Van Leeuwen Law Firm

Conceber os controlos de modo que a verificabilidade esteja integrada desde o início

Uma gestão dos riscos de criminalidade financeira concebida para ser verificável desde o início parte do pressuposto de que todo o controlo relevante deve ser mais do que uma intenção de política ou um requisito procedimental. Um controlo deve ter uma ligação clara com o risco subjacente, deve ser executável na realidade operacional, deve estar apoiado numa responsabilidade claramente atribuída e deve poder ser avaliado posteriormente quanto à sua existência, conceção e eficácia operacional. Quando a verificabilidade é acrescentada apenas depois da implementação, cria-se frequentemente uma separação artificial entre aquilo que a organização faz e aquilo que é capaz de demonstrar. Num contexto de Gestão Integrada do Risco de Criminalidade Financeira, essa separação é arriscada, uma vez que as autoridades de supervisão e as funções de assurance não avaliam apenas se existe uma política, mas sobretudo se essa política foi traduzida de forma demonstrável numa execução eficaz, em decisões coerentes e em informação de controlo reprodutível.

Integrar a verificabilidade desde o início significa que, ao conceber os controlos, já se estabelece que norma ou fonte de risco o controlo aborda, que objetivo de controlo é prosseguido, que atividade constitui a medida de mitigação, quem é responsável pela execução, que frequência se aplica, que limiares ou critérios são utilizados, que sistemas ou fontes de dados são empregues e que evidências devem estar disponíveis para demonstrar a eficácia operacional. Sem esta precisão preliminar, abre-se posteriormente espaço para divergências interpretativas. A linha de negócio pode considerar que uma etapa do processo foi realizada adequadamente, a compliance pode ter expectativas adicionais, a auditoria pode constatar a ausência de evidências e o conselho de administração pode não obter um nível suficiente de conforto sobre a eficácia real. Ao integrar a verificabilidade desde a fase de conceção, evita-se que a Gestão Integrada do Risco de Criminalidade Financeira dependa de explicações construídas ex post ou de conhecimentos individuais mantidos por determinados colaboradores.

Uma abordagem deste tipo exige uma disciplina em que a conceção do controlo, a execução do controlo e as evidências do controlo não sejam tratadas como domínios separados. A descrição de um controlo de diligência devida do cliente, de um controlo de monitorização de transações, de um controlo de screening de sanções, de um processo de escalada ou de uma revisão periódica deve esclarecer de imediato o que deverá poder ser verificado posteriormente. Isto implica também que os dados de controlo não devem dispersar-se entre emails separados, notas manuais, ficheiros não estruturados ou avaliações implícitas conservadas na mente dos colaboradores. A verificabilidade exige uma ligação sistemática entre etapa do processo, decisão, fundamentação, elemento probatório e informação reportada. Deste modo, a Gestão Integrada do Risco de Criminalidade Financeira torna-se mais sólida não apenas do ponto de vista da compliance, mas também como instrumento fiável de governação e direção empresarial.

Considerar a documentação, a constituição de dossiers e as evidências desde a fase de conceção

A documentação, a constituição de dossiers e as evidências não são subprodutos administrativos da gestão dos riscos de criminalidade financeira; contribuem diretamente para a defensabilidade do sistema de Gestão Integrada do Risco de Criminalidade Financeira. Em muitas organizações, a documentação ainda nasce com demasiada frequência como resposta a perguntas colocadas ex post: um auditor solicita provas, uma autoridade de supervisão exige uma fundamentação, um comité de auditoria pretende compreender as exceções, ou um revisor externo pede os critérios de decisão. Nesse momento, emerge frequentemente que os documentos existem, mas não estão logicamente ligados entre si; que os dossiers contêm informação, mas não expõem um raciocínio claro; ou que os elementos probatórios estão disponíveis, mas não demonstram suficientemente que um controlo tenha sido executado em conformidade com a sua conceção. Tais lacunas raramente são meramente administrativas. Em geral, indicam um problema mais profundo na conceção inicial dos processos e das responsabilidades.

Quando a documentação é integrada desde a fase de conceção, emerge um padrão diferente. Para cada controlo material relativo à criminalidade financeira, estabelece-se antecipadamente que informação deve ser registada, em que momento esse registo deve ocorrer, que nível de detalhe é necessário, que critérios de avaliação são utilizados, quem deve verificar o registo e durante quanto tempo as evidências devem permanecer disponíveis. Isto aplica-se, por exemplo, às decisões de aceitação de clientes, às reavaliações de clientes de alto risco, aos alertas de monitorização de transações, aos hits de sanções, aos desvios face à política padrão, às escaladas para a alta direção e às decisões de aceitação do risco. Em todas estas situações, não importa apenas o resultado, mas também o percurso que conduziu a esse resultado. Um dossier que contém apenas a conclusão, sem dar visibilidade aos factos, às avaliações, às fontes e às aprovações, oferece uma base insuficiente para uma verificação posterior.

Uma abordagem documental sólida no âmbito da Gestão Integrada do Risco de Criminalidade Financeira distingue ainda entre evidências necessárias e carga administrativa excessiva. Nem todos os processos exigem a mesma profundidade, e nem todos os riscos exigem a mesma intensidade probatória. Uma abordagem baseada no risco implica que uma constituição de dossier mais aprofundada seja exigida onde o risco, a complexidade, a materialidade ou a sensibilidade supervisora sejam mais elevados. Ao mesmo tempo, a documentação deve ser concebida de modo a continuar coerente e utilizável pelas equipas operacionais. Quando os requisitos probatórios se tornam demasiado pesados, demasiado fragmentados ou demasiado pouco claros, surge o risco de os colaboradores documentarem para o dossier em vez de documentarem para a qualidade do processo de decisão. O núcleo da abordagem reside, portanto, num registo proporcionado, orientado e verificável, que apoie tanto a operação como a assurance posterior.

Conceber os controlos tendo em conta a auditoria interna, as revisões externas e as perguntas das autoridades de supervisão

Os controlos no âmbito da Gestão Integrada do Risco de Criminalidade Financeira devem ser concebidos de forma a poderem resistir às perguntas que a auditoria interna, os revisores externos e as autoridades de supervisão previsivelmente colocarão. Isto não significa que o ambiente de controlo seja ditado exclusivamente pela metodologia de auditoria ou pelas expectativas das autoridades de supervisão. Significa, contudo, que a lógica de avaliação que será aplicada posteriormente é considerada já na fase de conceção. A auditoria interna quererá saber se o controlo está concebido de forma adequada, se as responsabilidades são claras, se a execução ocorre de maneira coerente, se os desvios são objeto de acompanhamento e se a informação de gestão é fiável. Os revisores externos procurarão frequentemente decisões rastreáveis, critérios claros e evidências suficientes. As autoridades de supervisão quererão sobretudo compreender se a organização conhece, gere, monitoriza e corrige atempadamente os seus riscos de criminalidade financeira.

Estas perguntas de verificação podem ser traduzidas já em requisitos concretos de conceção durante a fase de desenho dos controlos. Um controlo de monitorização de transações, por exemplo, não deve limitar-se a afirmar que os alertas são examinados, devendo também indicar com base em que critérios ocorre a priorização, que red flags são relevantes, quando é necessária uma escalada, como é realizado o controlo de qualidade e que informação de gestão é gerada. Um controlo de screening de sanções não deve limitar-se a registar que o screening é efetuado, devendo também explicar como as listas são atualizadas, como são geridos os falsos positivos, como são examinados os possíveis matches, como são documentados bloqueios ou escaladas e como é obtida assurance sobre a completude da população. Ao abordar estas questões antecipadamente, toma forma um controlo que não precisa de ser explicado pela primeira vez durante a auditoria, mas que está construído desde o início de maneira lógica e defensável.

Uma perspetiva de terceira linha acrescenta valor porque torna visíveis os pontos sobre os quais os controlos provavelmente serão objeto de contestação ou aprofundamento num momento posterior. Muitas vulnerabilidades não nascem do facto de as organizações nada fazerem, mas do facto de não articularem com precisão suficiente o que fazem, por que razão isso é suficiente e como pode ser demonstrada a eficácia operacional. A auditoria interna e as verificações externas avaliam geralmente a ligação entre análise de riscos, desenho do controlo, execução, evidências, monitorização e follow-up. Se faltar um destes vínculos, pode surgir uma constatação capaz de comprometer a credibilidade do conjunto. Ao conceber os controlos desde o início tendo presente esta cadeia avaliativa, a Gestão Integrada do Risco de Criminalidade Financeira torna-se menos dependente de remediações posteriores e mais capaz de sustentar um exame aprofundado.

Impedir que a preparação para a auditoria seja organizada apenas ex post

Uma preparação para a auditoria organizada apenas ex post conduz frequentemente a reconstruções onerosas, pressão operacional e maior risco de incoerências. Assim que é anunciada uma revisão, uma inspeção ou uma auditoria, começa uma corrida para completar dossiers, explicar o processo de decisão, recolher documentos em falta, entrevistar os responsáveis pelos controlos, reconciliar relatórios e fundamentar decisões anteriores. Esta forma de trabalhar não só gera uma carga para a organização, como também aumenta a probabilidade de o pacote probatório final parecer defensivo, fragmentado ou insuficientemente persuasivo. Nos dossiers relativos à criminalidade financeira, isto é especialmente problemático, uma vez que a documentação acrescentada ex post raramente possui o mesmo valor probatório que os registos criados no momento da própria decisão.

Impedir que a preparação para a auditoria seja organizada ex post começa com uma conceção clara dos processos, nos quais as evidências decorram automática ou naturalmente da execução. Quando um dossier de cliente é examinado, a correspondente avaliação do risco deve ser registada imediatamente. Quando uma exceção é aprovada, a fundamentação, o mandato e a medida compensatória devem estar imediatamente visíveis. Quando um alerta é encerrado, deve ficar claro que informação foi examinada e por que razão a conclusão é defensável. Quando ocorre uma escalada, o percurso, o calendário, a avaliação e o resultado devem ser rastreáveis. Deste modo, a preparação para a auditoria passa de uma atividade preparatória episódica para uma característica integrada da gestão quotidiana.

Esta deslocação também tem relevância em matéria de governação. Uma organização que organiza a preparação para a auditoria apenas quando as verificações se aproximam corre o risco de o conselho de administração e o comité de auditoria receberem uma imagem incompleta ou tardia da qualidade dos controlos. As constatações emergem tarde, os programas de remediação tornam-se reativos e a priorização fica determinada em parte pela pressão externa. No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, tal é indesejável, porque os riscos de criminalidade financeira são dinâmicos e exigem direção atempada. Quando a verificabilidade está integrada de modo permanente, a organização consegue identificar mais cedo onde os controlos não funcionam eficazmente, onde as evidências são insuficientes, onde os processos se afastam da política e onde são necessárias medidas adicionais. A preparação para a auditoria torna-se, assim, uma fonte de informação contínua sobre a gestão dos controlos, e não apenas um mecanismo defensivo por ocasião de uma avaliação externa.

Alinhar com os requisitos de assurance sem sobrecarregar desnecessariamente a operação

Uma conceção eficaz da Gestão Integrada do Risco de Criminalidade Financeira deve alinhar-se com os requisitos de assurance sem sobrecarregar a operação com documentação desproporcionada, trabalhos duplicados ou camadas de controlo complexas que pouco acrescentam à redução do risco. A assurance exige fiabilidade, reprodutibilidade e demonstrabilidade, mas esses requisitos devem ser traduzidos em processos operacionais praticáveis. Quando os requisitos de assurance são impostos de forma demasiado pesada ou demasiado abstrata, surge o risco de as equipas estarem ocupadas sobretudo a produzir evidências em vez de gerir os riscos de criminalidade financeira. Isto pode criar um paradoxo: a organização parece intensamente controlada, enquanto a qualidade real do processo de decisão, da avaliação dos riscos e do acompanhamento não melhora em medida equivalente.

O alinhamento com os requisitos de assurance exige, portanto, uma avaliação precisa do que é necessário, proporcionado e eficaz. Para clientes de alto risco, estruturas complexas, pessoas politicamente expostas, transações invulgares, riscos de sanções e exceções materiais, podem justificar-se evidências extensas. Para situações de baixo risco, pode bastar um modelo probatório mais simples e padronizado, desde que a classificação do risco seja, em si mesma, fiável. Esta diferenciação evita que toda a operação fique sujeita ao mesmo padrão probatório, independentemente do risco ou da materialidade. A Gestão Integrada do Risco de Criminalidade Financeira não exige documentação máxima em todos os casos, mas documentação adequada baseada no risco, na complexidade e na sensibilidade supervisora.

Uma abordagem equilibrada exige ainda que as necessidades de assurance sejam traduzidas num desenho inteligente dos processos, em suporte sistémico e em evidências impulsionadas por dados. Sempre que possível, as evidências devem derivar do workflow normal, dos logs do sistema, dos percursos de aprovação, dos campos de avaliação padronizados e da geração automatizada de relatórios. Isto evita que os colaboradores tenham de compilar ex post dossiers probatórios separados, desconectados do processo efetivo. Também os controlos de qualidade, os testes por amostragem e a informação de gestão podem ser concebidos de modo a apoiar tanto a direção operacional como a assurance. Deste modo, toma forma um sistema de Gestão Integrada do Risco de Criminalidade Financeira controlável sem se tornar sufocante, e capaz de reforçar a demonstrabilidade sem comprometer desnecessariamente a viabilidade comercial e operacional.

Garantir a rastreabilidade do processo decisório, das exceções e das escaladas

A rastreabilidade constitui uma das condições mais determinantes para uma gestão defensável no âmbito da Gestão Integrada do Risco de Criminalidade Financeira. O processo decisório em matéria de criminalidade financeira raramente decorre em circunstâncias inteiramente simples. A aceitação de clientes, a manutenção de relações com clientes, a monitorização de transações, o screening de sanções, a diligência devida reforçada, as decisões de saída, as exceções às políticas padrão e as escaladas para níveis decisórios superiores exigem frequentemente uma combinação de apuramento dos factos, avaliação do risco, proporcionalidade, contexto comercial, interpretação jurídica e governação. Quando essas considerações não são registadas de forma rastreável, surge uma vulnerabilidade que vai além da mera documentação. A organização não consegue então demonstrar de modo convincente que informação estava disponível, que riscos foram identificados, que alternativas foram consideradas, quem tomou a decisão, com base em que mandato essa decisão foi tomada e que condições ou medidas de mitigação lhe foram associadas.

A rastreabilidade exige, portanto, uma estruturação coerente das pistas decisórias. Não deve ser visível apenas o resultado de uma decisão, mas também o raciocínio que conduziu a esse resultado. No caso de um cliente de alto risco, não basta registar que o cliente foi aceite ou mantido. Deve ficar claro que fatores de risco foram identificados, que fontes foram consultadas, como foram avaliadas eventuais informações mediáticas adversas, que questões relativas aos beneficiários efetivos foram tratadas, que padrões transacionais foram considerados relevantes, que salvaguardas adicionais foram impostas e por que razão a aceitação do risco residual continua a ser defensável. No caso de uma escalada relacionada com sanções, não deve constar apenas que um possível hit foi examinado, mas também como a correspondência foi avaliada, que dados foram comparados, que incertezas permaneceram, que contributo jurídico ou de compliance interveio e que bloqueios ou liberações operacionais foram aplicados.

Para as exceções e as escaladas, a rastreabilidade cumpre ainda uma função direta de governação. As exceções são inevitáveis em muitos processos relativos à criminalidade financeira, mas não devem transformar-se num canal paralelo informal fora do quadro de controlo ordinário. Quando as exceções são registadas de forma insuficiente, surge o risco de que as tendências permaneçam invisíveis, de que as decisões individuais se desvinculem dos objetivos de política e de que a alta direção não disponha de visibilidade suficiente sobre desvios estruturais. As escaladas não devem, por isso, ser consideradas apenas como remissões ligadas a incidentes, mas como sinais relevantes para a governação que revelam tensões entre política, operação, apetite ao risco e capacidade de controlo. Um sistema de Gestão Integrada do Risco de Criminalidade Financeira que leva a rastreabilidade a sério torna as escaladas rastreáveis no tempo, no conteúdo, no mandato e no acompanhamento, de modo que seja possível estabelecer posteriormente se a organização reagiu de forma adequada, tomou decisões atempadas e implementou medidas de mitigação apropriadas.

Documentar racionales de controlo claros para supervisão e avaliação posteriores

Um racional de controlo constitui a justificação substantiva de uma medida de controlo: que risco de criminalidade financeira é abordado, por que razão esse controlo é adequado para tal risco, que limitação se pretende alcançar, que pressupostos o sustentam e em que momento o controlo é suficientemente eficaz para justificar a confiança da governação e da operação. Em muitas organizações, esses racionales permanecem implícitos. Os colaboradores compreendem em termos gerais por que existe uma determinada etapa do processo, a compliance pode remeter para a regulamentação ou para uma política, e a auditoria pode localizar o controlo numa matriz de controlos. No entanto, isto continua a ser insuficiente quando as autoridades de supervisão, os revisores externos ou os comités de auditoria perguntam por que razão um controlo foi concebido precisamente dessa forma e por que razão essa configuração corresponde ao perfil de risco específico da organização. Sem um racional explícito, continua a ser difícil ligar a análise de riscos, a escolha de política, o desenho do controlo e a prova da eficácia operacional.

A documentação dos racionales de controlo é especialmente importante nos domínios da criminalidade financeira em que as normas são abertas, baseadas no risco ou dependentes do contexto. A diligência devida do cliente, a monitorização de transações, a gestão do risco de sanções, a deteção de fraude, a banca correspondente, o financiamento do comércio, as exposições ligadas a criptoativos, as estruturas de propriedade complexas e os setores de alto risco não podem ser geridos integralmente por meio de procedimentos genéricos. É necessário explicar de forma recorrente por que razão determinados fatores de risco têm maior peso, por que razão determinados limiares são apropriados, por que razão certos cenários foram incluídos ou excluídos da monitorização, por que razão alguns grupos de clientes são submetidos a uma avaliação mais intensiva e por que razão determinadas formas de evidência são consideradas suficientes. Um racional de controlo claro evita que a organização, em verificações posteriores, dependa de referências gerais à política ou à regulamentação, quando a escolha efetiva de desenho exige uma justificação específica e contextualizada.

Um racional bem documentado também sustenta uma execução coerente e uma melhoria direcionada. Quando os colaboradores compreendem que risco um controlo pretende mitigar, diminui a probabilidade de tratarem esse controlo como um exercício mecânico de marcação de caixas. Quando os responsáveis pelos controlos compreendem os pressupostos subjacentes ao controlo, ficam em melhores condições de identificar o momento em que esses pressupostos deixam de ser sustentáveis. Quando a informação de gestão mostra que os volumes de alertas, os falsos positivos, os tempos de tratamento, as escaladas ou as exceções apresentam desvios estruturais, o racional pode ser utilizado para avaliar se é necessário um ajustamento. No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, o racional de controlo funciona assim como ponto de ligação entre norma, risco, operação, dados, assurance e responsabilidade de governação. Torna claro que a gestão não consiste apenas em executar etapas de processo, mas em tomar decisões defensáveis que devem ser periodicamente confrontadas com a evolução das ameaças, da regulamentação e das expectativas de supervisão.

Conceber a informação de gestão e as evidências de controlo a partir de uma perspetiva de auditoria

A informação de gestão no âmbito da Gestão Integrada do Risco de Criminalidade Financeira só tem valor quando é fiável, pertinente, disponível em tempo útil e rastreável. Os relatórios relativos à diligência devida do cliente, à monitorização de transações, ao screening de sanções, às comunicações de fraude, às escaladas, aos atrasos, às constatações de qualidade, às exceções e às medidas de remediação podem apoiar o processo decisório de governação, mas apenas quando fica claro como os dados são produzidos, que definições foram utilizadas, que populações foram incluídas, que limitações existem e como a informação se liga ao risco subjacente. Quando a informação de gestão é compilada principalmente para reporting periódico, sem uma ligação suficiente às evidências de controlo e à pista de auditoria, surge o risco de que o conselho de administração e o comité de auditoria confiem em informação que não é corretamente verificável. Num contexto de criminalidade financeira, isso pode gerar falso conforto: o relatório parece completo, enquanto a qualidade dos dados subjacentes, as definições ou os registos de processo não são suficientemente robustos.

Uma perspetiva de auditoria sobre a informação de gestão significa que a origem, a integridade, a completude e o valor probatório dos dados são considerados já na fase de desenho do reporting. Um dashboard que indique o número de alertas geridos, por exemplo, deve também poder explicar que alertas fazem parte da população, que alertas foram excluídos, como são tratadas as reaberturas, que controlo de qualidade é realizado sobre os motivos de encerramento e como são calculados os tempos de tratamento. Um relatório sobre atrasos em matéria de diligência devida do cliente deve precisar que clientes são contabilizados, que categorias de risco são distinguidas, como foram tratadas as exceções e que ações de remediação estão associadas aos incumprimentos de prazo. Um relatório sobre sanções deve oferecer visibilidade sobre possíveis hits, falsos positivos, correspondências verdadeiras, escaladas, bloqueios, liberações e eventuais excessos nos tempos de tratamento. Sem este nível de detalhe, a informação de gestão pode parecer atrativa do ponto de vista da governação, mas continuar vulnerável do ponto de vista da assurance.

As evidências de controlo não devem ser consideradas como uma camada probatória separada ao lado da informação de gestão, mas como o fundamento sobre o qual essa informação assenta. Quando as evidências de controlo são registadas de forma sistemática, torna-se possível validar os relatórios, explicar tendências, examinar desvios e responder eficazmente às perguntas de auditoria. Isto exige um alinhamento estreito entre o desenho de processos, o modelo de dados, a configuração de sistemas, as definições, os controlos de qualidade e a governação do reporting. A Gestão Integrada do Risco de Criminalidade Financeira só pode dirigir eficazmente quando a informação de gestão não mostra apenas o que aconteceu, mas também é suficientemente fiável para avaliar se o quadro de controlo subjacente funciona. Uma perspetiva de auditoria reforça essa fiabilidade ao integrar desde o início no desenho do reporting as questões de completude, exatidão, coerência e reprodutibilidade.

Reforçar a fiabilidade perante o conselho de administração, o comité de auditoria e as autoridades de supervisão

A fiabilidade perante o conselho de administração, o comité de auditoria e as autoridades de supervisão não nasce apenas de pacotes volumosos de reporting ou de documentos de política detalhados. Nasce quando a organização é capaz de demonstrar de forma coerente que os riscos de criminalidade financeira são identificados, avaliados, geridos, monitorizados e ajustados, e que as decisões subjacentes são rastreáveis, proporcionadas e verificáveis. O conselho de administração e o comité de auditoria necessitam de informação que não seja meramente descritiva, mas que também forneça orientação sobre a visão do risco, a qualidade dos controlos, as prioridades e as vulnerabilidades. As autoridades de supervisão esperam ainda que a organização compreenda os seus próprios riscos e demonstre que as medidas de controlo são adequadas à sua natureza, dimensão, complexidade e perfil de risco. Quando a preparação para a auditoria é concebida desde os fundamentos, essa fiabilidade recebe um apoio estrutural.

Na prática, a fiabilidade é frequentemente enfraquecida por incoerências entre diferentes níveis de informação. Um documento de política pode descrever uma abordagem baseada no risco, enquanto as instruções operacionais são predominantemente uniformes e mecânicas. Um relatório de gestão pode sugerir uma melhoria, enquanto as constatações de auditoria evidenciam uma constituição de dossiers insuficiente. Uma matriz de controlos pode indicar uma responsabilidade claramente atribuída, enquanto as escaladas ocorrem, na realidade, através de canais informais. Tais incoerências enfraquecem a confiança do conselho de administração, do comité de auditoria e das autoridades de supervisão, porque geram dúvidas sobre a capacidade efetiva da organização para manter o controlo sobre o seu sistema de Gestão Integrada do Risco de Criminalidade Financeira. A fiabilidade exige, portanto, não apenas documentos individualmente sólidos, mas sobretudo coerência entre política, execução, evidências, reporting e governação.

Um desenho preparado para a auditoria reforça esta coerência ao exigir que a organização sustente com elementos factuais a sua narrativa de controlo. O conselho de administração e o comité de auditoria podem então avaliar melhor onde os riscos estão a aumentar, que controlos estão sob pressão, que medidas de remediação merecem prioridade e que riscos residuais devem ser explicitamente aceites. As autoridades de supervisão obtêm uma visão mais clara da forma como a organização traduz os padrões em execução e monitoriza a qualidade dos seus próprios controlos. Isto reforça não apenas a defensabilidade em revisões formais, mas também a capacidade interna de ajustamento atempado. A Gestão Integrada do Risco de Criminalidade Financeira torna-se, assim, menos dependente de uma prestação de contas reativa e mais orientada para uma gestão demonstrável e contínua.

A preparação para a auditoria como parte integrante de um desenho eficaz da Gestão Integrada do Risco de Criminalidade Financeira

A preparação para a auditoria como parte integrante da Gestão Integrada do Risco de Criminalidade Financeira significa que a verificabilidade, as evidências e a reprodutibilidade não se situam ao lado do quadro de controlo, mas estão incorporadas no seu interior. Cada componente material da gestão dos riscos de criminalidade financeira deve ser concebido de forma a permitir que a organização explique que riscos são geridos, que controlos foram concebidos para esse fim, como decorre a execução, que evidências estão disponíveis, como é feito o acompanhamento dos desvios e como a direção é informada. A preparação para a auditoria deixa, assim, de ser uma disciplina distinta, ativada apenas sob a pressão de uma revisão, e torna-se uma característica integrada de uma gestão eficaz. Um controlo que não é verificável é difícil de avaliar de forma convincente. Uma decisão que não é rastreável é difícil de defender. Um relatório que não se liga às evidências subjacentes é difícil de utilizar como base de confiança para a governação.

Esta abordagem exige uma ligação integrada entre a primeira linha, a segunda linha e a terceira linha, sem confundir responsabilidades. A primeira linha continua responsável pela execução e pela gestão de riscos nas operações diárias. A segunda linha define os quadros, exerce uma contestação crítica, monitoriza o cumprimento dos padrões e apoia a interpretação da regulamentação e das expectativas de supervisão. A terceira linha proporciona uma avaliação independente e pode aportar perspetivas valiosas sobre a verificabilidade, as evidências, o desenho dos controlos e os riscos de assurance. Quando estas perspetivas são incorporadas desde a fase de conceção, emerge um sistema de Gestão Integrada do Risco de Criminalidade Financeira mais sólido do que aquele em que a auditoria apenas constata posteriormente a ausência de evidências ou a insuficiente verificabilidade dos controlos. A questão não consiste em misturar os papéis, mas em ligar mais cedo as perspetivas, cada uma das quais contribui, a partir da sua própria responsabilidade, para uma melhor gestão.

Em definitivo, a preparação para a auditoria contribui para a eficácia porque reduz a distância entre aquilo que a organização pretende fazer, aquilo que executa e aquilo que consegue demonstrar. Na gestão dos riscos de criminalidade financeira, essa distância determina frequentemente a diferença entre uma conformidade formal e uma gestão credível do risco. Uma organização que mantém sob controlo o seu processo decisório, as suas exceções, as suas escaladas, os seus racionales de controlo, a sua informação de gestão e as suas evidências encontra-se numa posição mais sólida perante o conselho de administração, o comité de auditoria, as autoridades de supervisão e os revisores externos. Mais importante ainda, dispõe internamente de melhor informação para compreender os riscos, estabelecer prioridades e intervir em tempo útil. A preparação para a auditoria desde os fundamentos não é, portanto, uma preparação defensiva perante a crítica, mas uma parte essencial da Gestão Integrada do Risco de Criminalidade Financeira, que reforça a qualidade, a fiabilidade e a utilidade de governação de todo o sistema.