Van Leeuwen Law Firm

Avaliar os controlos em função da sua eficácia, viabilidade operacional e solidez probatória

Um controlo eficaz deve fazer mais do que cobrir uma obrigação formal. Deve incidir de forma demonstrável sobre o risco para o qual foi concebido. Na gestão dos riscos de criminalidade financeira, isto significa que o controlo deve ter uma relação identificável com o risco de branqueamento de capitais, financiamento do terrorismo, violação de sanções, corrupção, fraude, riscos de integridade fiscal ou outras formas de criminalidade financeira e económica. Essa relação deve ser concreta. Um controlo de diligência devida de clientes, por exemplo, deve contribuir para uma identificação fiável do cliente, para a compreensão dos beneficiários efetivos últimos, para a determinação do propósito e da natureza prevista da relação, bem como para o reconhecimento de indicadores de risco elevado. Um controlo de monitorização de transações deve ser capaz de detetar, priorizar e submeter à avaliação os desvios relevantes. Um controlo de screening de sanções deve permitir, com base em dados atualizados, completos e corretamente calibrados, uma deteção atempada e um acompanhamento adequado. Na ausência desse vínculo substantivo entre risco, atividade de controlo, resultado e acompanhamento, o controlo fica exposto à crítica de funcionar apenas como um exercício procedimental.

A viabilidade operacional constitui, a este respeito, um critério de avaliação autónomo. Um controlo pode ser conceptualmente lógico, mas ainda assim fracassar se não se adaptar à realidade operacional em que deve ser aplicado. Isto aplica-se, por exemplo, a controlos que exigem demasiados passos manuais, dependem de fontes de dados fragmentadas, contêm critérios de decisão pouco claros, não estão suficientemente integrados nos fluxos de trabalho ou impõem uma carga administrativa tal que induz os colaboradores a adotarem comportamentos meramente formais de marcação de caixas. Na gestão integrada dos riscos de criminalidade financeira, a viabilidade operacional não deve ser considerada uma concessão à função de compliance, mas uma condição para uma gestão sustentável do risco. Um controlo que não seja compreensível, aplicável e proporcionado para as funções relevantes da primeira linha, segunda linha e suporte será, na prática, executado de forma irregular, interpretado de modo divergente ou documentado de maneira insuficiente. Daqui resulta o risco de se apresentar uma conformidade formal enquanto o valor protetor efetivo permanece limitado.

A solidez probatória marca a diferença entre convicção interna e defensabilidade externa. Quando uma organização afirma que um controlo funciona, essa afirmação deve poder ser sustentada por elementos probatórios coerentes, fiáveis e rastreáveis. Esses elementos devem mostrar o que foi controlado, quando o controlo foi executado, por quem, com base em que dados, com que resultado, que exceções foram identificadas, que escalonamentos ocorreram e que acompanhamento foi realizado. Nos dossiês relativos à criminalidade financeira, esta solidez probatória assume especial importância, porque os supervisores e auditores não examinam apenas a existência de políticas, mas também o funcionamento demonstrável dos processos ao longo do tempo. Um controlo executado mas insuficientemente documentado continua vulnerável. Um controlo relativamente ao qual existe documentação, mas que não permite compreender as avaliações substantivas, continua igualmente vulnerável. Eficácia, viabilidade operacional e solidez probatória devem, portanto, ser avaliadas simultaneamente, porque um controlo só é convincente quando aborda o risco, funciona na prática e permanece verificável a posteriori.

Não se limitar à eficácia do desenho, mas examinar também a eficácia operacional

A eficácia do desenho refere-se à questão de saber se um controlo, tal como foi concebido, é adequado para gerir o risco pretendido. Esta questão continua indispensável. Um controlo desenhado de forma deficiente pode ser executado com grande rigor operacional, mas não mitigará adequadamente o risco se a frequência do controlo tiver sido escolhida incorretamente, se o perímetro for demasiado limitado, se os critérios de risco não forem suficientemente precisos, se as fontes de dados utilizadas forem incompletas ou se os limiares de escalonamento não estiverem alinhados com o apetite pelo risco da organização. No quadro da gestão integrada dos riscos de criminalidade financeira, a eficácia do desenho deve, portanto, ser avaliada à luz das tipologias específicas de risco, da natureza da carteira de clientes, dos produtos e serviços, da exposição geográfica, dos canais de distribuição, dos fluxos transacionais e do grau de dependência da organização relativamente a sistemas, terceiros ou julgamento manual. Um desenho de controlo adotado genericamente a partir de uma política, de um modelo ou de um padrão de grupo, sem alinhamento com o contexto real de risco, oferece um nível de assurance insuficiente.

A eficácia operacional vai mais longe e questiona a capacidade do controlo de funcionar na prática conforme previsto. Este critério examina a execução efetiva. O controlo é executado dentro dos prazos previstos? Todas as populações relevantes estão cobertas? As exceções são corretamente identificadas? Os alertas são avaliados quanto ao seu mérito ou encerrados principalmente numa base administrativa? Os escalonamentos recebem acompanhamento dentro dos prazos acordados? Os colaboradores estão suficientemente formados para aplicar o controlo? O controlo também é executado quando os volumes aumentam, os prazos se aproximam, os sistemas abrandam ou a pressão comercial se intensifica? Estas perguntas são frequentemente mais reveladoras do que o próprio desenho do controlo. Um controlo pode estar perfeitamente concebido, mas ficar estruturalmente enfraquecido na execução por limitações de capacidade, instruções pouco claras, má qualidade dos dados, informação de gestão inadequada ou uma cultura na qual as exceções são aceites demasiado rapidamente.

A força de um controlo cujo funcionamento é demonstrável reside na coerência entre desenho e execução. A eficácia do desenho sem eficácia operacional produz uma gestão do risco teórica. A eficácia operacional sem um desenho sólido produz atividades bem executadas, mas potencialmente não pertinentes. A gestão integrada dos riscos de criminalidade financeira exige, portanto, uma avaliação integrada na qual o controlo seja acompanhado desde a definição do risco até ao desenho, do desenho à execução, da execução aos elementos probatórios e dos elementos probatórios à melhoria. Também deve ser estabelecido se os resultados dos controlos são efetivamente utilizados para a tomada de decisão. Quando as constatações resultantes de revisões de clientes, monitorização de transações, screening de sanções, deteção de fraude ou diligência devida de terceiros não conduzem a ajustamentos das pontuações de risco, escalonamentos, medidas perante o cliente, configurações de sistema ou decisões de política interna, o valor operacional permanece limitado. Um controlo só funciona de forma convincente quando desenho, execução, registo e acompanhamento se situam demonstravelmente em continuidade entre si.

Verificar se os controlos mitigam efetivamente o risco relevante

A verificação da mitigação do risco exige, em primeiro lugar, uma determinação precisa do risco que o controlo se destina a gerir. Na prática, essa precisão está frequentemente ausente. Os controlos são então associados a categorias amplas de risco, como “AML”, “sanções”, “fraude” ou “ABC”, sem clareza sobre que ameaça específica, vulnerabilidade ou fator impulsionador do risco está a ser abordado. Isto dificulta a avaliação de se o controlo tem efetivamente impacto. Uma revisão periódica de clientes, por exemplo, pode ter como finalidade atualizar informação de cliente obsoleta, identificar fatores de risco elevado, contextualizar transações anómalas ou reavaliar a adequação da relação com o cliente. Cada objetivo exige critérios distintos, elementos probatórios distintos e resultados distintos. Um controlo que não esteja ligado a um cenário de risco claramente definido é dificilmente verificável de forma convincente.

A mitigação efetiva exige depois uma compreensão do funcionamento do controlo em relação ao risco. Isto significa que deve ser determinado não apenas que uma atividade de controlo ocorreu, mas também se o controlo incide no perfil de risco. O controlo conduziu à deteção de desvios relevantes? Foram efetivamente identificados clientes, transações ou terceiros de alto risco? Foram analisados os falsos positivos e os falsos negativos? Foi estabelecido se o controlo opera de forma demasiado ampla, demasiado estreita, demasiado tardia ou demasiado superficial? O controlo é adaptado com base em tipologias, incidentes, constatações regulatórias, resultados de auditoria interna ou padrões de ameaça em evolução? Na gestão integrada dos riscos de criminalidade financeira, a avaliação da mitigação do risco não deve deter-se na conformidade do processo; deve mostrar se o controlo reduz efetivamente a probabilidade ou o impacto dos riscos de criminalidade financeira.

Um elemento importante consiste em distinguir a atividade do efeito. Números elevados de revisões de clientes concluídas, alertas encerrados, screenings realizados ou listas de verificação finalizadas podem dar a impressão de uma gestão intensiva, mas dizem pouco se não estiver claro que os riscos relevantes foram detetados e objeto de acompanhamento. Um controlo pode gerar uma produção significativa sem uma redução substantiva do risco. Pelo contrário, um controlo dirigido com precisão, mesmo com um volume administrativo limitado, pode contribuir de forma relevante para a gestão do risco quando aborda os pontos críticos. O teste deve, portanto, centrar-se na questão de saber se o controlo oferece uma contribuição demonstrável para a prevenção, deteção, escalonamento, tomada de decisão ou remediação. Só quando essa contribuição pode ser documentada surge uma base credível para afirmar que o controlo mitiga efetivamente o risco relevante.

Identificar controlos formalmente presentes mas substancialmente deficientes

Uma das vulnerabilidades mais persistentes na gestão dos riscos de criminalidade financeira reside na existência de controlos formalmente presentes, mas substancialmente deficientes. Esta situação tende a desenvolver-se gradualmente. Um controlo é introduzido em resposta a uma norma, uma constatação de auditoria, um incidente ou um padrão de grupo, mas posteriormente não é mantido de forma suficiente. A organização evolui, os produtos desenvolvem-se, os comportamentos dos clientes mudam, os sistemas são modificados, os dados dispersam-se por múltiplas fontes e as tipologias de ameaça transformam-se. O controlo, porém, permanece no papel e é incluído nos relatórios como se continuasse a ser eficaz. Daqui resulta uma forma perigosa de controlo aparente. O dispositivo de controlo parece completo, enquanto a proteção efetiva contra os riscos de criminalidade financeira fica aquém do necessário.

As deficiências substanciais podem assumir formas diversas. Um controlo pode intervir demasiado tarde no processo, com a consequência de que os riscos só são identificados depois de iniciada a relação com o cliente ou depois de executadas as transações. Um controlo pode depender de dados incompletos, obsoletos ou incoerentes. Um controlo pode referir-se apenas à avaliação inicial, enquanto riscos relevantes emergem durante o ciclo de vida da relação com o cliente. Um controlo pode ser formalmente obrigatório, mas, na prática, ser executado por colaboradores que carecem de competências ou mandato suficientes. Um controlo pode gerar exceções sem impor um acompanhamento robusto. Um controlo pode, além disso, estar formulado de forma tão ampla que a sua aplicação dependa da interpretação individual, criando incoerências entre equipas, países, linhas de negócio ou entidades.

A identificação de tais deficiências exige testes críticos que vão além da revisão documental. É necessário examinar dossiês, logs de sistema, testes por amostragem, informação de gestão, histórico de escalonamentos, notas decisórias, linhagem dos dados, incidentes, exceções, reclamações, constatações de auditoria e comunicações com as autoridades de supervisão. Só então se torna visível se o controlo faz efetivamente, na prática, aquilo que declara fazer. A gestão integrada dos riscos de criminalidade financeira exige a disposição para não proteger controlos apenas porque historicamente fazem parte do dispositivo, mas para avaliá-los em função da sua pertinência atual e da sua contribuição real. Quando a presença formal não é respaldada por um funcionamento substantivo, a conclusão deve ser clara: o controlo deve ser redesenhado, reforçado, substituído ou eliminado. Um controlo que produz principalmente assurance administrativa pode desviar a organização dos riscos que realmente exigem atenção.

Avaliar o funcionamento dos controlos através de processos, sistemas e cadeias

Os riscos de criminalidade financeira raramente se movem dentro dos limites de um único processo, departamento ou sistema. Aceitação de clientes, revisão de clientes, monitorização de transações, screening de sanções, deteção de fraude, aprovação de produtos, processamento de pagamentos, gestão de terceiros, integridade fiscal, revisão jurídica, monitorização de compliance e assurance de auditoria constituem, em conjunto, uma cadeia de controlo. Quando os controlos são avaliados separadamente, pode surgir uma imagem distorcida. Cada controlo pode funcionar razoavelmente bem dentro do seu próprio processo, enquanto o conjunto do dispositivo continua insuficiente devido a problemas de transição, defeitos na qualidade dos dados, uso incoerente de pontuações de risco, ausência de circuitos de feedback ou escalonamento inadequado entre funções. A gestão integrada dos riscos de criminalidade financeira exige, portanto, uma avaliação do funcionamento dos controlos através de processos, sistemas e cadeias.

Esta perspetiva de cadeia revela os pontos em que a informação de risco se perde ou é utilizada de forma insuficiente. Um risco elevado de integridade do cliente identificado durante o onboarding deve, por exemplo, refletir-se na intensidade da monitorização, na frequência das revisões, na priorização dos alertas e na informação de gestão. Um alerta de sanções tratado pode ser relevante para a avaliação mais ampla do cliente ou do risco ao nível do grupo. Um padrão de fraude identificado na atividade de pagamentos pode justificar ajustamentos na segmentação de clientes, nas condições de produto ou nos cenários de monitorização de transações. Uma constatação de auditoria relativa à qualidade dos dados pode afetar múltiplos controlos que se baseiam nas mesmas fontes de dados. Quando essas ligações estão ausentes, os controlos permanecem como medidas isoladas. Podem funcionar no seu próprio âmbito, mas não contribuem de forma suficiente para uma gestão coerente dos riscos de criminalidade financeira.

A avaliação do funcionamento ao longo de toda a cadeia exige especial atenção à integração de sistemas, às definições de dados, à titularidade dos controlos, aos pontos de transição, aos critérios de escalonamento, aos direitos de decisão e aos elementos probatórios que cobrem todo o ciclo de vida do risco. Deve ser estabelecido se a organização é capaz de reconstruir a forma como surgiu um sinal de risco, que sistemas estiveram envolvidos, que colaboradores ou funções realizaram a avaliação, que decisões foram tomadas, que desvios foram aceites e que acompanhamento foi executado. Quando essa reconstrução não é possível, falta rastreabilidade. Quando os sinais não são partilhados entre processos, falta coerência. Quando os controlos dependem de sistemas que utilizam definições ou padrões de qualidade de dados diferentes, emerge uma vulnerabilidade estrutural. Os controlos cujo funcionamento é demonstrável exigem, portanto, não só medidas individuais sólidas, mas também uma cadeia na qual a informação de risco circule de forma fiável, as decisões sejam adotadas de forma coerente e o dossiê probatório resista ao escrutínio no seu conjunto.

Atenção à proporcionalidade entre a carga de controlo e a redução do risco

A proporcionalidade constitui um critério essencial na avaliação dos controlos no âmbito da gestão integrada dos riscos de criminalidade financeira, uma vez que a gestão do risco nunca pode ser separada do contexto operacional, comercial e organizacional em que deve funcionar. Um controlo que, em teoria, procura o nível máximo de assurance pode, na prática, gerar cargas desproporcionadas sem que a redução adicional do risco aumente na mesma medida. Este risco é particularmente visível na gestão dos riscos de criminalidade financeira. Em resposta à pressão das autoridades de supervisão, a incidentes, a constatações de auditoria ou à evolução regulamentar, as organizações desenvolvem frequentemente o reflexo de alargar os controlos, aumentar a frequência das revisões, acrescentar níveis de aprovação, reforçar os requisitos documentais ou restringir ainda mais as exceções. Embora tais medidas possam, à primeira vista, parecer prudentes, podem conduzir a um ambiente de controlo em que a capacidade disponível é absorvida por atividades com valor limitado do ponto de vista do risco, enquanto ameaças significativas não recebem a atenção necessária. A proporcionalidade exige, portanto, uma avaliação pragmática, juridicamente defensável e baseada no risco: que carga de controlo é justificada à luz da natureza, magnitude, probabilidade e impacto do risco de criminalidade financeira em causa?

Esta avaliação exige mais do que uma referência genérica a uma abordagem baseada no risco. Uma organização deve poder explicar por que razão um determinado nível de intensidade de controlo é adequado para um grupo específico de clientes, uma linha de produtos, uma jurisdição, um fluxo transacional, um modelo de distribuição ou um terceiro. Uma due diligence reforçada relativa a uma estrutura societária internacional complexa, caracterizada por esquemas de propriedade opacos, exige uma profundidade diferente da necessária para a revisão periódica de uma relação com um cliente particular de baixo risco. O filtragem de sanções sobre fluxos de pagamentos expostos a países de alto risco requer sensibilidades diferentes das aplicáveis à filtragem de uma base estática de fornecedores com dispersão geográfica limitada. Um controlo de deteção de fraude sobre transações digitais em tempo real deve ser configurado de forma diferente de uma reconciliação periódica baseada em dados disponíveis apenas ex post. A proporcionalidade não significa, portanto, menos controlo, mas um controlo mais bem direcionado. A questão não é que quantidade de esforço pode ser tornada visível, mas que esforços contribuem de forma demonstrável para uma melhor gestão do risco.

Ao mesmo tempo, a proporcionalidade também deve ser avaliada a partir da perspetiva da viabilidade e dos efeitos comportamentais. Uma carga de controlo excessiva pode levar os colaboradores a executar os controlos de forma mecânica, a encerrar alertas com maior rapidez, a padronizar a documentação sem uma análise substantiva, a evitar escalonamentos ou a aceitar exceções de forma rotineira com o objetivo de limitar atrasos operacionais. Deste modo, um controlo destinado a reforçar a assurance pode, na realidade, contribuir para uma perda de capacidade crítica. A gestão integrada dos riscos de criminalidade financeira exige, portanto, uma avaliação periódica da relação entre a carga de controlo e a redução do risco. Essa avaliação deve ter em conta os tempos de processamento, a capacidade disponível, as taxas de erro, a qualidade dos alertas, os rácios de escalonamento, a qualidade dos dossiês, o impacto sobre o cliente, o retrabalho, as exceções, bem como as constatações decorrentes da monitorização e da assurance. Um controlo proporcionado não é o controlo mais leve, mas aquele relativamente ao qual se pode demonstrar que a carga, a profundidade, a frequência e a complexidade são razoavelmente proporcionais ao risco gerido.

Integrar a mensurabilidade, a documentação e a rastreabilidade

A mensurabilidade é necessária para evitar que o funcionamento dos controlos permaneça dependente de impressões, hipóteses ou declarações gerais da direção. No âmbito da gestão integrada dos riscos de criminalidade financeira, um controlo deve ser concebido de forma a permitir estabelecer os seus resultados, desvios, conclusões e tendências. Isto pressupõe critérios predefinidos: que população fica compreendida no perímetro do controlo, que ação deve ser executada, que requisitos de qualidade se aplicam, que prazos são relevantes, que exceções são permitidas, que escalonamentos devem seguir-se e que resultados indicam um funcionamento eficaz. Na ausência de critérios mensuráveis, torna-se difícil determinar se um controlo é executado de forma coerente e se contribui para a gestão do risco em causa. Um controlo que não é mensurável pode, no máximo, ser descrito; não pode ser avaliado de forma convincente.

A documentação torna-se depois o suporte dessa mensurabilidade. Na gestão dos riscos de criminalidade financeira, a documentação não é uma simples consignação administrativa, mas uma componente essencial do próprio controlo. A documentação deve mostrar que dados foram utilizados, que análises foram realizadas, que sinais de alerta foram avaliados, que desvios foram identificados, que considerações fundamentaram uma decisão e que acompanhamento foi dado. Nos dossiês de integridade do cliente, isto significa, por exemplo, que a justificação da classificação do risco, da avaliação dos beneficiários efetivos últimos, da análise da origem dos fundos, da avaliação da origem do património, da gestão de um alerta de sanções ou da clarificação de uma transação deve ficar claramente registada. Em matéria de monitorização de transações, isto significa que o encerramento de um alerta não pode consistir em fórmulas padrão genéricas, mas deve fornecer uma explicação suficiente das razões pelas quais um padrão é, ou não é, anómalo. Em matéria de filtragem de sanções, isto significa que a gestão dos falsos positivos deve ser rastreável a partir de critérios de identificação concretos e não de hipóteses não verificáveis.

A rastreabilidade liga a mensurabilidade e a documentação à defensabilidade externa. Uma organização deve ser capaz de reconstruir a posteriori a forma como um controlo funcionou, desde o aparecimento do risco ou do sinal até à decisão final. Essa reconstrução não deve depender de memórias pessoais, explicações informais ou ficheiros dispersos fora do sistema de registo de referência. Deve basear-se em dados fiáveis, registos coerentes, marcas temporais claras, funções responsáveis, trilhos de aprovação e processos decisórios rastreáveis. A rastreabilidade reveste especial importância em investigações de supervisão, auditorias internas, revisões externas, análises de incidentes e prestação de contas perante o conselho de administração. Quando não é possível estabelecer o que aconteceu, quem decidiu e por que razão uma determinada decisão era defensável, surge um problema probatório que fragiliza o funcionamento substantivo do controlo. A mensurabilidade, a documentação e a rastreabilidade não devem, portanto, ser acrescentadas aos controlos a posteriori, mas integradas no controlo desde a sua conceção.

Estabelecer se os controlos continuam a funcionar sob pressão ou em caso de perturbação

Um controlo que só funciona em circunstâncias ideais oferece uma assurance limitada. A gestão dos riscos de criminalidade financeira é frequentemente posta à prova quando os processos são submetidos a pressão crescente: aumento dos volumes de alertas, atualizações de listas de sanções, migrações de sistemas, falta de pessoal, pagamentos urgentes, prazos comerciais, atrasos nas revisões de clientes, picos de onboarding, incidentes, problemas de qualidade de dados, perturbações relacionadas com a externalização ou alterações regulamentares repentinas. Nessas circunstâncias torna-se visível se um controlo é estruturalmente robusto ou se depende de capacidades contingentes, conhecimentos informais, correções manuais ou gestão de exceções. A gestão integrada dos riscos de criminalidade financeira exige, portanto, que o funcionamento dos controlos seja avaliado não apenas em condições operacionais ordinárias, mas também em situações em que a organização enfrenta perturbações, urgências ou pressão acrescida.

Este teste é particularmente importante porque os riscos de criminalidade financeira tendem a intensificar-se durante períodos de mudança. Novos produtos, novos mercados, fusões, transformações informáticas, reorganizações, externalizações, automatizações, migrações de clientes ou programas de remediation podem enfraquecer os controlos existentes ou torná-los temporariamente ineficazes. Um controlo de filtragem de sanções pode, por exemplo, tornar-se vulnerável quando os dados de clientes são migrados e os campos de dados não são transferidos corretamente. Um controlo de monitorização de transações pode perder eficácia quando os cenários não são ajustados atempadamente às novas características dos produtos. Um processo de revisão de clientes pode acumular atrasos quando a capacidade é redirecionada para projetos de remediation. Um controlo de escalonamento pode abrandar quando as responsabilidades mudam ou quando a governação se torna temporariamente incerta. A pergunta não é, portanto, apenas se os controlos funcionam em condições de operação normal, mas também se resistem às mudanças que incidem sobre a posição de risco.

Estabelecer a resiliência sob pressão exige análises de cenários, testes de resistência, revisões de incidentes, análises de atrasos, medições de qualidade e avaliação dos dispositivos de continuidade e contingência. Essa avaliação deve ter em conta sinais como o prolongamento dos tempos de processamento, a diminuição da qualidade dos dossiês, o aumento do número de exceções, o crescimento dos rácios de falsos positivos, os escalonamentos tardios, os workarounds manuais, a indisponibilidade de sistemas, os desvios relacionados com a capacidade e os afastamentos face às fases padrão do processo. Também deve ser estabelecido se existem medidas compensatórias disponíveis quando os controlos primários se enfraquecem temporariamente. Uma organização capaz de demonstrar que os controlos críticos de criminalidade financeira continuam a funcionar em situações de perturbação dispõe de uma posição notavelmente mais sólida perante o conselho de administração, o regulador e a função de auditoria do que uma organização que apenas consegue demonstrar que os controlos foram executados em circunstâncias normais. O funcionamento dos controlos só se torna verdadeiramente convincente quando não colapsa assim que a pressão surge.

Proporcionar visibilidade sobre as lacunas de controlo, as medidas compensatórias e as melhorias prioritárias

Os controlos cujo funcionamento é demonstrável não pressupõem que todos os riscos tenham sido completamente eliminados nem que cada elemento do dispositivo funcione sem dificuldade. Uma abordagem credível da gestão integrada dos riscos de criminalidade financeira reconhece que podem existir lacunas de controlo e que nem todas as deficiências têm a mesma gravidade, urgência ou importância em termos de governação. O essencial é que as lacunas sejam identificadas atempadamente, analisadas com precisão, priorizadas de forma coerente e acompanhadas de um seguimento adequado. Uma lacuna de controlo pode resultar de controlos inexistentes, desenho inadequado, execução deficiente, elementos probatórios fracos, problemas de qualidade de dados, limitações dos sistemas, titularidade insuficiente, escalonamento tardio ou mau alinhamento entre processos. Sem visibilidade sistemática sobre tais lacunas, surge o risco de a organização prestar contas principalmente sobre aquilo que está presente, enquanto aquilo que falta de forma substantiva permanece insuficientemente visível.

As medidas compensatórias desempenham, a este respeito, um papel importante, mas devem ser avaliadas criticamente. Na prática, revisões manuais temporárias, amostragens adicionais, aprovações gerenciais suplementares, monitorização reforçada, restrições aplicáveis a atividades de clientes ou reportes temporários são frequentemente utilizados para absorver as deficiências dos controlos primários. Tais medidas podem ser necessárias e defensáveis, desde que fique claro que risco específico mitigam temporariamente, qual é o seu perímetro, quem é responsável por elas, que data de conclusão ou ponto de avaliação se aplica e qual é a solução estrutural prevista. Uma medida compensatória não deve evoluir para uma dependência permanente sem avaliação formal. Quando workarounds temporários permanecem em vigor durante um período prolongado, emerge frequentemente uma nova vulnerabilidade: a organização apoia-se em medidas que não foram concebidas para uma gestão sustentável, que não são suficientemente escaláveis e que continuam a ser difíceis de testar.

A melhoria prioritária exige depois uma hierarquização baseada no risco, no impacto e na viabilidade. Nem todas as lacunas de controlo justificam uma remediation imediata e de grande alcance, mas as lacunas significativas em processos críticos exigem uma atenção clara ao nível da governação. Isto pressupõe ter em conta a natureza do risco de criminalidade financeira, a exposição da organização, a qualidade das medidas compensatórias existentes, o grau de urgência jurídica ou de supervisão, o potencial impacto sobre os clientes, a dependência da tecnologia ou dos dados, bem como a rapidez com que uma melhoria pode ser implementada de forma realista. Uma priorização correta evita que os programas de melhoria fiquem bloqueados em longas listas de ações desprovidas de uma lógica clara de risco. A gestão integrada dos riscos de criminalidade financeira exige transparência: que lacunas existem, que riscos criam, que controlo temporário foi implementado, que melhoria estrutural é necessária e que processo decisório é exigido para impor o progresso.

O funcionamento demonstrável como critério central da gestão integrada dos riscos de criminalidade financeira

O funcionamento demonstrável constitui o critério decisivo através do qual os controlos de criminalidade financeira adquirem o seu significado. Uma organização pode adotar políticas, publicar procedimentos, implementar sistemas, atribuir funções e produzir reportes, mas sem funcionamento demonstrável permanece sem resposta a questão de saber se o risco em causa é efetivamente gerido. No âmbito da gestão integrada dos riscos de criminalidade financeira, o funcionamento demonstrável deve, portanto, ser considerado um critério central da qualidade do controlo. Trata-se da capacidade de mostrar, por meio de informação concreta, fiável e rastreável, que os controlos são desenhados de forma adequada, executados de forma coerente, abordam os riscos relevantes, identificam exceções atempadamente, impõem escalonamentos, apoiam a tomada de decisão e conduzem a melhorias quando são detetadas deficiências.

Esta abordagem também reveste importância do ponto de vista da governação. Os conselhos de administração, a alta direção, os comités de risco e as funções de controlo não necessitam de uma mera confirmação da existência dos controlos; necessitam de compreender em que medida o ambiente de controlo oferece efetivamente proteção contra riscos significativos de criminalidade financeira. Isto exige reportes que vão além do número de atividades executadas ou das percentagens de tratamento dentro do prazo. A informação de gestão deve proporcionar visibilidade sobre a qualidade dos controlos, as tendências de risco, os desvios, as causas raiz, as constatações recorrentes, as medidas compensatórias, as melhorias em aberto e a medida em que os controlos contribuem para a redução do risco. Só sob esta condição a tomada de decisão pode basear-se em informação substantiva de gestão do risco, em vez de indicadores de processo que sugerem assurance mas cujo significado continua limitado.

O funcionamento demonstrável traz, em última análise, disciplina a todo o sistema de gestão integrada dos riscos de criminalidade financeira. Impõe uma definição mais precisa dos riscos, melhores desenhos de controlos, modelos de execução realistas, uma governação de dados mais robusta, documentação mais sólida, titularidade mais clara, assurance mais direcionada e uma priorização mais eficaz das melhorias. Torna visível que controlos contribuem realmente para a gestão do risco e quais produzem principalmente complexidade administrativa. Ajuda a evitar que as organizações sejam avaliadas com base na dimensão do seu dispositivo de controlo, em vez da credibilidade da sua gestão dos riscos. Num domínio em que reguladores, auditores e partes interessadas sociais exigem cada vez mais provas de funcionamento efetivo, a gestão integrada dos riscos de criminalidade financeira não pode basear-se apenas na presença, na intenção ou no esforço. O critério determinante é saber se os controlos funcionam de forma demonstrável, são proporcionais ao risco e resistem ao exame crítico do seu funcionamento.