oneroso. Só quando estas quatro dimensões estão ligadas entre si na governação, nos dispositivos de informação e na tomada de decisão emerge um sistema capaz de preservar a integridade financeira não como um objetivo estático, mas como uma capacidade dinâmica e defensável.

Resiliência integrada num contexto de transição e perturbação permanente

Uma das implicações mais profundas de uma abordagem integrada da resiliência é que a gestão integrada dos riscos de criminalidade financeira deve ser concebida para um contexto em que a transição e a perturbação permanente já não constituem desvios temporários, mas condições estruturais da ação. Muitos modelos clássicos de controlo ainda conservam vestígios de uma hipótese de estabilidade: implicam que os sistemas operam, em princípio, num ambiente razoavelmente previsível e que os incidentes, as crises ou os deslocamentos normativos são acontecimentos excecionais que exigem medidas suplementares temporárias. Na realidade contemporânea, esta hipótese torna-se cada vez mais difícil de sustentar. As organizações, os mercados e as instituições públicas operam em ambientes em que as tensões geopolíticas, as dinâmicas sancionatórias, a aceleração tecnológica, as ameaças híbridas, a evolução das expectativas supervisoras, a pressão sobre as cadeias de abastecimento, a fragilidade dos dados e a polarização social não se sucedem, mas se sobrepõem. Em consequência, a gestão integrada dos riscos de criminalidade financeira deve ser capaz não apenas de absorver choques pontuais, mas também de produzir resultados de integridade estáveis em condições de transição contínua. A resiliência integrada exprime, assim, a ideia de que a resiliência já não consiste principalmente em regressar a um estado anterior de calma, mas na capacidade de avançar de forma ordenada e normativamente sustentável num ambiente em que a desordem, a mudança e a incerteza permanecem de forma constante.

Em tais condições, também a própria natureza da vulnerabilidade se altera. Os riscos mais relevantes não decorrem apenas de incidentes graves e visíveis, mas também da acumulação de tensões mais contidas que conduzem, em conjunto, a uma erosão estrutural da atenção, das capacidades, da coordenação e da acuidade diretiva. Soluções provisórias tornam-se permanentes. Medidas excecionais deslizam impercetivelmente para a prática ordinária. Os atrasos informativos normalizam-se. O espaço de decisão difunde-se ao longo de várias linhas. A dependência de fontes de dados externas ou de terceiros cresce sem que a permeabilidade dessas dependências face aos compromissos da integridade seja suficientemente compreendida. A resiliência integrada exige que a gestão integrada dos riscos de criminalidade financeira torne visíveis estas formas progressivas de enfraquecimento e as mantenha sob controlo. A estrutura deve ser capaz de reconhecer que a verdadeira fonte de vulnerabilidade sistémica não reside num único incidente, mas na combinação de pressão sobre o pessoal, mudança regulatória, ajustamento de sistemas, aumento de volumes e ameaça estratégica. A questão central desloca-se, assim, de uma simples resposta a incidentes para uma tolerância estrutural à tensão: quanta mudança, incerteza e pressão simultânea pode a função de integridade absorver antes que a qualidade, a proporcionalidade e a legitimidade se deteriorem de forma percetível.

Este contexto de perturbação permanente exige uma filosofia de governação e de conceção em que a gestão integrada dos riscos de criminalidade financeira dependa menos de hipóteses implícitas de estabilidade e fique mais solidamente organizada em torno de escolhas explícitas relativas às funções críticas, à ordenação de prioridades, aos mecanismos de segurança, aos limiares normativos mínimos e às vias de restabelecimento. Nem todos os controlos podem ser exercidos com a mesma intensidade em todas as circunstâncias, mas uma abordagem integrada da resiliência exige clareza prévia quanto a que funções de integridade não devem, em caso algum, ser atenuadas, que decisões devem continuar a requerer uma avaliação humana, que dependências devem dispor de alternativas e que desvios temporários apenas podem ser aceites em condições estritamente definidas. Além disso, pressupõe uma cultura de governação que não considere a transição como um fenómeno periférico situado fora do âmbito da integridade, mas como uma variável central na avaliação dos riscos de criminalidade financeira. Neste sentido, a resiliência integrada mostra que, numa época de perturbação permanente, a gestão integrada dos riscos de criminalidade financeira não deve ser configurada como um sistema que olha principalmente para trás, para os incidentes, ou reage a infrações, mas como uma arquitetura de direção que preserva a integridade enquanto o ambiente circundante permanece ele próprio em movimento. A questão decisiva não é, portanto, se a perturbação chegará ao fim, mas se a função de integridade pode continuar a operar, sob uma pressão duradoura, de forma coerente, controlável e socialmente defensável.

A criminalidade financeira como teste da resiliência do sistema

No âmbito de uma abordagem integrada da resiliência, a criminalidade financeira deve ser entendida como um teste penetrante da resiliência do sistema, porque não provoca apenas prejuízo material, mas coloca a questão mais profunda de saber se uma organização, um setor ou uma configuração institucional é capaz de proteger as suas funções essenciais contra a exploração estratégica das suas vulnerabilidades. Os abusos financeiros e económicos raramente se manifestam apenas como a violação de uma norma ou como uma anomalia no interior de um conjunto de dados. Com muito maior frequência, funcionam como um mecanismo de pressão que atua precisamente onde os sistemas são lentos, fragmentados, dependentes, sobrecarregados ou normativamente incertos. Nesse sentido, a criminalidade financeira constitui um indicador particularmente agudo da qualidade real da gestão integrada dos riscos de criminalidade financeira. Torna visível se os controlos funcionam apenas em circunstâncias favoráveis, ou também quando a integridade da informação diminui, os volumes aumentam, os incentivos externos se deslocam, a pressão reputacional se intensifica e múltiplos domínios de risco são ativados simultaneamente. A questão da resiliência torna-se, assim, concreta: pode o sistema preservar a sua função de integridade quando o adversário não se limita a tentar contornar as regras, mas explora ativamente a assimetria, a velocidade, a confusão, a fragmentação e a hesitação diretiva? A abordagem integrada da resiliência põe em evidência que a gravidade da criminalidade financeira não reside apenas na infração direta, mas também na possibilidade de o abuso comprometer a própria arquitetura de resposta.

Esta abordagem rompe com a imagem habitual da criminalidade financeira como um risco externo que penetra no sistema e que depois deve ser eliminado por meio de deteção ou enforcement. Na realidade, os abusos financeiros e económicos são frequentemente eficazes não apenas porque aproveitam controlos fracos, mas também porque exploram responsabilidades pouco claras, prioridades contraditórias, silos de informação, pressão operacional e falta de coerência entre lógicas jurídicas, comerciais e tecnológicas. Uma organização pode dispor de documentos de política formalmente sólidos, sistemas avançados de monitorização e uma governação cuidadosamente concebida e, ainda assim, revelar-se vulnerável na prática quando as ameaças surgem em combinações que o modelo não tinha previsto. Uma vaga de fraude que coincida com uma migração de sistemas, escassez de pessoal e sensibilidade pública acrescida revela um tipo de vulnerabilidade diferente daquele que resulta de um incidente isolado. Um risco sancionatório que converge com dependência da cadeia, dados incompletos e pressão temporal internacional revela um teste de resiliência mais profundo do que um desafio ordinário de triagem. A abordagem integrada da resiliência exprime, por conseguinte, que a criminalidade financeira deve ser lida, acima de tudo, como um teste de esforço da capacidade do sistema para preservar, sob pressão, discernimento, capacidade de priorização, clareza normativa e coerência operacional.

Para a gestão integrada dos riscos de criminalidade financeira, isto significa que a avaliação das ameaças não pode limitar-se à questão de quais as formas de criminalidade financeira mais prováveis ou mais onerosas, mas deve aprofundar-se até à pergunta sobre quais as formas de ameaça que têm maior capacidade para enfraquecer as funções sistémicas portadoras de integridade. Nem toda a infração afeta a resiliência na mesma medida. Alguns incidentes são financeiramente significativos mas continuam a ser geríveis do ponto de vista diretivo, enquanto outros, pelo seu momento, pela sua interdependência ou pela sua carga simbólica, produzem um efeito desestabilizador muito mais profundo sobre a confiança, a continuidade e a legitimidade. A abordagem integrada da resiliência exige, por isso, uma deslocação da classificação do risco para a análise da resiliência. Que formas de abuso desorganizam os mecanismos de escalada? Que ameaças bloqueiam a disponibilidade de informação fiável? Que formas de manipulação afetam as ligações entre a primeira linha, a segunda linha, a direção de topo e as estruturas de crise? Que padrões tornam a recuperação mais difícil porque continuam a repercutir-se na reputação, nas relações de supervisão ou na confiança dentro das cadeias de valor? Nesse sentido, a criminalidade financeira atua como um teste que revela mais do que o incidente em si. Mostra se a gestão integrada dos riscos de criminalidade financeira está verdadeiramente configurada como um sistema capaz de permanecer legítimo, coerente e corrigível sob pressão, ou se a função de integridade acaba por ceder assim que a ameaça coloca sob tensão não apenas as regras, mas também a própria estrutura da resposta e da tomada de decisão.

A confiança, a legitimidade e a capacidade de recuperação como fatores de resiliência

Uma abordagem integrada da resiliência torna claro que a confiança, a legitimidade e a capacidade de recuperação não são meros efeitos derivados de uma gestão integrada dos riscos de criminalidade financeira que funcione corretamente, mas fatores constitutivos da própria resiliência. Sem confiança, um sistema de integridade perde a sua base operacional e social; sem legitimidade, perde a justificação normativa das suas intervenções mais intrusivas; sem capacidade de recuperação, perde a possibilidade de corrigir erros, desproporções ou danos sistémicos antes de estes se enraizarem de forma permanente no sistema. Em modelos de controlo mais clássicos, estes elementos são frequentemente tratados como efeitos secundários reputacionais ou comunicacionais da tomada de decisão substantiva. Um quadro de resiliência integrada rejeita essa redução. A confiança contribui para determinar se os sinais são partilhados, se as escaladas são levadas a sério, se os clientes e as contrapartes permanecem disponíveis para cooperar e se as autoridades de supervisão, os atores públicos e os parceiros da cadeia consideram que o sistema é capaz de exercer a sua função de integridade de forma credível. A legitimidade determina se as medidas são percecionadas como necessárias, proporcionadas e controláveis. A capacidade de recuperação determina se os erros enfraquecem o sistema ou podem ser transformados em acontecimentos corrigíveis e geradores de aprendizagem. Precisamente no domínio da criminalidade financeira, onde as intervenções podem afetar profundamente o acesso, as possibilidades transacionais, as relações contratuais e a reputação, estes três fatores assumem importância decisiva.

Neste contexto, a confiança e a legitimidade não ficam asseguradas apenas pela legalidade formal. Uma medida pode ser juridicamente defensável e, ainda assim, perder legitimidade quando, na prática, se revela opaca, estruturalmente desproporcionada ou inacessível à correção. Do mesmo modo, uma organização pode responder de forma operacionalmente adequada a uma ameaça à integridade e, ao mesmo tempo, corroer a confiança se não conseguir explicar por que foram adotadas determinadas decisões, por que casos comparáveis foram tratados de forma distinta ou como são reparados danos injustificados. A abordagem integrada da resiliência pressupõe, portanto, que a gestão integrada dos riscos de criminalidade financeira não deve limitar-se a produzir resultados que internamente são considerados sólidos do ponto de vista do controlo ou do direito, mas deve também ter em conta a questão mais ampla de saber se o sistema, sob pressão, continua reconhecível como uma forma ordenada, verificável e normativamente coerente de exercício do poder. Isto assume ainda maior relevância quando o ambiente é marcado por incerteza, velocidade e sensibilidade social. Em tais circunstâncias, um défice de legitimidade pode enfraquecer diretamente a resiliência, porque a hesitação interna, a resistência externa e a dúvida pública restringem a margem de atuação do sistema precisamente no momento em que a capacidade de decisão e a coerência são mais necessárias.

A capacidade de recuperação constitui, no interior deste conjunto, a pedra angular indispensável. Nenhum sistema de gestão integrada dos riscos de criminalidade financeira pode funcionar sem erros em todas as circunstâncias. Os dados podem ser incompletos, os modelos de risco podem gerar resultados errados, o juízo humano pode falhar sob pressão e as medidas de emergência podem, retrospetivamente, parecer demasiado grosseiras ou excessivamente prolongadas. A questão que a abordagem integrada da resiliência coloca no centro não é, por conseguinte, saber se os erros podem ser excluídos por completo, mas se o sistema dispõe de capacidade suficiente para os reconhecer, corrigir, limitar as suas consequências e preservar a confiança na corrigibilidade do próprio quadro. A capacidade de recuperação compreende, neste sentido, dimensões tanto técnicas como normativas: reavaliação, compensação, restabelecimento da auditabilidade, ajustamento de processos, fundamentação transparente, estruturas acessíveis de recurso e disponibilidade diretiva para reverter medidas excecionais uma vez desaparecida a sua necessidade. Na ausência dessa capacidade, a resiliência desliza gradualmente para a rigidez. O sistema pode continuar a funcionar formalmente, mas perde a qualidade que o torna verdadeiramente credível sob pressão: a capacidade de ser, ao mesmo tempo, sólido e corrigível. Numa abordagem integrada da resiliência, a confiança, a legitimidade e a capacidade de recuperação não são, por isso, considerações secundárias, mas fatores estruturantes da questão de saber se a gestão integrada dos riscos de criminalidade financeira pode sustentar-se de forma duradoura.

A abordagem integrada da resiliência e a articulação entre WoGA, WoEA e WoSA

Uma abordagem integrada da resiliência adquire particular acuidade no domínio da gestão integrada dos riscos de criminalidade financeira quando é articulada com a coerência entre a Whole of Government Approach, a Whole of Economy Approach e a Whole of Society Approach. A criminalidade financeira, com efeito, quase nunca opera exclusivamente dentro dos limites de uma única organização ou de um único domínio jurídico. Serve-se de infraestruturas públicas e privadas, fluxos financeiros transfronteiriços, plataformas tecnológicas, cadeias logísticas, construções jurídicas e vulnerabilidades sociais que se cruzam de forma complexa. Por esta razão, um sistema verdadeiramente resiliente não pode ser construído apenas dentro das paredes de instituições separadas nem apenas no interior da capacidade de coordenação de um supervisor isolado. A Whole of Government Approach evidencia a capacidade das autoridades públicas para atuar de forma coordenada nos planos jurídico, administrativo, investigatório, de supervisão e de política pública. A Whole of Economy Approach aborda o papel das empresas, das instituições financeiras, dos gestores de infraestruturas, dos prestadores de serviços e dos parceiros da cadeia na proteção da resiliência económica e transacional. A Whole of Society Approach alarga a perspetiva aos atores sociais, aos cidadãos, às comunidades profissionais, aos ecossistemas de informação e à confiança sobre a qual assentam, em parte, o cumprimento, a sinalização e a legitimidade. A abordagem integrada da resiliência não trata estas três abordagens como modelos separados de cooperação, mas como componentes constitutivas de uma arquitetura mais ampla de resiliência.

Para a gestão integrada dos riscos de criminalidade financeira, esta articulação significa que a direção da integridade não deve ser entendida apenas como uma questão de controlo interno ou de governação, mas como um ponto nodal onde convergem a responsabilidade pública, a função económica e a legitimidade social. Uma abordagem governamental sem enraizamento económico corre o risco de ser normativamente forte mas operacionalmente incompleta. Uma abordagem económica sem ancoragem social pode parecer eficiente e, ainda assim, perder legitimidade quando os seus resultados são percecionados como opacos, assimétricos ou difíceis de corrigir. Uma abordagem social sem articulação administrativa e económica pode mobilizar sinais sem dispor de capacidade institucional suficiente para os traduzir em intervenções efetivas, proporcionadas e juridicamente controláveis. A abordagem integrada da resiliência pressupõe, assim, que a qualidade real da gestão integrada dos riscos de criminalidade financeira é determinada, em parte, pela medida em que os quadros públicos, as infraestruturas económicas e as expectativas sociais se alinham em vez de se bloquearem mutuamente. A vulnerabilidade do sistema manifesta-se frequentemente precisamente onde estas esferas operam separadamente: quando as prioridades públicas não se traduzem em capacidade de execução privada, quando a pressão de eficiência económica esvazia o conteúdo da robustez normativa dos controlos ou quando o dano à confiança social reduz a margem diretiva disponível para uma intervenção eficaz.

À luz disto, a articulação entre a Whole of Government Approach, a Whole of Economy Approach e a Whole of Society Approach deixa de ser um ideal abstrato de coordenação para se tornar uma condição concreta de resiliência face aos abusos financeiros e económicos. As tensões geopolíticas, os contextos sancionatórios, as ameaças híbridas, a corrupção estratégica, a manipulação comercial, a fraude digital e o uso abusivo de estruturas lícitas exigem formas de resposta que ultrapassem a fronteira tradicional entre público e privado, económico e administrativo, técnico e normativo. A abordagem integrada da resiliência exprime o facto de a gestão integrada dos riscos de criminalidade financeira só poder ser eficaz de forma sustentável quando se insere numa ordem em que a troca de informação, o alinhamento normativo, a construção conjunta de cenários, as expectativas recíprocas e a responsabilidade de recuperação estão organizados de forma estrutural e não ad hoc. A ideia central é, então, que a integridade financeira não é apenas uma tarefa das funções de compliance, das autoridades supervisoras ou das autoridades de investigação, mas uma condição partilhada de estabilidade institucional, fiabilidade económica e coesão social. Ao ligar a Whole of Government Approach, a Whole of Economy Approach e a Whole of Society Approach dentro de uma única lógica de resiliência, torna-se visível que o combate à criminalidade financeira e a sua gestão não consistem apenas em prevenir infrações, mas em proteger as infraestruturas mais amplas de confiança, segurança transacional e ordem legítima sobre as quais assenta a sociedade no seu conjunto.

A gestão integrada dos riscos de criminalidade financeira como parte de uma arquitetura mais ampla de resiliência

Dentro de uma abordagem integrada da resiliência, a gestão integrada dos riscos de criminalidade financeira deve ser situada como parte integrante de uma arquitetura mais ampla de resiliência, e não como uma função de controlo delimitada que entra em ação apenas depois de a continuidade operacional, a ciber-resiliência, a gestão de fornecedores ou a gestão de crise terem sido organizadas noutros domínios. Esta localização reveste-se de importância fundamental, porque os abusos financeiros e económicos, na prática, raramente se limitam a uma única camada de controlo ou a um único domínio disciplinar. Afetam os fluxos de pagamento, as infraestruturas de identidade, as relações contratuais, os terceiros, a fiabilidade da informação, a capacidade de decisão e as relações reputacionais, isto é, precisamente aquelas funções que também são indispensáveis para uma resiliência sistémica mais ampla. Quando a gestão integrada dos riscos de criminalidade financeira é tratada como uma disciplina secundária ou isolada, surge o risco de outros domínios de resiliência parecerem razoavelmente desenvolvidos por si mesmos, enquanto a permeabilidade do sistema no seu conjunto a afetações de integridade permanece insuficientemente reconhecida. Uma organização pode dispor de sólidas medidas cibernéticas e de detalhados planos de continuidade e, ainda assim, continuar gravemente vulnerável quando os fluxos financeiros, as decisões de escalada, as relações com terceiros ou os processos manuais de emergência estão insuficientemente protegidos contra abuso, infiltração ou manipulação. A abordagem integrada da resiliência desloca, assim, a gestão integrada dos riscos de criminalidade financeira da periferia para o centro do desenho da resiliência.

Esta inserção numa arquitetura mais ampla de resiliência exige, em primeiro lugar, que se tornem explícitas as dependências entre a gestão integrada dos riscos de criminalidade financeira e outras funções críticas. A função de integridade apoia-se em dados, sistemas, juízo humano, fornecedores, interpretação jurídica, exequibilidade operacional e priorização diretiva. Quando um único destes suportes enfraquece, a qualidade do conjunto do enquadramento pode deteriorar-se de forma desproporcionada. Uma disfunção na identificação da clientela afeta então não apenas o onboarding, mas também o controlo de sanções, a prevenção da fraude e as possibilidades de recuperação. Uma falha nas cadeias de fornecimento afeta não só a disponibilidade, mas também a fiabilidade da triagem, da monitorização ou da reconstrução forense. Uma decisão de crise guiada principalmente pela rapidez pode comprometer a rastreabilidade jurídica das intervenções de integridade. Ao considerar a gestão integrada dos riscos de criminalidade financeira como parte da arquitetura mais ampla de resiliência, emerge uma imagem mais nítida de onde reside verdadeiramente a vulnerabilidade sistémica: não apenas em riscos separados, mas nos nós onde a integridade depende da continuidade, da tecnologia, da governação e das relações externas. A abordagem integrada da resiliência exige, por conseguinte, que estas dependências não permaneçam implícitas, mas se tornem objeto de decisões de conceção, planeamento por cenários, decisões de investimento e deliberação diretiva.

Daqui decorre que a direção da resiliência não deve basear-se exclusivamente em indicadores tradicionais de desempenho provenientes de funções separadas, mas deve ser organizada em torno da questão de saber que combinações de falha, pressão ou mudança podem fazer fracassar a função de integridade enquanto parte do todo. Isto significa que a gestão integrada dos riscos de criminalidade financeira deve reaparecer nos exercícios de cenários, na governação de terceiros, na capacidade de resposta cibernética, na comunicação de crise, nos planos de recuperação e nos relatórios ao órgão de direção sobre vulnerabilidades críticas. Significa igualmente que as decisões relativas à digitalização, ao desenvolvimento de produtos, à externalização, à alocação de capacidades e à expansão internacional devem ser consideradas também à luz das suas consequências para a resiliência da integridade do sistema. A abordagem integrada da resiliência esclarece, deste modo, que uma arquitetura de resiliência continua incompleta quando trata a integridade financeira apenas como uma questão derivada de controlo. Só quando a gestão integrada dos riscos de criminalidade financeira é reconhecida como um dos elementos estruturantes de uma resiliência institucional mais ampla surge uma imagem coerente do que significa permanecer funcionalmente eficaz, juridicamente controlável e normativamente defensável sob pressão.

A resiliência como finalidade última da direção integrada da integridade

A conclusão normativa e diretiva última de uma abordagem integrada da resiliência consiste em que a resiliência deve ser entendida como a verdadeira finalidade da direção integrada da integridade. Isto transforma de forma fundamental a própria noção de finalidade na gestão integrada dos riscos de criminalidade financeira. O sistema deixa então de estar orientado apenas para evitar sanções, limitar a exposição jurídica, reduzir incidentes ou demonstrar cumprimento perante as autoridades supervisoras. Todos esses objetivos conservam a sua importância, mas passam a ficar subordinados a uma tarefa mais ampla: proteger as funções essenciais financeiras, operacionais, diretivas e normativas de forma que os abusos financeiros e económicos não se convertam numa alavanca de desorganização sistémica mais ampla. A resiliência como finalidade significa que a direção integrada da integridade deve ser concebida para absorver pressão, preservar a capacidade de agir, manter os limites normativos, permitir processos de aprendizagem e organizar a recuperação sem perder, no percurso, a legitimidade do sistema. Nesta perspetiva, a gestão integrada dos riscos de criminalidade financeira não é simplesmente um mecanismo defensivo face à infração, mas uma forma de autoproteção institucional ao nível da continuidade, da fiabilidade e da função social.

Esta reorientação tem consequências importantes quanto à forma de definir o sucesso. Numa abordagem limitada, o sucesso pode ser medido em termos de riscos intercetados, processos encerrados, sanções evitadas, rapidez de tratamento ou diminuição do número de incidentes. Uma abordagem integrada da resiliência exige um critério mais rico e mais exigente. O sucesso passa então a incluir também o facto de o sistema permanecer controlável em condições de tensão, de as escaladas não degenerarem em arbitrariedade ou paralisia, de medidas de emergência temporárias não se endurecerem silenciosamente em deslocações normativas permanentes, de poderem ser corrigidas consequências desproporcionadas e de os atores internos e externos manterem confiança na ordenação da função de integridade. Deste modo, a atenção desloca-se do mero resultado para a qualidade estrutural do sistema. Não basta que um risco tenha sido intercetado; importa igualmente que essa intercetação tenha ocorrido de forma juridicamente explicável, operacionalmente sustentável e socialmente defensável. Não basta que uma crise tenha sido superada; importa também que o sistema permaneça posteriormente capaz de aprendizagem, de recuperação e de credibilidade. A resiliência como finalidade última impõe, assim, uma forma de direção da integridade que olha para além do cumprimento e para além da mera gestão de incidentes.

No sentido mais profundo, esta abordagem mostra que a gestão integrada dos riscos de criminalidade financeira não retira o seu valor mais elevado da promessa de invulnerabilidade, mas da capacidade de permanecer coerente, corrigível e normativamente fiável sob pressão. Um sistema orientado exclusivamente para maximizar a intensidade do controlo pode tornar-se rígido sem se tornar duradouro. Um sistema que procure acima de tudo a rapidez pode parecer decidido e, ainda assim, perder legitimidade. Um sistema que procure apenas a defensabilidade jurídica pode permanecer formalmente intacto ao mesmo tempo que a confiança social diminui ou a capacidade operacional de recuperação se desgasta. A abordagem integrada da resiliência ordena estas tensões em torno de uma ideia central: a direção integrada da integridade não alcança a sua finalidade quando elimina todo o risco, mas quando impede que o risco se transforme em desorganização sistémica, protegendo as funções necessárias a uma resposta legítima. É aí que reside o significado mais profundo da resiliência como finalidade última. Trata-se da capacidade das organizações, dos setores e das estruturas públicas para resistirem aos abusos financeiros e económicos sem permitir que a própria resposta comprometa a sua continuidade, a sua legalidade, a sua explicabilidade ou a sua função social. A gestão integrada dos riscos de criminalidade financeira surge, assim, como um componente central da sustentabilidade institucional: não como uma tarefa estreita de controlo, mas como uma condição determinante para a preservação da solidez funcional, normativa e estratégica sob pressão persistente.