Abordagem de toda a organização

A organização no seu conjunto como abordagem de toda a organização

A organização no seu conjunto como abordagem de toda a organização significa que a gestão integrada do risco de criminalidade financeira não pode ser reduzida ao âmbito da conformidade normativa, da função jurídica, das operações de combate à criminalidade financeira ou da auditoria interna, uma vez que a criminalidade financeira, na prática, se desenvolve ao longo de toda a cadeia de valor da instituição e aproveita precisamente aquelas transições organizacionais em que as responsabilidades são difusas, a informação está fragmentada e as apreciações normativas permanecem implícitas. A abordagem de toda a organização desloca assim a perspetiva do controlo ex post para o desenho institucional ex ante. O que passa a ser central não é a questão de saber que função especializada deve absorver um determinado incidente, mas a questão, mais penetrante, de saber como a organização no seu conjunto foi desenhada de tal forma que não produza sistematicamente oportunidades de abuso sob a bandeira da racionalidade comercial, da rapidez operacional ou da inovação tecnológica. Numa abordagem desta natureza, a criminalidade financeira não é considerada um fenómeno externo que possa ser filtrado à entrada por um número limitado de equipas especialistas, mas um risco que só pode ser gerido eficazmente se a instituição se percecionar a si própria como um único sistema integrado de decisões, incentivos, processos e fluxos de informação. Esse caráter sistémico é decisivo, porque o panorama de ameaças não se limita a fragilidades isoladas, mas alimenta-se de uma distribuição imprecisa de responsabilidades, de sinais contraditórios provenientes da direção de topo, de uma conectividade insuficiente dos dados, de circuitos de escalonamento fragmentados e da tendência estrutural das organizações para transferirem os riscos incómodos para funções com menos poder e com maior carga de execução.

O caráter transversal da gestão integrada do risco de criminalidade financeira exige, por conseguinte, uma conceção da governação em que cada função central da instituição responda pela sua própria contribuição para a produção, o controlo ou o agravamento do risco de criminalidade financeira. A estratégia determina que mercados, que segmentos de clientela, que canais de distribuição e que trajetórias de crescimento são selecionados. O desenvolvimento de produtos determina que funcionalidades, que modalidades de utilização e que vias de exceção ficam disponíveis. As operações determinam com que rapidez, com que grau de rigor e com base em que informação se avaliam os desvios. A tecnologia determina que sinais se tornam visíveis, que padrões permanecem detetáveis e que decisões automatizadas adquirem, de facto, um efeito normativo. Os recursos humanos determinam que comportamentos são recompensados, que formas de divergência acarretam custos de carreira e que perfis de liderança acabam por impor-se. As compras e a gestão de terceiros determinam em que medida as cadeias de externalização geram exposições adicionais. A tesouraria e as finanças determinam que fluxos transacionais, que estruturas de liquidez e que interfaces internas requerem um grau reforçado de vigilância. A comunicação e os assuntos públicos determinam a forma como os incidentes são interpretados interna e externamente. No momento em que até uma só destas funções se situa fora do âmbito da gestão integrada do risco de criminalidade financeira, cria-se uma ficção institucional em que o risco é atribuído a funções de controlo especializadas, enquanto a sua produção efetiva tem lugar noutra parte. A abordagem de toda a organização corrige essa ficção ao estabelecer que o risco de criminalidade financeira pertence ao âmbito da governabilidade coletiva e não ao da mera perícia funcional.

A abordagem de toda a organização adquire, assim, um significado mais exigente do que o habitual apelo à cooperação ou à colaboração interfuncional. Não se trata nem de consultas ocasionais nem de um alargamento cosmético dos órgãos de governação em que várias funções estejam formalmente representadas sem que as suas interdependências sejam realmente analisadas. Trata-se de uma profunda reordenação institucional em que se torna visível que a qualidade da gestão integrada do risco de criminalidade financeira depende do grau em que a organização adota internamente decisões coerentes em matéria de crescimento, aceitação da clientela, lógica de produto, direitos de escalonamento, titularidade dos dados, governação de modelos, gestão de exceções e capacidade de remediação. Uma abordagem de toda a organização exige, por conseguinte, não só o envolvimento de várias funções, mas também uma compreensão partilhada dos limites normativos e operacionais dentro dos quais a instituição pretende criar valor. Na falta dessa compreensão comum, configura-se um padrão em que cada função otimiza os seus próprios critérios de sucesso, enquanto a instituição, no seu conjunto, se torna progressivamente mais vulnerável a abusos, à intervenção das autoridades supervisoras, ao dano reputacional e à erosão interna da consciência normativa. Neste sentido, a abordagem de toda a organização não é um programa adicional, mas uma pedra de toque para determinar se a instituição se governa realmente como uma empresa integrada ou se funciona simplesmente como um conjunto de subsistemas que não se corrigem entre si de forma suficiente no plano da governação.

Estratégia, cultura, governação, processos e dados em coerência

A gestão integrada do risco de criminalidade financeira só pode funcionar de forma sustentável quando a estratégia, a cultura, a governação, os processos e os dados não são tratados como camadas de controlo separadas, mas como componentes interdependentes de uma única arquitetura institucional. Uma estratégia sem cultura produz uma ambição abstrata desprovida de ancoragem normativa. Uma cultura sem governação fica suspensa em expectativas simbólicas sem consequências decisórias. Uma governação sem processos gera uma supervisão formal desprovida de exequibilidade efetiva. Processos sem dados degeneram num controlo ritualizado sem verdadeiro valor informativo. Dados desprovidos de contexto estratégico e normativo produzem, por sua vez, uma sofisticação técnica desprovida de compreensão institucional do que é realmente arriscado, desproporcionado ou relevante para a governação. A exigência de coerência significa, portanto, que uma organização não pode limitar-se a investimentos isolados em documentos de política, programas de formação, tecnologias de monitorização ou estruturas de reporte quando esses elementos não estejam incorporados num modelo coerente que explique como a instituição compreende, hierarquiza e governa os seus riscos de criminalidade financeira. A questão mais profunda é sempre saber se a organização é capaz de manter uma mesma linha normativa ao longo da ambição estratégica, da execução operacional, da informação de gestão, da direção do pessoal e da infraestrutura tecnológica. Onde essa linha falta, emerge uma situação ao mesmo tempo familiar e perigosa em que a instituição aparece rigorosa no papel, seletiva a nível operacional, permissiva na prática comercial e fragmentária no tratamento técnico-informativo.

O componente estratégico merece, a este respeito, uma atenção particular, uma vez que muitas deficiências na gestão integrada do risco de criminalidade financeira têm a sua origem em decisões estratégicas que não se traduzem, ou não se traduzem suficientemente, em capacidade de controlo e em limites normativos. Uma instituição que aposta numa rápida expansão internacional, numa escalabilidade digital, numa integração acelerada de clientes, na plataformização ou no acesso a segmentos de clientela mais complexos aumenta não só o seu potencial de receitas, mas também a variedade, a velocidade e a ambiguidade dos riscos que deve compreender e governar. Quando esse movimento estratégico não é acompanhado de decisões explícitas em matéria de apetite pelo risco, afetação de recursos, direitos de decisão, captação de dados e infraestrutura de escalonamento, surge um desfasamento estrutural entre a direção em que a organização pretende mover-se e aquilo que efetivamente é capaz de controlar. A cultura torna-se então o meio através do qual esse desfasamento é normalizado ou corrigido. Uma cultura que comunique implicitamente que a pressão sobre as receitas, o timing de mercado ou a comodidade do cliente devem prevalecer sempre esvaziará de conteúdo qualquer estrutura de governação, por mais refinado que seja o seu desenho formal. Uma cultura que aceite a fricção, legitime a dúvida normativa e não sancione o escalonamento reforça, pelo contrário, o funcionamento da governação, porque permite às funções não só sinalizar o risco, mas também torná-lo relevante no plano da governação. A coerência entre estratégia e cultura não é, portanto, de modo algum acessória, mas determina se, na prática, a gestão integrada do risco de criminalidade financeira opera como um travão ao dano institucional autoinfligido ou como um mecanismo corretivo decorativo aplicado a posteriori.

A coerência entre governação, processos e dados é, em seguida, determinante para estabelecer se a instituição está efetivamente em condições de ver e governar os seus próprios riscos. A governação, neste contexto, não deve ser entendida como um conjunto de organogramas e comités, mas como a totalidade das estruturas decisórias formais e substantivas mediante as quais a instituição ordena as decisões relevantes para o risco, avalia as exceções, resolve os conflitos entre funções e transforma a informação em ação de governação. Uma governação desta natureza perde imediatamente credibilidade quando os processos não descrevem de forma clara o modo como os sinais são gerados, avaliados, escalonados, documentados e reintroduzidos no sistema. No entanto, os processos perdem igualmente sentido quando os dados subjacentes são incompletos, incoerentes, pobres em contexto ou inacessíveis. A qualidade da informação relativa à clientela, dos dados transacionais, do registo de eventos, do histórico de casos, da documentação de modelos, dos registos de override e da informação de gestão determina em grande medida que realidade se torna visível para a organização e qual permanece invisível. Uma instituição não pode sustentar de forma credível que a sua gestão integrada do risco de criminalidade financeira é madura quando a direção de topo reporta sobre indicadores que apenas representam parcialmente a realidade operacional, quando diferentes funções trabalham com definições divergentes do mesmo risco ou quando decisões críticas não são reproduzíveis porque a base de dados correspondente está fragmentada entre sistemas, soluções manuais e depositários informais do conhecimento. A coerência significa, portanto, que a estratégia fornece direção, a cultura aporta disciplina normativa, a governação estrutura os direitos decisórios, os processos estabilizam a execução e os dados permitem à instituição percecionar-se a si própria de forma verídica.

Porque falha a governação da integridade na ausência de coerência interna

A governação da integridade falha na ausência de coerência interna porque nenhum quadro de controlo pode resistir a uma organização que transmite mensagens contraditórias acerca do que considera verdadeiramente importante. Quando o conselho, o negócio, as operações e as funções de controlo falam formalmente de tolerância zero perante a criminalidade financeira, mas na realidade se comportam como se a aceleração do crescimento, a retenção da clientela, a conversão de receitas ou o alívio dos processos devessem prevalecer assim que a fricção se torna tangível, forma-se uma ambiguidade institucional que mina cada mecanismo da gestão integrada do risco de criminalidade financeira. Essa erosão raramente se manifesta de forma espetacular e quase nunca mediante uma rejeição aberta das normas de integridade. Muito mais frequentemente, assume a forma de exceções aparentemente pragmáticas, decisões adiadas de modo informal, pressões implícitas sobre os tempos de tratamento, um estreitamento da construção do dossiê, uma normalização de dados incompletos, um alargamento da margem interpretativa ou uma evitação, no plano da governação, de assuntos comercialmente sensíveis. A incoerência interna leva o pessoal a compreender aquilo que a organização recompensa realmente, mesmo quando isso diverge das mensagens formais. No momento em que essa divergência se torna estrutural, a gestão integrada do risco de criminalidade financeira deixa de ser uma prioridade organizacional credível para se converter numa norma aplicável apenas sob determinadas condições, destinada a subsistir unicamente enquanto não impuser custos substanciais. É precisamente nesse momento que a governação da integridade perde a sua força preventiva e se transforma numa gestão reativa do dano.

A coerência interna não é apenas uma questão de clareza moral, mas também de fiabilidade operacional. Uma organização em que o desenho do produto facilita funcionalidades que aumentam o risco, enquanto se exige às operações que absorvam manualmente as suas consequências, cria uma brecha estrutural entre a decisão de desenho e a capacidade de execução. Uma organização em que as equipas comerciais são orientadas para o crescimento de volumes sem uma tradução suficiente do perfil de cliente, da complexidade transacional ou da carga de reavaliação converte a gestão integrada do risco de criminalidade financeira numa permanente ação de retaguarda. Uma organização em que a ciência de dados desenvolve modelos com base em indicadores de desempenho técnico sem uma ancoragem suficiente no contexto jurídico, ético e operacional pode certamente produzir uma sofisticação aparente, mas constrói, na realidade, novas formas de opacidade e de dependência da governação. A governação da integridade também falha quando a segunda linha está formalmente encarregada do questionamento normativo, mas não dispõe, na prática, de acesso, autoridade ou participação suficientemente atempados para influenciar de forma substantiva as decisões estratégicas e de desenho. A coerência interna significa, portanto, que ambições, mandatos, recursos, informação e incentivos estão alinhados. Onde falta esse alinhamento, o peso da incoerência recai sobre as margens operacionais da organização, onde o pessoal tem de gerir exceções, priorizar alertas e avaliar dossiês incompletos sob uma pressão temporal gerada noutro lugar.

A consequência mais problemática da ausência de coerência interna é que a organização acaba por normalizar as suas próprias vulnerabilidades. Não porque os riscos sejam invisíveis, mas porque são reinterpretados, ao nível da governação, como incidentes, dores de crescimento, problemas de capacidade ou tensões temporárias ligadas à expansão, quando na realidade exprimem falhas de desenho mais profundas. A incoerência cria um contexto em que cada parte da organização pode oferecer explicações plausíveis para problemas parciais, enquanto ninguém assume a responsabilidade pelo padrão no seu conjunto. A direção de topo vê painéis de controlo desprovidos de plena visibilidade sobre as fricções operacionais. As operações suportam uma pressão de carga sem disporem de plena influência sobre as decisões adotadas a montante. As funções de controlo identificam insuficiências, mas deparam-se com uma accountability difusa. A tecnologia produz soluções que geram novas dependências. Os recursos humanos recompensam padrões de desempenho suscetíveis de entrar em tensão com uma conduta prudente. Daqui resulta uma instituição que parece dispor de uma intensa atividade de controlo, mas cuja governação da integridade falha no plano substancial porque, internamente, não segue uma mesma linha normativa em matéria de decisão, remuneração, desenho, execução e remediação. Sem coerência interna, as medidas de controlo permanecem formalmente em vigor, mas operam a contracorrente da dinâmica institucional. Isso torna o controlo mais oneroso, mais lento, mais conflituoso e, em última análise, menos credível aos olhos das autoridades supervisoras, das contrapartes, da clientela e da própria organização.

O papel da liderança, da accountability e da estrutura decisória

No quadro da gestão integrada do risco de criminalidade financeira, a liderança desempenha um papel que vai sensivelmente além da comunicação de mensagens normativas ou do apoio, num plano abstrato, a iniciativas de conformidade normativa. Na prática, a liderança determina o modo como a instituição organiza a tensão entre ambição comercial e contenção normativa, a forma como se ponderam as exceções, que riscos continuam a ser discutíveis e que formas de divergência beneficiam de proteção efetiva. Quando a liderança trata o controlo da criminalidade financeira como uma condição periférica que deve ser integrada na estratégia de crescimento da forma mais discreta possível, configura-se um clima em que a fricção é considerada um problema de execução e não um mecanismo corretivo necessário. Quando, pelo contrário, a liderança atua de forma visível e coerente partindo do princípio de que a gestão integrada do risco de criminalidade financeira constitui uma condição central da sustentabilidade institucional, o significado da integridade desloca-se da obrigação de conformidade para a realidade da governação. Essa diferença não surge apenas nos discursos, nas reuniões gerais ou nos códigos de conduta, mas na forma como os orçamentos são atribuídos, os escalonamentos são recebidos, os casos difíceis são resolvidos, as exceções são recusadas e os desempenhos são avaliados. A liderança produz, neste domínio, um efeito material porque torna visível a hierarquia normativa da instituição: que objetivos podem ceder, que sinais recebem prioridade e que vozes funcionais têm acesso aos lugares onde se adotam as decisões estratégicas.

A accountability constitui o complemento necessário da liderança, porque uma ambição normativa desprovida de uma atribuição clara de responsabilidades se dissolve rapidamente numa linguagem coletiva sem uma carga decisória individual efetiva. Numa abordagem de toda a organização aplicada à gestão integrada do risco de criminalidade financeira, accountability não significa que todas as funções assumam a mesma responsabilidade, mas que cada função seja responsável de forma rastreável pelas consequências, em termos de integridade, das suas próprias decisões e omissões. O desenvolvimento de produtos deve responder pelas decisões de desenho sensíveis ao abuso. A direção comercial deve responder pela estratégia de clientela e pela orientação de volumes que geram uma intensidade de risco adicional. As operações devem responder pela qualidade, pela disciplina de escalonamento e pela integridade dos dossiês. A tecnologia deve responder pela transparência dos modelos, pela integridade dos dados e pela controlabilidade das decisões automatizadas. A segunda linha deve responder pela qualidade do questionamento, pela sua solidez substantiva, pela sua oportunidade e pela sua independência. A auditoria interna deve responder pela verificação da coerência estrutural e não apenas pela presença procedimental. No momento em que a accountability permanece difusa, a organização transfere o risco para abstrações coletivas em que todos estão envolvidos, mas ninguém é responsável. Este padrão é particularmente prejudicial no domínio da criminalidade financeira, uma vez que muitas disfunções de integridade emergem nas zonas de fronteira entre funções, onde as descrições formais dos papéis terminam, mas o impacto decisório substantivo continua.

A estrutura decisória constitui, por fim, a tradução institucional da liderança e da accountability numa prática de governação repetível. Não são apenas a substância das decisões, mas também o lugar, o momento, a composição e a base informativa do processo decisório que determinam se a gestão integrada do risco de criminalidade financeira influencia realmente a direção da instituição. Uma estrutura decisória que consulte as funções de controlo apenas quando o produto, a entrada no mercado ou a proposta comercial já se encontram substancialmente avançados reduz o controlo da integridade a uma mitigação residual. Uma estrutura em que os escalonamentos têm de atravessar múltiplos níveis de direção antes de a fricção normativa adquirir peso no plano da governação aumenta a probabilidade de atrasos, atenuações ou evasões informais. Uma estrutura em que as exceções são aprovadas de forma opaca, ou em que a titularidade da aceitação do risco não fica expressamente registada, torna quase impossíveis a aprendizagem e o controlo ex post. Uma estrutura decisória madura no âmbito da gestão integrada do risco de criminalidade financeira exige, por conseguinte, direitos de escalonamento claros, uma governação explícita da aceitação do risco, a participação atempada das funções pertinentes, uma conformação do dossiê que permita reproduzir o raciocínio, e uma cultura de governação em que a formulação de limites normativos não seja confundida com uma falta de compreensão comercial. Só nessa condição emerge uma instituição em que a liderança não assenta apenas na intenção, a accountability não se dissolve na coletividade e o processo decisório não reproduz silenciosamente as vulnerabilidades que o sistema é chamado a controlar.

Cultura organizacional, consciência normativa e capacidade de execução

A cultura organizacional determina em grande medida se a gestão integrada do risco de criminalidade financeira funciona, na prática quotidiana, como um princípio vivo de ordenação ou como uma superestrutura formal apoiada sobre uma lógica implícita distinta. A cultura não se manifesta aqui em declarações de valores meramente aspiracionais, mas em expectativas partilhadas acerca do que é considerado sensato, leal, eficiente, corajoso ou obstrutivo quando as questões de integridade entram em colisão com a rapidez, com o interesse da clientela, com a pressão sobre as receitas ou com as preferências hierárquicas. Uma cultura que leve a sério o risco de criminalidade financeira caracteriza-se pela normalização da interrogação crítica, pela aceitação do atraso quando os factos o exijam, pela disponibilidade para renunciar a vantagens comerciais quando se atinjam limites normativos, e pela proteção institucional do pessoal que identifica incoerências arriscadas. Uma cultura que não faça isto produz um padrão subtil, mas poderoso, de autocensura, racionalização e deslocamento. O pessoal então não aprende o que está escrito nas políticas, mas aquilo que, na prática, é seguro para a carreira, desejável no plano relacional e exequível no plano operacional. No momento em que esse ambiente de aprendizagem informal comunica que escalonar é difícil, que a dúvida exige tempo, que as receitas são urgentes e que as exceções são bem acolhidas pela governação desde que não sejam expressamente qualificadas como problemáticas, a gestão integrada do risco de criminalidade financeira perde a sua profundidade normativa e converte-se num quadro procedimental que se aprende a navegar, em vez de ser interiorizado.

A consciência normativa desempenha, dentro dessa cultura, um papel autónomo, já que a qualidade do controlo da integridade não depende apenas do conhecimento das regras, mas também da compreensão das razões pelas quais determinados limites existem, do modo como se desenvolvem as lógicas de abuso e do dano institucional que se produz quando comportamentos formalmente admissíveis contribuem, no plano substancial, para resultados indesejáveis. Uma organização dotada de uma forte consciência normativa compreende que a ausência de uma proibição explícita não equivale a admissibilidade, que a forma jurídica nem sempre coincide com a prudência institucional e que os sinais de criminalidade financeira raramente se apresentam de forma completa e inequívoca. Uma consciência normativa desta natureza é essencial porque muitas decisões relevantes são adotadas em condições de incerteza, de pressão temporal e de assimetria informativa. Onde a consciência normativa é fraca, instala-se uma dependência de comportamentos de checklist, de uma interpretação mínima e de escalonamentos reservados aos casos evidentes. Isso cria um ponto cego relativamente a padrões cumulativos ou transversais que podem parecer explicáveis se considerados isoladamente, mas que, no seu conjunto, revelam um risco estrutural. Uma forte consciência normativa permite, pelo contrário, pensar para além das categorias formais, identificar condutas que podem parecer tecnicamente conformes, mas revelar-se institucionalmente desestabilizadoras, e conduzir a discussão sobre o apetite pelo risco em termos de responsabilidade e sustentabilidade, em vez de mera licitude jurídica.

A capacidade de execução constitui, por fim, a prova material indispensável de qualquer ambição cultural e normativa no âmbito da gestão integrada do risco de criminalidade financeira. Uma organização pode formular expectativas elevadas em matéria de disposição para o escalonamento, qualidade dos dossiês, vigilância e conduta prudente, mas essas expectativas perdem legitimidade quando os processos, os quadros de pessoal, os sistemas, a formação, o acesso aos dados e a pressão diretiva estão configurados de tal modo que agir com prudência se torna estruturalmente mais difícil, mais lento ou mais arriscado do que recorrer a atalhos pragmáticos. A capacidade de execução exige, por conseguinte, uma lucidez institucional sóbria quanto à questão de saber se a organização torna operacionalmente possíveis as suas próprias expectativas em matéria de integridade. Pode o pessoal consultar realmente um contexto suficiente? Estão os direitos de decisão suficientemente claros para permitir uma intervenção atempada? É a carga de trabalho compatível com uma avaliação qualitativa? Permitem os sistemas uma reconstrução fiel dos raciocínios anteriores? A divergência é apoiada institucionalmente ou apenas permitida de forma formal? Os erros são utilizados para melhorar o sistema ou principalmente para atribuir culpas às equipas executoras? Onde falta a capacidade de execução, cria-se inevitavelmente uma brecha entre norma e prática, e essa brecha acaba por minar tanto a cultura como a consciência normativa. Uma cultura organizacional credível no domínio da gestão integrada do risco de criminalidade financeira não consiste, portanto, apenas numa ambição moral, mas na combinação de limites claros, de uma consciência normativa sustentada institucionalmente e de um ambiente de execução em que uma conduta prudente não tenha de ser excecionalmente difícil para ser considerada profissional.

A articulação entre a primeira, a segunda e a terceira linha

A articulação entre a primeira, a segunda e a terceira linha constitui, no âmbito da gestão integrada do risco de criminalidade financeira, uma condição estrutural de fiabilidade da governação, porque a eficácia do sistema não depende exclusivamente da qualidade das funções consideradas isoladamente, mas do modo como essas funções, nas suas relações recíprocas, trocam informação, organizam tensões, respeitam mandatos e contribuem conjuntamente para a capacidade da instituição de aprender e de se corrigir. Uma organização madura pressupõe que a primeira linha não seja encarada como um mero prolongamento executivo de objetivos comerciais ou operacionais, mas como o lugar onde se gera uma parte significativa da produção material do risco e, por conseguinte, como o espaço em que deve ficar ancorada a responsabilidade pelas consequências, em termos de integridade, das escolhas quotidianas. Nesse contexto, a segunda linha não desempenha uma função administrativa de verificação na periferia do processo, mas uma função independente, normativa e metodológica, que orienta os quadros de referência, questiona pressupostos, examina decisões de conceção e confronta o órgão dirigente com tensões que podem ser neutralizadas ou normalizadas no seio da primeira linha. A terceira linha, por seu turno, não cumpre apenas uma função final de controlo, mas fornece o espelho sistémico necessário através do qual se torna visível se a interação entre a primeira e a segunda linha desemboca efetivamente num sistema de controlo coerente, verificável e sustentável. A articulação entre estas três linhas não é, por conseguinte, de natureza mecânica, mas institucional: determina se a organização é capaz de reconhecer o risco como um fenómeno de governação, em vez de o tratar como uma sucessão de processos operacionais isolados.

Um dos problemas mais persistentes na prática da gestão integrada do risco de criminalidade financeira reside no facto de a relação entre as três linhas parecer formalmente clara, enquanto a sua interação material é marcada por fricção, atitude defensiva, confusão de papéis ou distância estratégica. A primeira linha pode tender a externalizar o risco de criminalidade financeira para funções especializadas, com base na ideia implícita de que a responsabilidade pela preservação dos limites normativos recai principalmente sobre outros. A segunda linha, por sua vez, pode ver-se tentada, em caso de insuficiente apropriação por parte da primeira linha ou sob pressão de incidentes, a assumir ela própria responsabilidades operacionais, substituindo assim o questionamento independente por substituição executiva. A terceira linha, finalmente, pode ficar reduzida a uma verificação ex post da mera presença procedimental, sem penetrar suficientemente na questão de saber se a organização, na sua conceção, na sua estrutura de incentivos e no seu processo decisório efetivo, atua de forma coerente com a sua própria política de risco. Quando tais deslocações ocorrem, emerge um sistema que parece ordenado externamente, mas que perde rigor no seu interior. A pureza dos papéis não é, portanto, o oposto da colaboração, mas a sua condição. A primeira linha deve assumir o risco e internalizá-lo. A segunda linha deve enquadrar, desafiar e delimitar. A terceira linha deve avaliar de modo independente se o conjunto funciona como formalmente se presume que deva funcionar. Só quando essas funções permanecem fortes no âmbito dos respetivos mandatos e, ao mesmo tempo, suficientemente ligadas em termos de informação e de acesso à governação, surge uma arquitetura suficientemente robusta para responder à complexidade da ameaça da criminalidade financeira.

O desafio essencial não reside, assim, numa descrição esquemática das três linhas, mas na conceção da sua interação efetiva. Isso exige disposições explícitas em matéria de escalonamento, momentos de contestação, envolvimento na conceção de produtos e processos, informação de gestão, avaliações temáticas de risco e retroalimentação decorrente de incidentes e das lições extraídas. Exige igualmente que a organização abandone a ideia simplista de que a tensão entre a primeira e a segunda linha constituiria um sinal de disfunção. Num modelo credível de gestão integrada do risco de criminalidade financeira, uma tensão construtiva é inevitável e até desejável, porque torna visíveis os pontos em que divergem as lógicas comercial, operacional e normativa. É igualmente indesejável que a terceira linha se limite a observar a grande distância, sem compreensão suficiente da carga de trabalho real, das limitações dos sistemas e dos dilemas decisórios que determinam, na prática, o funcionamento do sistema. Uma articulação efetiva entre as três linhas pressupõe, por isso, independência formal sem estranhamento institucional. Onde isso é alcançado, surge um modelo de controlo em que o risco não é transferido, em que o questionamento adquire peso ao nível da governação e em que as conclusões de auditoria não se limitam a registar insuficiências, mas contribuem para uma correção institucional mais profunda. Onde isso não acontece, a primeira, a segunda e a terceira linha podem continuar ativas de forma isolada, mas a organização, no seu conjunto, torna-se menos capaz de compreender a criminalidade financeira como um teste sistémico da sua própria ordem interna.

Governação de dados, operações e direção de governação

A governação de dados, as operações e a direção de governação não constituem, no âmbito da gestão integrada do risco de criminalidade financeira, domínios separados, mas antes um tríptico interdependente através do qual se torna visível a capacidade real da organização para percecionar, interpretar e controlar os seus riscos. A governação de dados determina que realidade se torna visível nos planos administrativo, analítico e decisório. As operações determinam a forma como essa realidade é tratada em processos, alertas, investigações, intervenções e reavaliações. A direção de governação determina que padrões emergentes dessa realidade operacional e baseada em dados são elevados à categoria de questões de gestão, decisões de capacidade ou recalibrações estratégicas. Assim que um destes três elementos se revela frágil, todo o dispositivo se torna vulnerável. Uma instituição pode dispor de grandes quantidades de dados sem que estes sejam suficientemente fiáveis, contextualmente utilizáveis ou acessíveis de modo transversal às várias funções. As operações podem tratar volumes significativos sem que os resultados desse tratamento proporcionem uma compreensão real dos riscos estruturais. A direção de governação pode receber informação extensa sem que esta reflita adequadamente as tensões efetivas presentes nas operações ou a qualidade normativa das decisões. A gestão integrada do risco de criminalidade financeira exige, por conseguinte, não apenas mais dados, operações mais eficientes ou relatórios mais frequentes ao conselho, mas um grau de ligação entre estas três dimensões que permita à organização ver-se a si própria com suficiente nitidez e, com base nisso, definir uma direção.

A qualidade da governação de dados reveste, a este respeito, importância fundamental, porque o risco de criminalidade financeira depende em larga medida da natureza da informação registada, da coerência com que as definições são aplicadas, da forma como os sistemas comunicam entre si, da reprodutibilidade das decisões e do grau em que a informação relativa ao comportamento dos clientes, às transações, aos alertas, aos escalonamentos, às anulações, às investigações e às saídas permanece disponível de forma coerente ao longo de todo o ciclo de vida. Uma governação de dados deficiente não conduz apenas a ineficiência técnica, mas também a um empobrecimento normativo. Quando informação crítica se encontra fragmentada entre sistemas distintos, quando decisões históricas não são rastreáveis, quando os resultados dos modelos não são explicáveis ou quando diferentes funções operam a partir de verdades distintas quanto ao mesmo perfil de cliente ou de risco, a organização perde a capacidade de formular juízos coerentes. As operações veem-se então obrigadas a atuar com base num contexto parcial, o que, por sua vez, deteriora a qualidade das avaliações, dos escalonamentos e das priorizações. A realidade operacional em muitas instituições mostra que as equipas de gestão de casos, os investigadores e os analistas são frequentemente limitados não sobretudo por falta de empenho ou de conhecimento técnico, mas por carências em matéria de integridade dos dados, interligação de sistemas e reconstrução de processos. Numa abordagem credível da gestão integrada do risco de criminalidade financeira, a governação de dados não é, por isso, um mero tema informático de apoio, mas uma componente central da integridade institucional, porque determina se a organização fundamenta as suas decisões numa representação suficientemente coerente e verificável da sua própria realidade.

As operações constituem, em seguida, o ponto em que quadros abstratos, conjuntos de dados e expectativas de governação são traduzidos em controlo efetivo do risco. É aí que se torna visível se os volumes de alertas são geríveis, se a lógica de priorização é pertinente, se as vias de exceção são disciplinadas, se os padrões de investigação são sustentáveis e se a organização dispõe de capacidade suficiente não apenas para registar sinais, mas também para os tratar de forma significativa. A direção de governação só pode ser credível se não reduzir a realidade operacional aos tempos de processamento, às estatísticas de volume e às taxas de encerramento, mas compreender também as tensões ocultas por detrás de atrasos acumulados, falsos positivos, deriva de qualidade, estrangulamentos de revisão, fadiga de escalonamento e dependências manuais. Um órgão dirigente que apenas se interrogue sobre a eficiência, sem compreensão suficiente da densidade do risco e da complexidade normativa, cria implicitamente uma pressão suscetível de empurrar as operações para a abreviação, o estreitamento ou a rotinização do juízo. Inversamente, operações cujas constatações não sejam traduzidas ao nível da governação correm o risco de ficar encerradas na mera gestão de sintomas. A direção de governação, no âmbito da gestão integrada do risco de criminalidade financeira, exige, portanto, que sinais operacionais, padrões de dados e causas estruturais convirjam num nível em que não se discutam apenas as cargas de trabalho, mas também as escolhas de conceção, a alocação de recursos, a governação de modelos, a estratégia de clientes e as medidas corretivas. Só nessa condição a organização pode passar do tratamento operacional para a aprendizagem institucional.

Toda a organização como condição para uma implementação credível

Toda a organização deve ser considerada uma condição para a implementação credível da gestão integrada do risco de criminalidade financeira, porque uma implementação desprovida de ancoragem à escala de toda a organização degenera inevitavelmente num programa formal que, embora produza processos e documentos, não intervém suficientemente na lógica subjacente através da qual a instituição produz, hierarquiza e governa o risco. Muitos processos de implementação fracassam não porque as medidas escolhidas sejam, em si mesmas, irrelevantes, mas porque são introduzidas numa organização que deixa intactas as suas hipóteses estratégicas, as suas estruturas de incentivos, os seus direitos de decisão e os seus padrões de cooperação. Num contexto assim, novos controlos são acrescentados a uma realidade preexistente que, depois, neutraliza esses mesmos controlos mediante pressão temporal, cultura da exceção, insuficiência de dados, fragmentação da titularidade ou prioridade comercial implícita. A credibilidade da implementação depende, por conseguinte, não só da qualidade técnica, da disciplina de projeto ou da governação do programa, mas também da disponibilidade da instituição para reconhecer que um controlo duradouro da criminalidade financeira só é possível se o conjunto da organização for ajustado às exigências normativas e operacionais do sistema. Nesse sentido, toda a organização não é um método de implementação entre outros, mas a condição institucional sob a qual a implementação pode tornar-se algo mais do que documentos, ferramentas e atividades formativas.

Uma implementação credível da gestão integrada do risco de criminalidade financeira exige, por isso, desde o início, um perímetro mais amplo do que a mera elaboração de políticas, a reconfiguração de fluxos de trabalho ou o endurecimento das regras de monitorização. Exige que a organização examine explicitamente os locais em que o risco de integridade já está a ser produzido dentro da ordem institucional existente. Esse exame deve estender-se às características dos produtos, à direção comercial, à seleção de clientes, às relações com terceiros, aos modelos de dotação de pessoal, à informação de gestão, às definições de dados, às dependências tecnológicas, aos fóruns de governação e aos mecanismos de remuneração. Na ausência dessa amplitude, configura-se uma lógica de implementação na qual a atenção se concentra nos domínios de controlo visíveis, enquanto as causas da vulnerabilidade estrutural permanecem noutros lugares. A organização parece então progredir porque são introduzidos novos processos e produzidos documentos de responsabilização, ao mesmo tempo que a tensão fundamental entre crescimento, exequibilidade e delimitação normativa permanece intacta. Toda a organização obriga, portanto, a que a implementação não se limite à questão de como um quadro de controlo é posto em prática, mas responda igualmente à questão de como a instituição impede que as suas próprias escolhas operacionais, comerciais e tecnológicas comprometam continuamente esse mesmo quadro. A credibilidade da implementação não é, assim, determinada principalmente pela amplitude do programa, mas pela profundidade com que este enfrenta as causas internas da fragmentação e da incoerência.

Daí decorre igualmente que a implementação, no quadro de uma abordagem de toda a organização, constitui um processo duradouro de governação e não um esforço pontual de transformação com um ponto final rigidamente delimitado. O risco de criminalidade financeira evolui, com efeito, a par dos comportamentos da clientela, da inovação de produto, da mudança tecnológica, das transformações geopolíticas e da evolução das normas de supervisão. Uma organização que pretenda implementar de forma credível a gestão integrada do risco de criminalidade financeira deve, por conseguinte, dotar-se de mecanismos através dos quais as lições extraídas, as análises de incidentes, as falhas de controlo, os quase-incidentes e as tensões operacionais repercutam novamente sobre a estratégia, a conceção e a governação. Isso requer humildade institucional: o reconhecimento de que a implementação nunca fica definitivamente concluída e de que a sua conclusão formal pouco significa quando o funcionamento quotidiano da organização continua a gerar novas vulnerabilidades. Toda a organização confere à implementação precisamente essa durabilidade necessária, porque desloca o centro de gravidade da mera entrega programática para a autocorreção organizacional estável. Onde esta abordagem está presente, a implementação pode tornar-se um processo credível de reforço institucional. Onde ela falta, mesmo esforços consideráveis conservarão o carácter de correções aplicadas a posteriori a uma organização que, noutros pontos, continua a fazer aquilo que os controlos situados no fim do processo são chamados a compensar.

A gestão integrada do risco de criminalidade financeira como disciplina de toda a organização e não como função especializada

A gestão integrada do risco de criminalidade financeira deve ser entendida como uma disciplina de toda a organização e não como uma função especializada, porque a natureza da ameaça da criminalidade financeira não coincide com os limites dos vários domínios de especialização. O conhecimento especializado continua a ser indispensável. Sem experiência aprofundada em matéria de prevenção do branqueamento de capitais, sanções, fraude, combate ao suborno e à corrupção, conduta, cibersegurança, investigações, análise jurídica e governação de modelos, nenhuma instituição pode manter um sistema de controlo adequado. Mas a especialização, por si só, é insuficiente quando a organização, no seu conjunto, continua a tratar as suas próprias decisões relevantes para o risco como se estivessem fora do âmbito da gestão integrada do risco de criminalidade financeira. No momento em que o controlo da criminalidade financeira fica institucionalmente localizado num silo especializado, surge para as demais funções a tentação de negar ou minimizar a sua própria contribuição para a produção do risco. A estratégia passa então a percecionar-se como função de mercado e crescimento. O desenvolvimento de produtos perceciona-se como função de inovação e de conveniência para o cliente. As operações percecionam-se como função de eficiência. A tecnologia perceciona-se como função habilitadora. Os recursos humanos percecionam-se como função centrada nas pessoas. Cada uma dessas autodescrições contém uma parte da verdade, mas nenhuma é suficiente se se ignorar que todas essas funções são também portadoras de decisões suscetíveis de aumentar ou reduzir a vulnerabilidade da instituição face à criminalidade financeira. A gestão integrada do risco de criminalidade financeira como disciplina de toda a organização corrige, por isso, a distinção enganadora entre, por um lado, “o negócio” e, por outro, “a função de criminalidade financeira”.

O carácter disciplinar da gestão integrada do risco de criminalidade financeira implica que o conhecimento, a linguagem e o juízo relevantes não devem permanecer concentrados exclusivamente em equipas especializadas, mas devem ser incorporados, de forma adaptada, na literacia de governação e na literacia operacional da instituição no seu conjunto. Isso não significa que cada função deva tornar-se especialista, mas significa que cada função deve possuir compreensão suficiente da forma como a criminalidade financeira pode manifestar-se dentro do seu próprio âmbito de responsabilidade. As equipas de produto devem compreender que funcionalidades podem facilitar abusos. A direção comercial deve compreender de que modo o perfil do cliente, a definição de preços, a fixação de metas e a pressão de aquisição comportam consequências em termos de integridade. As equipas de dados e de tecnologia devem compreender que a classificação, a seleção de modelos e a lógica de automação não são neutras do ponto de vista dos valores. Os recursos humanos devem compreender como os indicadores de desempenho, os critérios de promoção e as intervenções culturais sustentam ou minam um comportamento prudente. O conselho e a alta direção devem compreender que o controlo da criminalidade financeira não é um subdomínio técnico sobre o qual se recebem relatórios periódicos, mas uma disciplina que incide diretamente sobre a legitimidade estratégica e a continuidade empresarial. Quando esta disciplinarização mais ampla falta, as funções especializadas continuam estruturalmente responsáveis por compensar riscos gerados noutras partes da organização sem uma plena consciência do risco.

A passagem de uma função especializada para uma disciplina de toda a organização tem também consequências relevantes quanto à forma como se mede o sucesso e se distribui a responsabilidade. Enquanto a gestão integrada do risco de criminalidade financeira for considerada principalmente como um domínio especializado, a tendência natural será medir o desempenho mediante indicadores como a gestão de processos, o encerramento de alertas, as conclusões de auditoria, a implementação de políticas ou o acompanhamento regulatório. Esses indicadores conservam utilidade, mas tornam-se insuficientes enquanto não forem ligados a questões mais amplas relativas à conceção de produtos, ao apetite pelo risco, à estratégia de clientes, à integridade dos dados, à exequibilidade operacional, às escolhas de liderança e à coerência interna. Uma disciplina de toda a organização exige, por isso, um quadro conceptual mais rico, no qual não se meça apenas o desempenho das equipas especializadas, mas também o grau em que a instituição consegue reduzir a montante a produção do risco, tratar ao nível da governação as tensões normativas, fazer subir atempadamente os escalonamentos e configurar a organização de tal forma que o risco de criminalidade financeira não seja estruturalmente externalizado para a parte final do processo. Nesse sentido, a disciplinarização da gestão integrada do risco de criminalidade financeira significa que a integridade deixa de ser uma condição especializada periférica para se tornar um critério geral do comportamento profissional e de governação.

A coerência interna como fundamento da eficácia e da legitimidade externas

A coerência interna constitui o fundamento da eficácia e da legitimidade externas no âmbito da gestão integrada do risco de criminalidade financeira, porque uma instituição só pode atuar de forma credível para o exterior se a sua ordem interna for suficientemente coerente para alinhar as suas pretensões normativas, a sua prática operacional e a sua tomada de decisão em matéria de governação. A eficácia externa neste domínio é frequentemente avaliada a partir da capacidade de deteção, da qualidade das comunicações, do cumprimento de sanções, das investigações sobre clientes, da resposta a incidentes e da cooperação com as autoridades. Todos estes elementos são relevantes, mas só podem funcionar de forma duradoura se a arquitetura interna da organização não operar sistematicamente contra os resultados pretendidos. Uma instituição que exiba para o exterior padrões elevados, deixando porém subsistir internamente incentivos contraditórios, gerará inevitavelmente uma discrepância entre a sua posição formal e o seu funcionamento efetivo. Essa discrepância afeta não só a eficácia dos controlos, mas também a legitimidade da instituição aos olhos das autoridades supervisoras, das contrapartes, dos clientes, dos colaboradores e da sociedade. A legitimidade, no contexto da gestão integrada do risco de criminalidade financeira, não decorre, com efeito, do simples cumprimento de exigências mínimas, mas da capacidade de demonstrar de forma plausível que a organização se governa efetivamente a si própria de uma maneira que não tolera, não desloca nem externaliza oportunisticamente a criminalidade financeira.

A eficácia externa pressupõe, por conseguinte, que a organização seja capaz, internamente, de reunir sinais relevantes para além das fronteiras funcionais, de enfrentar ao nível da governação objetivos em conflito e de recusar reduzir insuficiências estruturais a erros individuais ou a perturbações procedimentais incidentais. As autoridades supervisoras e os demais avaliadores externos observam cada vez menos exclusivamente a presença de medidas formais e cada vez mais as condições de governação e de cultura em que essas medidas operam. A questão não é apenas saber se a instituição dispõe de um quadro de controlo, mas se esse quadro é sustentado, na prática, por responsabilização clara, tomada de decisão coerente, dados fiáveis, questionamento independente e suficiente apropriação por parte da primeira linha. Também parceiros externos, bancos correspondentes, investidores e atores sociais avaliam cada vez mais as instituições pelo grau em que a integridade se encontra visivelmente ancorada no funcionamento real da empresa. A coerência interna adquire, assim, um significado externo: determina se a instituição pode demonstrar de forma convincente que o risco não é apenas gerido a posteriori, mas delimitado a montante pela forma como produtos, processos, incentivos e governação são concebidos. Onde essa coerência falta, as expressões externas de confiança permanecem vulneráveis a uma rápida erosão logo que incidentes revelem que o controlo formal não corresponde à realidade quotidiana.

A legitimidade reveste, neste contexto, um carácter profundamente institucional. Assenta na força persuasiva com que uma instituição consegue demonstrar que a sua abordagem ao risco de criminalidade financeira decorre de uma forma duradoura de autogoverno e não de pressão temporária, gestão reputacional ou adaptação imposta pela supervisão. A coerência interna é indispensável para esse fim, porque apenas uma organização internamente coerente é capaz de manter de forma credível limites normativos quando esses limites implicam custos em termos de receitas, rapidez, conveniência para o cliente ou expansão de mercado. Uma instituição que opere internamente de forma fragmentada poderá talvez, durante algum tempo, apresentar resultados eficazes no exterior, mas continuará vulnerável a recaídas assim que a pressão aumente ou o ambiente se altere. Uma instituição dotada de forte coerência interna, pelo contrário, possui algo mais do que mera capacidade de controlo. Possui credibilidade institucional: a capacidade de atuar eficazmente para o exterior porque, no seu interior, se mantêm a mesma lógica normativa, a mesma disciplina de governação e a mesma coerência operacional. Nesse sentido, a legitimidade externa não é um produto comunicativo, mas o reflexo de uma organização que inscreveu a gestão integrada do risco de criminalidade financeira como uma propriedade da sua própria ordem interna.