Van Leeuwen Law Firm

Distribuição clara de funções entre a primeira, a segunda e a terceira linha de defesa

Uma distribuição clara de funções entre a primeira, a segunda e a terceira linha de defesa constitui o ponto de partida de uma governação eficaz em matéria de criminalidade financeira, uma vez que, sem uma disciplina explícita de papéis, qualquer dispositivo de controlo se torna vulnerável a duplicações, lacunas de execução e controvérsias sobre a responsabilidade no momento em que os riscos se materializam. No âmbito da Gestão integrada do risco de criminalidade financeira, a primeira linha assume a responsabilidade principal pela identificação, avaliação e controlo dos riscos de criminalidade financeira nas operações diárias. Isto significa que a aceitação de clientes, as revisões periódicas, os sinais transacionais, o screening de sanções, a conceção de produtos, as decisões de distribuição, as exceções operacionais e a tomada de decisão comercial não podem ser considerados atividades puramente técnicas ou administrativas. Constituem o primeiro nível concreto em que os riscos de integridade são assumidos, limitados, aceites ou escalados. Por isso, a primeira linha deve dispor de consciência de risco suficiente, poderes claros, procedimentos aplicáveis e acesso a informação adequada. Sem essas condições, a titularidade do risco transforma-se numa atribuição formal sem significado substantivo.

A segunda linha desempenha uma função fundamentalmente distinta dentro da Gestão integrada do risco de criminalidade financeira. Compliance, legal, risk e, quando relevante, tax devem desenvolver o quadro normativo interno, interpretar a legislação e a regulamentação, traduzir o apetite ao risco em requisitos de política interna, monitorizar a qualidade dos controlos e submeter a primeira linha a um challenge crítico. A segunda linha não é, portanto, nem um substituto executivo da business line nem uma função de supervisão passiva à distância. O seu valor acrescentado reside na capacidade de reunir definição de standards, compreensão prática e challenge independente. Isto exige autoridade suficiente, profundidade substantiva suficiente e acesso suficiente à tomada de decisão. Quando a segunda linha é envolvida demasiado tarde, funciona exclusivamente como um balcão de aprovação ou não dispõe de mandato suficiente para questionar as decisões operacionais, a governação em matéria de criminalidade financeira perde o seu efeito corretivo. Inversamente, também surge vulnerabilidade quando a segunda linha assume tarefas executivas e, desse modo, enfraquece a sua posição independente. A fronteira entre apoio, definição de standards, challenge e execução deve, portanto, ser preservada com rigor.

A terceira linha tem depois a tarefa de avaliar de forma independente se todo o dispositivo de controlo da criminalidade financeira é sólido na sua conceção, na sua existência e na sua eficácia operacional. O internal audit não deve limitar-se a constatar se existem procedimentos, mas deve avaliar se a governação é efetivamente capaz de identificar, escalar e mitigar atempadamente os riscos relevantes. Isto implica um mandato de assurance mais amplo. A terceira linha deve poder avaliar se a primeira linha cumpre a sua função de titularidade, se a segunda linha opera com eficácia suficiente na definição de standards e no exercício do challenge, e se a tomada de decisão ao nível da governação se baseia em medida suficiente em informação fiável. Num quadro corretamente concebido de Gestão integrada do risco de criminalidade financeira, daí resulta uma relação dinâmica entre as linhas: a primeira linha atua e controla, a segunda linha define os standards e exerce o challenge, e a terceira linha verifica de forma independente e evidencia deficiências estruturais. A força deste modelo não reside na descrição separada dessas funções, mas na disciplina com que se organizam os limites, as dependências e as interações entre essas funções.

Atribuição clara da titularidade dos riscos, dos controlos e das escaladas

A atribuição clara da titularidade dos riscos, dos controlos e das escaladas é essencial para evitar que o controlo da criminalidade financeira se dissolva numa responsabilidade coletiva desprovida de accountability concreta. No âmbito da Gestão integrada do risco de criminalidade financeira, deve ficar claro, para cada risco material, quem detém a titularidade do risco, quem executa o controlo pertinente, quem monitoriza o seu funcionamento, quem avalia as exceções, quem gere as escaladas e quem, em última instância, presta contas ao nível da governação. Na ausência dessa atribuição, cria-se um vazio de governação no qual os riscos são discutidos, mas não são efetivamente assumidos. Esta situação é particularmente problemática nos domínios da criminalidade financeira em que os riscos emergem ao longo de uma cadeia de atividades. Um risco sancionatório pode começar no momento da aceitação do cliente, desenvolver-se através das transações, tornar-se visível na monitorização, ser interpretado juridicamente pela função legal e, finalmente, exigir uma decisão de governação relativa à cessação da relação, ao bloqueio, à comunicação ou à continuação sob determinadas condições. Quando a titularidade ao longo desta cadeia não foi organizada explicitamente, surgem atrasos, incoerências e riscos probatórios.

A titularidade dos controlos exige, além disso, algo mais do que a mera designação de um responsável de processo. Um control owner deve ser capaz de explicar que risco o controlo mitiga, por que motivo o controlo é proporcionado, em que ponto do processo é executado, que dados ou documentação o suportam, que exceções são possíveis, como são registados os desvios e quando é necessária uma escalada. No âmbito da Gestão integrada do risco de criminalidade financeira, essa responsabilidade deve ser suficientemente concreta para poder ser testada. Um controlo que ninguém consegue defender em termos substantivos é vulnerável do ponto de vista da governação, mesmo quando figura formalmente numa matriz. Do mesmo modo, os controlos afetados por várias funções não são automaticamente propriedade de várias funções. É necessária documentação explícita da responsabilidade principal, da responsabilidade de apoio e da verificação independente. Só assim se pode evitar que as funções se remetam reciprocamente a responsabilidade quando surjam deficiências, ou que as constatações permaneçam sem resolução porque ninguém se sente titular da remediation.

A titularidade da escalada merece atenção diferenciada, porque os riscos de criminalidade financeira muitas vezes só adquirem verdadeira relevância ao nível da governação quando convergem sinais operacionais, interpretação jurídica e apetite ao risco. Um padrão transacional invulgar, uma estrutura de propriedade complexa, uma possível ligação a sanções ou um incidente de integridade nem sempre requerem a mesma rota. Alguns sinais podem ser tratados dentro dos quadros operacionais existentes. Outros exigem o challenge da segunda linha, uma avaliação jurídica, uma análise fiscal, uma decisão do senior management ou o envolvimento do conselho de administração e de administradores não executivos ou órgão de supervisão. A governação deve, portanto, estabelecer antecipadamente quando a escalada é obrigatória, quem a inicia, que informação deve estar disponível no mínimo, dentro de que prazo deve ser tomada a decisão e como essa decisão deve ser documentada. Na Gestão integrada do risco de criminalidade financeira, a escalada não é sinal de uma falha operacional, mas uma válvula de segurança indispensável da governação. Sem uma clara atribuição da titularidade da escalada, esta passa a depender excessivamente da vigilância individual, de relações informais ou de uma aversão ao risco manifestada a posteriori.

Prevenção de sobreposições, lacunas e transferências de responsabilidade entre as linhas

A prevenção de sobreposições, lacunas e transferências de responsabilidade entre as linhas de defesa situa-se no centro de uma governação sólida em matéria de criminalidade financeira. À primeira vista, a sobreposição pode parecer menos problemática do que uma lacuna, uma vez que várias funções se ocupam do mesmo assunto. Na prática, contudo, a sobreposição pode provocar atrasos, instruções contraditórias, uma accountability enfraquecida e uma imagem confusa sobre quem decide efetivamente. Quando business line, compliance, risk, legal e audit realizam cada uma as suas próprias avaliações sem uma delimitação clara, o mesmo assunto de criminalidade financeira pode ser analisado várias vezes sem ser resolvido. A Gestão integrada do risco de criminalidade financeira exige, portanto, que a participação paralela de várias funções seja organizada apenas quando corresponda a uma finalidade clara. A intervenção paralela deve contribuir para uma melhor tomada de decisão, para um challenge mais incisivo ou para uma assurance mais sólida, e não para uma repetição institucional.

As lacunas são igualmente prejudiciais, embora frequentemente menos visíveis. Surgem quando cada linha presume que outra linha é responsável, ou quando a política interna não foi traduzida em passos operacionais executáveis. Uma lacuna pode existir nos dados dos clientes, na lógica de monitorização, na gestão de exceções relacionadas com sanções, na documentação da aceitação do risco, no acompanhamento de constatações de audit ou no reporting de governação. O perigo dessas lacunas reside no facto de só se tornarem visíveis por ocasião de um incidente, de um pedido do supervisor ou de uma revisão de audit. Nesse momento, a organização não deve apenas tratar o risco subjacente, mas também explicar por que motivo o processo de governação não identificou antes a deficiência. A Gestão integrada do risco de criminalidade financeira deve, por isso, prever uma identificação sistemática dos pontos cegos entre as linhas. Isto pressupõe revisões periódicas de papéis, avaliações end-to-end de processos, um mapeamento claro dos controlos e uma cultura na qual a incerteza sobre a titularidade não seja tolerada.

A transferência de responsabilidade constitui a vulnerabilidade de governação mais fundamental, porque compromete a integridade de todo o modelo. O modelo das três linhas tem por objetivo organizar as responsabilidades, não diluí-las. Quando a primeira linha remete para compliance, compliance remete para a business line, legal invoca limites interpretativos e audit identifica problemas a posteriori sem que a remediation seja assumida, surge um quadro defensivo no qual os riscos de criminalidade financeira circulam dentro da organização sem serem tratados eficazmente. Uma governação sólida interrompe este padrão tornando explícita a accountability. As decisões devem ser rastreáveis até às funções e pessoas dotadas da autoridade apropriada. As constatações devem ter um titular, um prazo e uma trajetória de remediation. As aceitações de risco devem ser motivadas em termos substantivos e assumidas ao nível da governação. Na Gestão integrada do risco de criminalidade financeira, a prevenção da transferência de responsabilidade não é, portanto, uma questão comportamental acessória, mas uma condição estrutural de um controlo eficaz.

Reforço da cooperação entre business line, compliance, legal, tax e audit

A cooperação entre business line, compliance, legal, tax e audit determina em grande medida se a Gestão integrada do risco de criminalidade financeira forma, na prática, um quadro coerente ou apenas uma justaposição de perspetivas especializadas. Os riscos de criminalidade financeira raramente podem ser plenamente compreendidos a partir de uma única disciplina. A business line observa o comportamento dos clientes, o contexto comercial, as fricções operacionais e a viabilidade. Compliance observa a aplicação normativa, as expectativas das autoridades supervisoras e a qualidade dos controlos. Legal observa as bases jurídicas, os poderes, as limitações contratuais, as obrigações de comunicação e os riscos de responsabilidade. Tax observa os riscos de integridade fiscal, as questões de estruturação, as obrigações de transparência e as possíveis ligações com elisão, fraude ou planeamento agressivo. Audit observa a testabilidade, os elementos probatórios e as deficiências estruturais na conceção e na eficácia operacional. Quando estas perspetivas funcionam separadamente, emerge uma visão fragmentada do risco. Quando são corretamente ligadas, torna-se possível um juízo mais rico e mais relevante para a governação.

A cooperação não deve, contudo, ser confundida com a diluição de papéis. No âmbito da Gestão integrada do risco de criminalidade financeira, cada função deve preservar o seu próprio standard profissional. A business line não deve esperar que compliance assuma a responsabilidade operacional. Compliance não deve participar no processo decisório de uma forma que enfraqueça a sua função de challenge. Legal deve explicar claramente os limites jurídicos sem reduzir a questão mais ampla de governação à mera viabilidade jurídica. Tax deve ligar os sinais de risco fiscal a uma interpretação de integridade sem raciocinar exclusivamente a partir de uma perspetiva técnico-fiscal. Audit deve permanecer independente, embora disponha de uma compreensão suficiente do funcionamento efetivo dos processos para proporcionar uma assurance pertinente. A cooperação deve, portanto, ser organizada através de estruturas de consulta fixas, uma linguagem comum do risco, mandatos decisórios claros e requisitos documentais coerentes. Não é determinante a frequência das reuniões; o que importa é a qualidade da interpretação comum e do acompanhamento.

Num quadro de governação corretamente operacional, a cooperação multidisciplinar torna-se especialmente visível em processos complexos ou transfronteiriços de criminalidade financeira. Pode tratar-se de clientes com estruturas internacionais, transações que apresentam um possível risco sancionatório, sinais de corrupção, questões de integridade fiscal, relações de correspondent banking, riscos ligados a terceiros ou incidentes com implicações de comunicação. Tais processos exigem uma coordenação rápida e prudente, mas também uma tomada de decisão nítida. A Gestão integrada do risco de criminalidade financeira deve, portanto, prever mecanismos que permitam reunir oportunamente os contributos especializados e traduzi-los numa decisão concreta: continuar, limitar, realizar uma investigação reforçada, comunicar, bloquear, pôr termo à relação ou escalar. O valor da cooperação não reside, em última instância, no consenso enquanto tal, mas na qualidade do juízo fundamentado. Uma governação sólida permite que diferentes funções se submetam mutuamente a challenge, se complementem e se reforcem sem que a tomada de decisão se atrase nem que a responsabilidade se torne indistinta.

Desenho da governação em torno da tomada de decisão, da transparência e da accountability

A governação no âmbito da Gestão integrada do risco de criminalidade financeira deve ser concebida principalmente em torno da tomada de decisão, da transparência e da accountability. Isto significa que a eficácia do quadro de governação não se avalia exclusivamente com referência a comités formais, linhas de reporting ou documentos de política interna, mas perguntando se as decisões relevantes em matéria de criminalidade financeira são tomadas atempadamente, com informação suficiente, de forma coerente e defensável. A tomada de decisão é o ponto em que convergem o apetite ao risco, a regulamentação, a realidade operacional e os interesses comerciais. Quando esse processo decisório é opaco, o controlo desloca-se para esquemas informais: os colaboradores procuram certezas junto de contactos habituais, os processos sensíveis são adiados, as exceções são documentadas de forma insuficiente e a escalada ocorre com base num juízo pessoal em vez de critérios de governação. Um quadro sólido evita essa deriva ao definir explicitamente os pontos de decisão.

A transparência é indispensável a este respeito. O conselho de administração, o senior management, as funções de controlo e audit devem poder ver que riscos de criminalidade financeira existem, que decisões foram tomadas, que exceções foram autorizadas, que constatações permanecem abertas e que tendências indicam deterioração ou melhoria. A transparência não significa que cada detalhe operacional deva ser elevado ao nível do conselho de administração. Significa que a informação é organizada de tal forma que cada nível dispõe da informação necessária para assumir a sua responsabilidade. Para a primeira linha, isto significa visibilidade sobre os riscos relativos a clientes, transações e processos. Para a segunda linha, significa visibilidade sobre o cumprimento das políticas, o funcionamento dos controlos, os incidentes, as exceções e os assuntos que exigem challenge. Para a terceira linha, significa acesso a elementos probatórios fiáveis e a rastos decisórios. Para o conselho de administração e os administradores não executivos ou órgão de supervisão, significa visibilidade sobre os riscos materiais, as deficiências estruturais, as aceitações de risco, os desenvolvimentos regulatórios e supervisores e as decisões estratégicas. A Gestão integrada do risco de criminalidade financeira exige, portanto, que a informação não seja apenas recolhida, mas traduzida em compreensão relevante para a governação.

A accountability constitui, por fim, o elemento de fecho de uma governação sólida. Sem accountability, a transparência pode até tornar-se contraproducente: os riscos são visíveis, mas não são necessariamente assumidos. A accountability exige que fique claro quem é responsável pelas decisões, quem é responsável pela execução, quem é responsável pela monitorização, quem é responsável pela remediation e quem presta contas do resultado ao nível da governação. No controlo da criminalidade financeira, este aspeto assume particular importância, porque as decisões são frequentemente avaliadas retrospetivamente por autoridades supervisoras, auditores, autoridades de enforcement, contrapartes ou stakeholders públicos. Uma organização deve então poder demonstrar que uma decisão não foi arbitrária, defensiva ou puramente comercial, mas se baseou num processo cuidadoso, informação adequada, challenge apropriado e uma avaliação explícita do risco. Na Gestão integrada do risco de criminalidade financeira, a accountability não é, portanto, apenas uma norma interna de management, mas também uma condição externa de defensabilidade. Uma governação que coloca no centro a tomada de decisão, a transparência e a accountability torna visível quem sabia o quê, quando a informação era conhecida, que avaliação foi realizada e por que motivo a linha de atuação escolhida era proporcionada e defensável.

Definir claramente as rotas de escalada e de decisão para situações ordinárias e de crise

As rotas de escalada e de decisão constituem, no âmbito da Gestão integrada do risco de criminalidade financeira, um mecanismo essencial para garantir que sinais, incidentes, exceções e riscos materiais sejam avaliados ao nível adequado. Um dispositivo de criminalidade financeira pode incluir políticas detalhadas, monitoring avançado e descrições extensas de controlos, mas, na ausência de rotas de escalada claramente definidas, permanece incerto quando uma constatação operacional deve ser elevada a uma questão de compliance, quando se torna necessária uma interpretação jurídica, quando deve ser envolvida expertise fiscal, quando o senior management deve decidir e quando o conselho de administração ou os administradores não executivos ou membros do órgão de supervisão devem ser colocados em condições de intervir. Na prática, essa falta de clareza conduz a atrasos, incoerências e a uma tomada de decisão defensiva. Os sinais permanecem então durante demasiado tempo no domínio operacional, são juridicamente abstraídos demasiado cedo, ou apenas se tornam visíveis ao nível da governação quando a margem para remediation já se reduziu. Uma governação sólida previne esta situação ao determinar antecipadamente que tipos de questões de criminalidade financeira podem ser tratados dentro das linhas ordinárias de processo e que sinais exigem uma escalada formal.

Para situações ordinárias, a escalada não deve tornar-se desnecessariamente pesada, mas deve ser desenhada com precisão suficiente. Nem todo desvio, alert ou ambiguidade relativa a um cliente exige atenção ao nível do conselho de administração. Ao mesmo tempo, uma série de sinais aparentemente menores pode, no seu conjunto, indicar um risco material de integridade. A Gestão integrada do risco de criminalidade financeira exige, por isso, que os critérios de escalada não se baseiem apenas em categorias de incidentes, mas também na componente de risco, na recorrência, no perfil do cliente, na exposição geográfica, na ligação a sanções, no valor transacional, nos terceiros envolvidos, na sensibilidade reputacional e na potencial relevância para a autoridade supervisora. Uma equipa operacional deve poder determinar quando um processo permanece dentro do processo standard, quando é necessário o challenge da segunda linha, quando se impõe uma avaliação legal ou tax e quando se torna necessária uma decisão formal acompanhada de uma aceitação documentada do risco. Isto pressupõe árvores de decisão claras, mas também espaço para julgamento profissional. Um modelo de escalada sólido não é mecânico; é normativo, baseado no risco e demonstravelmente ligado ao apetite ao risco da organização.

Para situações de crise, a governação deve ser ainda mais precisa, porque os incidentes de criminalidade financeira sujeitos a pressão temporal costumam afetar simultaneamente várias dimensões. Um possível hit relativo a sanções, um incidente de fraude em larga escala, uma suspeita de corrupção, uma descoberta data-driven de uma falha sistemática de controlos, um pedido da autoridade supervisora ou um processo urgente sensível do ponto de vista mediático exigem uma organização imediata dos papéis, dos poderes e da tomada de decisão. Nessas circunstâncias, não deve ser necessário determinar primeiro quem dirige a deliberação de crise, que informação é fiável, que obrigações de comunicação podem ser aplicáveis, que restrições relativas a clientes ou transações são necessárias e quem comunica externamente. A Gestão integrada do risco de criminalidade financeira exige, por isso, rotas de crise predefinidas, incluindo mandato decisório, considerações relativas ao segredo profissional e ao legal privilege, requisitos documentais, linhas de comunicação, participação do conselho de administração e dos administradores não executivos ou membros do órgão de supervisão, bem como alinhamento com os processos mais amplos de incident response e business continuity. A qualidade da governação de crise mede-se pela capacidade de fazer coexistir rapidez e rigor. Uma rota de escalada e de decisão claramente concebida permite agir rapidamente sem perder a defensabilidade jurídica, operacional e de governação do processo decisório.

Supervisionar a aplicação coerente das políticas e do apetite ao risco

A aplicação coerente das políticas e do apetite ao risco constitui um requisito central no âmbito da Gestão integrada do risco de criminalidade financeira, uma vez que o controlo da criminalidade financeira perde a sua autoridade quando situações comparáveis são tratadas de forma diferente sem uma razão explicável. Os documentos de política e as declarações de apetite ao risco só adquirem significado quando se traduzem de forma visível na aceitação de clientes, nas revisões periódicas, no monitoring de transações, no screening de sanções, no acompanhamento de incidentes, na governação de produtos, na gestão de terceiros e na tomada de decisão ao nível da governação. Em muitas organizações existe uma distância considerável entre o apetite ao risco formal e a execução diária efetiva. Um conselho de administração pode formular no papel uma baixa tolerância ao risco de sanções, enquanto os processos operacionais permitem exceções sem justificação suficiente. Uma organização pode declarar tolerância zero face aos riscos de corrupção, enquanto a pressão comercial conduz a uma avaliação insuficientemente crítica de intermediários ou de estruturas de pagamento complexas. A governação deve reduzir ativamente essa distância.

A coerência não significa que cada processo deva ser tratado de forma idêntica. A Gestão integrada do risco de criminalidade financeira exige uma aplicação baseada no risco, e uma aplicação baseada no risco pressupõe diferenciação. Um cliente de baixo risco, um grupo internacional complexo, uma pessoa politicamente exposta, uma relação de correspondent banking, uma estrutura fiduciária e um cliente com exposição acrescida a sanções não exigem a mesma profundidade, a mesma intensidade nem a mesma rota decisória. A coerência significa que as diferenças de tratamento podem ser reconduzidas a fatores de risco pertinentes, a critérios explícitos de política e a avaliações defensáveis. O quadro de governação deve, por isso, prever mecanismos através dos quais os desvios face à política standard sejam registados, as exceções sejam motivadas, as aceitações de risco sejam aprovadas ao nível adequado e a aplicação prática das políticas seja testada periodicamente face ao apetite ao risco estabelecido. Na ausência desses mecanismos surge arbitrariedade, e a arbitrariedade no controlo da criminalidade financeira é vulnerável do ponto de vista da governação, da supervisão e da reputação.

A supervisão da aplicação coerente exige uma combinação de first line ownership, monitoring pela segunda linha e assurance pela terceira linha. A primeira linha deve dispor de instruções claras, formação, suporte sistémico e informação de gestão para aplicar corretamente as políticas na atividade diária. A segunda linha deve poder identificar tendências, submeter os desvios a challenge, resolver divergências interpretativas e informar periodicamente sobre a medida em que a execução se alinha com o apetite ao risco. A terceira linha deve poder avaliar de forma independente se a governação relativa à aplicação das políticas é suficientemente robusta e se a informação de gestão fornece uma imagem fiável do funcionamento efetivo. A Gestão integrada do risco de criminalidade financeira reúne estas funções num quadro em que a política não é tratada como um documento normativo estático, mas como um instrumento de governação que deve ser testado continuamente face à execução, à evolução do risco e às expectativas da autoridade supervisora. A aplicação coerente exige, portanto, disciplina no desenho, na execução, no monitoring, na correção e na accountability.

Enraizar os temas de criminalidade financeira ao nível do conselho de administração e do órgão de supervisão

O enraizamento dos temas de criminalidade financeira ao nível do conselho de administração e do órgão de supervisão é necessário, porque o controlo da criminalidade financeira não pode ser reduzido a uma função operacional ou especializada de compliance. Os riscos afetam questões fundamentais de estratégia, aceitação de clientes, acesso a mercados, decisões de produto, crescimento internacional, reputação, alocação de capital, investimentos tecnológicos e legitimidade pública. Quando o conselho de administração e os administradores não executivos ou membros do órgão de supervisão abordam a criminalidade financeira exclusivamente como um processo executivo, as decisões materiais podem permanecer implícitas. A organização pode então continuar atividades que já não correspondem ao seu apetite ao risco, investir em controlos sem uma priorização clara, ou ligar de forma insuficiente os sinais provenientes de compliance, audit e supervisão a decisões estratégicas mais amplas. A Gestão integrada do risco de criminalidade financeira exige, por isso, que o conselho de administração e o órgão de supervisão não sejam apenas informados sobre incidentes e constatações, mas estejam estruturalmente em condições de fornecer orientação em matéria de apetite ao risco, prioridades, remediation, investimentos e accountability.

A participação do conselho de administração deve ser substantiva e não deve limitar-se a relatórios periódicos acompanhados de indicadores genéricos. Os relatórios de criminalidade financeira destinados ao conselho de administração e ao órgão de supervisão devem proporcionar visibilidade sobre os riscos materiais, a evolução dos panoramas de ameaça, a qualidade dos controlos, as deficiências em aberto, as escaladas, os incidentes, os sinais da autoridade supervisora, os desvios face às políticas, os segmentos de clientes com exposição acrescida, a eficácia dos programas de remediation e os dilemas estratégicos. A questão não consiste em dispor de mais informação, mas de melhor informação de governação. Um conselho de administração deve poder avaliar se a organização identifica os riscos corretos, se o apetite ao risco é efetivamente aplicado, se a primeira linha demonstra ownership suficiente, se a segunda linha dispõe de autoridade suficiente, se as constatações de audit são objeto de follow-up estrutural e se os investimentos em sistemas, pessoas e dados são proporcionados. O órgão de supervisão deve, por sua vez, poder supervisionar a qualidade de todo o quadro, formular perguntas críticas e avaliar se as decisões de governação são tomadas com rigor e defensabilidade suficientes.

A Gestão integrada do risco de criminalidade financeira exige ainda conexões de governação claras entre o nível do conselho de administração, o nível do órgão de supervisão e as linhas de defesa subjacentes. Isto significa que as escaladas para o conselho de administração e o órgão de supervisão não devem depender de sensibilidades informais nem de preferências pessoais. O quadro de governação deve determinar que temas de criminalidade financeira são incluídos estruturalmente na ordem de trabalhos, que incidentes exigem atenção imediata, que aceitações de risco exigem aprovação ao nível do conselho de administração, que relatórios são discutidos no risk committee, no audit committee ou no conselho em sessão plenária, e como é monitorizado o follow-up das decisões. Também é importante que o conselho de administração e o órgão de supervisão desenvolvam conhecimento substantivo suficiente para avaliar os temas de criminalidade financeira não apenas em termos procedimentais, mas também materiais. O enraizamento dos temas de criminalidade financeira ao nível do conselho de administração e do órgão de supervisão confere à Gestão integrada do risco de criminalidade financeira autoridade, direção e continuidade. Sem esse enraizamento, o controlo permanece excessivamente dependente da capacidade operacional e da força persuasiva dos especialistas.

Melhorar a troca de informação sobre riscos, incidentes e constatações

Uma troca eficaz de informação sobre riscos, incidentes e constatações constitui uma condição prévia para uma governação sólida, porque os riscos de criminalidade financeira costumam manifestar-se de forma dispersa através de diferentes processos, sistemas, jurisdições e funções. Um processo de cliente pode conter sinais que parecem operacionalmente explicáveis para a business line, normativamente relevantes para compliance, juridicamente significativos para legal, indicativos de uma questão de integridade fiscal para tax e reveladores de uma debilidade estrutural de controlo para audit. Quando essa informação permanece fragmentada, não emerge uma imagem completa do risco. A Gestão integrada do risco de criminalidade financeira exige, portanto, que a informação não seja apenas partilhada verticalmente dentro de funções separadas, mas que também seja conectada horizontalmente e ao nível da governação. A qualidade da governação depende em grande medida da rapidez, completude e utilidade com que a informação relevante circula entre a primeira linha, a segunda linha, a terceira linha e os órgãos decisórios.

A troca de informação deve ser desenhada cuidadosamente. Informação insuficiente cria pontos cegos; informação não filtrada em excesso cria ruído, sobrecarga e uma aparência de transparência. A Gestão integrada do risco de criminalidade financeira exige, por isso, critérios claros sobre que informação deve ser partilhada, em que momento, com que função, em que formato e para que decisão ou follow-up previsto. As notificações de incidentes devem ser suficientemente factuais para permitir o follow-up. Os relatórios de risco devem tornar visíveis as tendências e a materialidade. As constatações de audit devem ser conectadas aos control owners, aos prazos de remediation e às causas estruturais. O monitoring de compliance não deve limitar-se a registar observações, mas também interpretar que ajustamentos de política ou de processo são necessários. As análises legal e tax devem ser traduzidas de modo a serem úteis no plano operacional e de governação sem perder precisão substantiva. Uma boa troca de informação exige, portanto, uma taxonomia comum, definições coerentes, dados fiáveis, uma atribuição clara de ownership e ritmos fixos de reporting.

Um ponto particular de atenção refere-se ao feedback das constatações para a melhoria dos processos. Em muitos ambientes de criminalidade financeira, incidentes, alerts, constatações de audit e questões de compliance são registados, mas não são utilizados de forma suficientemente sistemática para melhorar o quadro de controlos. Como consequência, a informação permanece reativa e específica de cada processo. A Gestão integrada do risco de criminalidade financeira exige um ciclo de aprendizagem em que os sinais provenientes da execução, do monitoring, da gestão de incidentes, da supervisão e do audit sejam reunidos e traduzidos em ajustamentos de políticas, controlos, formação, lógica dos sistemas, qualidade dos dados ou governação. Este feedback transforma a troca de informação em algo mais do que simples reporting. Transforma a informação em informação de direção para a governação. Um quadro de governação sólido garante que a informação relevante não esteja apenas disponível, mas também conduza a decisões, priorização e follow-up demonstrável.

A governação como camada de conexão da gestão integrada da integridade

No âmbito da Gestão integrada do risco de criminalidade financeira, a governação funciona como a camada de conexão que reúne os elementos distintos da gestão da integridade num quadro coerente e operacional. Sem governação, a análise de riscos, as políticas, os controlos, o monitoring, a gestão de incidentes, o audit, o reporting e a interação com a autoridade supervisora permanecem como componentes separados, cada um com os seus próprios ritmos e lógicas. Com uma governação sólida, estes componentes conectam-se através de ownership, tomada de decisão, escalada, troca de informação e accountability. Este aspeto é especialmente importante no domínio da criminalidade financeira, porque os riscos não respeitam as fronteiras organizacionais internas. Uma questão relativa a sanções pode incidir simultaneamente na aceitação de clientes, nos fluxos de pagamento, na interpretação jurídica, nos dados, na tecnologia, na formação, na gestão de terceiros e na tomada de decisão ao nível do conselho de administração. Um incidente de integridade pode ativar ao mesmo tempo compliance, legal, tax, audit, comunicação e senior management. A governação determina se tais questões são tratadas de forma fragmentada ou geridas como um risco coerente.

Como camada de conexão, a governação deve oferecer simultaneamente estabilidade e capacidade de adaptação. A estabilidade é necessária para esclarecer quem é responsável por quê, como as decisões são tomadas, que rotas de escalada se aplicam e como a accountability é exercida. A capacidade de adaptação é necessária porque os riscos de criminalidade financeira, a regulamentação, as expectativas da autoridade supervisora, a tecnologia e as tipologias criminais evoluem continuamente. A Gestão integrada do risco de criminalidade financeira exige, portanto, um quadro de governação que não seja apenas claro no papel, mas que também seja testado periodicamente face ao funcionamento efetivo. Novos riscos, segmentos de clientes em evolução, expansão internacional, automatização, deteção data-driven, externalização e novas regulamentações podem colocar sob pressão as relações de governação existentes. Um quadro que no seu momento foi suficientemente claro pode, com o tempo, produzir igualmente lacunas, atrasos ou incoerências. A governação deve, por isso, ser mantida como um instrumento ativo de governo, e não como um exercício de desenho pontual.

A função de conexão da governação expressa-se, em última análise, na qualidade do julgamento dentro da organização. A Gestão integrada do risco de criminalidade financeira não consiste apenas em cumprir regras ou executar controlos, mas na capacidade de avaliar riscos complexos de integridade com rigor, oportunidade e defensabilidade. Uma governação sólida garante que as perspetivas relevantes se encontrem, que a informação seja fiável, que as decisões sejam tomadas ao nível apropriado, que os desvios sejam documentados, que a remediation seja monitorizada e que o conselho de administração e o órgão de supervisão mantenham visibilidade sobre os temas materiais. Daí resulta um quadro de controlo no qual as linhas de defesa não operam lado a lado como muros defensivos separados, mas contribuem de forma integrada para um único mecanismo de controlo de governação. A governação é, portanto, a camada que torna governável a Gestão integrada do risco de criminalidade financeira, a mantém testável e dá direção a uma gestão sustentável da integridade.