Van Leeuwen Law Firm

Afinar os controlos existentes sem uma reconstrução desnecessária do sistema

Um quadro de controlos não precisa de ser reconstruído integralmente de cada vez para ser reforçado de forma significativa. Na prática, uma parte relevante do potencial de melhoria reside em controlos existentes que são pertinentes em si mesmos, mas que estão formulados com precisão insuficiente, são executados de forma não uniforme, estão ligados de modo inadequado aos indicadores de risco ou são incapazes de produzir elementos probatórios suficientes sobre o seu funcionamento efetivo. Uma abordagem pragmática começa, portanto, com a pergunta sobre quais partes do sistema existente já são utilizáveis e podem adquirir maior valor protetor por meio de um afinamento específico. Isto pode referir-se à clarificação dos objetivos de controlo, a uma definição mais precisa da titularidade dos controlos, à melhoria da documentação dos dossiês, à concretização dos critérios de escalonamento, a um alinhamento mais estreito da monitorização com os perfis de risco ou à correção de incoerências entre política e execução. Em todos estes casos, a organização não escolhe uma reconstrução dispendiosa e onerosa, mas o reforço de fundamentos existentes, já conhecidos pela organização e, por conseguinte, aplicáveis com maior rapidez, maior coerência e menor resistência.

Uma reconstrução desnecessária acarreta riscos significativos. Quando uma organização decide demasiado rapidamente substituir integralmente um quadro, abre-se frequentemente um período de incerteza transitória em que coexistem antigas e novas formas de trabalho, as responsabilidades se tornam temporariamente pouco claras e os colaboradores têm de se orientar entre instruções, sistemas e linhas de reporte em evolução. No âmbito do controlo da criminalidade financeira, essa incerteza pode ter consequências materiais. As revisões de conhecimento do cliente podem sofrer atrasos, os alertas podem ser interpretados de forma incoerente, os escalonamentos podem ocorrer demasiado tarde e a informação de gestão pode tornar-se temporariamente menos comparável. Um redesenho completo pode ser necessário quando o sistema existente é estruturalmente inadequado, mas frequentemente não é esse o caso. Muitas vezes, o quadro funciona no seu núcleo essencial, mas já não se alinha, em pontos específicos, com a evolução dos riscos, das expectativas de supervisão ou das circunstâncias operacionais. Nessas situações, o caminho mais defensável consiste no ajustamento específico dos controlos existentes, de modo a preservar a continuidade e obter melhoria sem desestabilizar desnecessariamente a organização.

Um afinamento específico exige, contudo, um elevado grau de precisão. Não basta reformular os controlos existentes ou ampliá-los em termos procedimentais. A análise deve estabelecer onde o controlo apresenta uma deficiência: no desenho, na execução, na frequência, na prova, na qualidade dos dados, no suporte dos sistemas, na titularidade, no reporte ou no acompanhamento. Um controlo de customer due diligence pode, por exemplo, ser apropriado quanto ao conteúdo, mas revelar-se insuficientemente eficaz porque as exceções não são registadas de forma coerente. Um controlo de monitorização de transações pode existir no plano técnico, mas aportar demasiado pouco valor porque os cenários não são recalibrados atempadamente com base em tipologias, comportamento do cliente ou risco do produto. Um processo de screening de sanções pode ser correto em termos procedimentais, mas insuficientemente robusto porque o processo decisório sobre potenciais correspondências não é documentado de forma uniforme. Em casos deste tipo, a solução não é necessariamente um novo quadro, mas uma configuração mais precisa do controlo existente. Na gestão integrada do risco de criminalidade financeira, esta distinção é essencial: a melhoria deve alinhar-se com a fraqueza específica do sistema e não deve conduzir a uma reconstrução genérica quando basta um afinamento específico.

Identificar que controlos exigem reforço e quais exigem sobretudo simplificação

Um quadro de controlos eficaz não se torna mais forte atribuindo a cada controlo o mesmo nível de atenção. O valor do reforço pragmático reside na diferenciação. Alguns controlos são críticos porque se referem diretamente a clientes de alto risco, risco de sanções, transações incomuns, relações de correspondent banking, estruturas de propriedade complexas, exposição geográfica ou produtos com elevada sensibilidade em matéria de integridade. Outros controlos têm predominantemente uma função administrativa ou de apoio. Quando todos estes controlos são tratados da mesma forma, o resultado é um sistema que produz muita atividade, mas distingue de forma insuficiente entre riscos materiais e riscos menos materiais. Portanto, deve determinar-se em primeiro lugar que controlos exigem realmente reforço. Isto exige uma análise da exposição ao risco, da performance dos controlos, das conclusões de auditoria e monitorização de compliance, do histórico de incidentes, dos estrangulamentos operacionais, das dependências de dados e da medida em que o controlo contribui de forma demonstrável para a redução do risco.

Ao mesmo tempo, deve determinar-se explicitamente que controlos podem ser simplificados. Em muitas organizações existem controlos introduzidos no passado como resposta a um incidente, a uma expectativa temporária da autoridade de supervisão, a um projeto específico ou a uma interpretação histórica da regulamentação, mas cujo valor acrescentado atual é limitado. Esses controlos permanecem frequentemente em vigor porque a sua eliminação parece mais sensível do ponto de vista da governação do que a sua introdução. Daí resulta uma acumulação de controlos que já não estão claramente ligados aos riscos atuais. A simplificação pode então ter um efeito de reforço. Eliminar controlos duplicados, combinar verificações sobrepostas, retirar requisitos documentais de baixo valor ou ajustar as frequências de revisão pode libertar capacidade a favor dos controlos que importam do ponto de vista material. Na gestão integrada do risco de criminalidade financeira, a simplificação não constitui, portanto, uma redução do controlo, mas uma forma de recentrar a atenção da organização nos riscos com maior relevância de governação, jurídica e operacional.

Esta avaliação exige um quadro de revisão que vá além da simples pergunta sobre se existe um controlo. As perguntas relevantes referem-se, entre outros aspetos, a saber se o controlo aborda um risco claramente definido, se está posicionado no ponto correto do processo, se é executado pela função adequada, se o resultado produz evidência suficiente, se os desvios são objeto de acompanhamento efetivo e se o custo de execução é proporcional ao valor protetor. Um controlo que exige capacidade significativa mas raramente produz constatações pertinentes merece uma reconsideração crítica. Pelo contrário, um controlo menos visível mas dotado de uma função essencial de salvaguarda pode exigir reforço. O resultado desta análise é um programa de melhoria diferenciado: intensificar onde o risco e a eficácia o justifiquem, simplificar onde a complexidade aporte pouco valor, e manter onde a configuração existente funcione de modo apropriado. Daí resulta um quadro de controlos guiado menos pela acumulação histórica e mais pela materialidade atual.

Concentrar-se em melhorias específicas com efeito visível na redução do risco

As melhorias específicas só têm valor quando contribuem visivelmente para a redução do risco. Isto significa que cada ajustamento do quadro de controlos deve poder ser ligado a um objetivo protetor concreto. No contexto da criminalidade financeira, esse objetivo protetor pode referir-se ao reconhecimento mais rápido de padrões incomuns, à melhoria da qualidade da aceitação de clientes, à limitação da exposição ao risco de sanções, ao reforço dos escalonamentos em dossiês complexos, à melhoria da qualidade dos dados utilizados para a monitorização ou ao aumento da coerência na tomada de decisões. Sem essa ligação, as medidas de melhoria correm o risco de ser predominantemente procedimentais ou óticas. Geram mais atividade, mas oferecem provas insuficientes de que a organização é mais capaz de prevenir, detetar, mitigar e prestar contas sobre os riscos de criminalidade financeira.

Um efeito visível exige mensurabilidade, mas não uma mensurabilidade abstrata. O objetivo não é produzir o maior número possível de indicadores, dashboards ou relatórios, mas identificar sinais que digam algo significativo sobre o funcionamento da medida de melhoria. Quando se afina um processo de gestão de alertas, a atenção pode concentrar-se, por exemplo, nos tempos de tratamento, na qualidade das motivações, na coerência dos escalonamentos, na relação entre falsos positivos e constatações pertinentes, bem como no acompanhamento atempado dos casos de alto risco. Quando se melhora a customer due diligence, os indicadores podem referir-se à completude da informação sobre beneficiários efetivos, à qualidade da classificação de riscos, à realização atempada de revisões periódicas, à justificação de desvios e à medida em que a due diligence reforçada conduz efetivamente a decisões melhor informadas. A força do reforço pragmático reside nesta ligação direta entre medida e efeito visível. Uma melhoria não é avaliada em função da quantidade de trabalho que cria, mas em função da medida em que contribui de forma demonstrável para uma melhor gestão do risco.

Também é importante que a redução do risco não seja abordada exclusivamente em termos quantitativos. No controlo da criminalidade financeira, muitos efeitos relevantes são de natureza qualitativa: melhor juízo profissional, escalonamentos mais precisos, aplicação mais coerente das políticas, decisões mais bem fundamentadas e evidência mais sólida perante as autoridades de supervisão ou a auditoria. Uma melhoria específica pode consistir, portanto, no afinamento dos critérios decisórios, na melhoria da qualidade das narrativas dos dossiês, na clarificação das situações em que a direção sénior deve ser envolvida ou na recalibragem da relação entre apetite ao risco e decisões operacionais de aceitação. Essas melhorias são menos visíveis sob a forma de simples números, mas podem ter um peso substantivo considerável. A gestão integrada do risco de criminalidade financeira exige, portanto, uma abordagem equilibrada em que sejam tidas em conta tanto a performance mensurável como a qualidade da tomada de decisões. Só assim emerge uma imagem da redução do risco que supera a produção procedimental e oferece uma compreensão real do valor protetor do quadro.

Evitar uma complexidade adicional que aporta pouca proteção suplementar

A complexidade adicional constitui um dos riscos mais subestimados no controlo da criminalidade financeira. A complexidade não deriva apenas de uma regulamentação extensa, mas também das respostas internas que lhe são dadas: múltiplos níveis de políticas, procedimentos sobrepostos, práticas locais divergentes, matrizes de aprovação adicionais, processos de exceção, rotas de escalonamento, controlos manuais e formatos de reporte que nem sempre se alinham. Cada acréscimo pode parecer racional se considerado isoladamente, mas, em conjunto, estes elementos podem produzir um quadro difícil de compreender, difícil de executar e difícil de testar. A realidade operacional torna-se então mais pesada sem um aumento proporcionado do valor protetor. Num sistema deste tipo, a atenção desloca-se da avaliação do risco para a navegação procedimental. Os colaboradores dedicam mais tempo a seguir passos procedimentais do que a compreender os riscos que esses passos deveriam controlar.

Evitar a complexidade pressupõe que cada medida prevista seja examinada à luz da proporcionalidade. Esse exame não deve limitar-se à defensabilidade jurídica; deve cobrir também a viabilidade operacional, o impacto nos processos relativos aos clientes, a carga sobre a first line, a dependência dos sistemas, a qualidade dos dados disponíveis, a expertise exigida e o ónus de manutenção. Um nível de aprovação adicional pode, por exemplo, aportar um valor limitado quando a avaliação do risco subjacente não melhora. Um formulário detalhado pode oferecer pouca proteção quando a informação introduzida não é utilizada para a tomada de decisões ou para a monitorização. Um novo relatório pode ser contraproducente quando os relatórios existentes já contêm os mesmos sinais, mas não são discutidos nem acompanhados de forma suficiente. O reforço pragmático exige, portanto, perguntar sempre se a complexidade adicional conduz efetivamente a melhor deteção, melhor prevenção, melhor tomada de decisões ou prova mais sólida. Quando a resposta é negativa, a medida deve ser reconsiderada.

Reduzir a complexidade desnecessária também pode melhorar a qualidade do controlo. Um quadro mais simples não é necessariamente mais leve; pode ser mais preciso, mais coerente e mais facilmente verificável. Quando os controlos estão claramente posicionados, as responsabilidades são atribuídas sem ambiguidade, os critérios são formulados de forma inteligível e os requisitos probatórios correspondem aos riscos efetivos, diminui o espaço para divergências interpretativas e reduz-se o risco de lacunas na execução. Também as autoridades de supervisão e os auditores beneficiam de um quadro que mostra por que foram tomadas determinadas decisões e como estas contribuem para a gestão do risco. Na gestão integrada do risco de criminalidade financeira, a redução da complexidade não é, portanto, uma simplificação cosmética, mas um reforço substantivo do sistema. A organização torna-se mais capaz de identificar os riscos essenciais, responder-lhes de forma proporcionada e prestar contas de modo convincente sobre as decisões adotadas.

Melhorar a coerência entre políticas, processos, sistemas e monitorização

Um quadro de controlos perde eficácia quando políticas, processos, sistemas e monitorização não estão alinhados. Os documentos de política podem ser rigorosos e completos, enquanto os processos operacionais não oferecem espaço suficiente para aplicar os requisitos. Os sistemas podem conter campos de dados que não correspondem às categorias de risco definidas pelas políticas. A monitorização pode produzir relatórios sobre indicadores sem uma ligação clara aos riscos principais. Os escalonamentos podem estar descritos formalmente, mas não estar apoiados na prática por fluxos de trabalho, titularidade clara ou informação de gestão adequada. Nessas circunstâncias surge uma fragmentação. A organização dispõe de múltiplos componentes de controlo, mas esses componentes não se reforçam suficientemente entre si. O reforço pragmático não se refere, portanto, apenas aos controlos individuais, mas à ligação entre os diferentes níveis que compõem o quadro.

Esta coerência começa com a tradução das políticas em processos executáveis. Os standards de política devem ser suficientemente concretos para permitir a aplicação operacional, sem se transformarem em instruções mecânicas que excluam o juízo profissional. Os processos devem depois ser desenhados de modo a apoiar os standards de política no momento em que o risco se manifesta. Uma política de aceitação de clientes, por exemplo, tem valor limitado se a informação necessária for recolhida apenas numa fase avançada do processo ou se a pressão comercial relegar de facto a avaliação do risco para segundo plano. Uma política em matéria de sanções exige não apenas screening, mas também procedimentos claros para potenciais correspondências, processo decisório, obrigações de congelamento, escalonamento e documentação de dossiês. Uma política de monitorização de transações exige não apenas cenários, mas também ciclos de retroalimentação claros entre gestão de alertas, tipologias, conhecimento do cliente e recalibragem periódica dos modelos. A coerência nasce quando a política não permanece suspensa acima do processo, mas se traduz na configuração concreta das atividades, dos sistemas e das decisões.

A monitorização constitui o nível de ligação entre o desenho e o funcionamento efetivo. Deve mostrar se o quadro realiza aquilo que é chamado a realizar. Isto exige relatórios que não se limitem a apresentar números, mas atribuam significado a tendências, desvios, estrangulamentos e riscos residuais. A monitorização deve alimentar as políticas quando os standards são insuficientemente claros, os processos quando a execução bloqueia, os sistemas quando os dados são insuficientes e a governação quando a tomada de decisões ou o escalonamento não funcionam corretamente. Sem esta retroalimentação, a monitorização converte-se numa atividade de controlo isolada; com esta retroalimentação, converte-se num mecanismo de reforço específico. Na gestão integrada do risco de criminalidade financeira, esta coerência é essencial, porque os riscos de criminalidade financeira não respeitam fronteiras organizacionais. Atravessam relações com clientes, produtos, transações, terceiros, ambientes de dados e estruturas decisórias. Um quadro sólido deve poder seguir esse mesmo movimento e ligar os diferentes componentes de controlo num conjunto coerente, verificável e executável.

Reforçar os quadros de controlo com base nas prioridades e na materialidade

Um quadro de controlo no contexto da gestão integrada dos riscos de criminalidade financeira só pode funcionar de forma sustentável e eficaz quando o seu reforço é orientado pelas prioridades e pela materialidade. Nem todas as insuficiências têm o mesmo peso, nem todos os processos comportam o mesmo nível de risco e nem todos os controlos merecem o mesmo grau de atenção em termos de governação. Na prática, contudo, surgem frequentemente programas de melhoria nos quais constatações, incidentes, pontos de auditoria, medidas regulatórias, preferências da direção e estrangulamentos operacionais são colocados lado a lado sem uma diferenciação suficiente em função do seu impacto no risco. Como consequência, as organizações dedicam uma energia considerável a um amplo conjunto de ações de melhoria, enquanto as vulnerabilidades mais materiais nem sempre são abordadas em primeiro lugar nem com a maior profundidade. Uma abordagem deste tipo pode dar uma impressão de movimento, mas não conduz necessariamente a um melhor controlo. A priorização não é, portanto, um luxo de gestão de projetos, mas uma condição para uma direção eficaz. Determina onde são mais necessários a capacidade, a atenção da direção, o orçamento de transformação e a intensidade dos controlos.

A materialidade exige que o reforço esteja ligado à natureza, ao alcance e à gravidade do risco de criminalidade financeira que o controlo se destina a gerir. Uma insuficiência num processo de baixo risco, com impacto limitado no cliente e exposição limitada, exige uma resposta diferente de uma insuficiência no screening de sanções, na monitorização de transações, no correspondent banking, na customer due diligence para clientes de alto risco ou no escalonamento de transações invulgares. A frequência de uma insuficiência também nem sempre é determinante. Um erro pouco frequente pode ser material quando afeta um domínio de alto risco ou pode causar prejuízo jurídico, de supervisão ou reputacional grave. Pelo contrário, um desvio frequente pode ser menos crítico quando tem natureza administrativa e afeta de forma limitada a gestão efetiva dos riscos. Uma avaliação rigorosa da materialidade tem, portanto, em conta a probabilidade, o impacto, a detetabilidade, a possibilidade de remediação, a sensibilidade de supervisão, o impacto no cliente, a dependência dos dados e a medida em que uma insuficiência compromete a confiança no quadro mais amplo.

Uma abordagem orientada por prioridades exige ainda que o programa de melhoria não seja determinado pela fonte de pressão mais ruidosa, mas por uma visão integrada dos riscos. As constatações das autoridades de supervisão, as observações de auditoria e os incidentes têm naturalmente peso, mas devem ser colocados em perspetiva juntamente com a monitorização interna, o desempenho operacional, a informação de gestão, as tendências externas de ameaça e as decisões estratégicas da organização. Isto permite estabelecer uma distinção mais clara entre as medidas que devem ser adotadas de imediato, aquelas que podem ser abordadas de forma planeada e aquelas que podem ser úteis sem merecerem prioridade imediata. Na gestão integrada dos riscos de criminalidade financeira, esta ordenação é essencial, uma vez que o controlo da criminalidade financeira concorre frequentemente com outras iniciativas de transformação dentro da mesma organização. Sem priorização surge fragmentação; com priorização, a governação adquire maior controlo. O quadro de controlo não é reforçado tentando melhorar tudo simultaneamente, mas abordando primeiro as vulnerabilidades mais materiais e com profundidade suficiente.

Utilizar as linhas de governação e de reporte existentes sempre que possível

O reforço pragmático significa utilizar as linhas de governação e de reporte existentes sempre que possível antes de acrescentar novas estruturas. Em muitas organizações, as insuficiências na gestão da criminalidade financeira desencadeiam a tendência para criar novos comités, fóruns de consulta, instâncias de escalonamento, dashboards ou linhas de reporte. Por vezes isso é necessário, em particular quando as estruturas existentes não dispõem de mandato suficiente ou não tornam visíveis, em tempo útil, os riscos materiais. Contudo, frequentemente cria-se um sistema paralelo que reduz a clareza da governação em vez de a aumentar. Vários fóruns discutem temas semelhantes, os relatórios sobrepõem-se, a tomada de decisões desloca-se entre diferentes instâncias e a titularidade torna-se menos clara. O resultado é uma governação mais formal, mas não necessariamente mais forte. Uma abordagem pragmática parte, portanto, da pergunta sobre quais linhas existentes já estão disponíveis, quais delas podem ser afinadas e onde a tomada de decisões encontra a sua localização mais natural.

A utilização da governação existente exige que a função de cada linha esteja claramente estabelecida. A primeira linha é proprietária da execução operacional e da gestão dos riscos dentro dos processos. A segunda linha exerce um papel de definição de standards, aconselhamento e challenge. A terceira linha avalia de forma independente se o sistema está corretamente desenhado e funciona eficazmente. Os comités de direção, os comités de risco, os executive boards e os comités de auditoria têm cada um a sua própria posição na tomada de decisões, na supervisão e na prestação de contas. Quando a informação relativa à criminalidade financeira circula através destas estruturas existentes, deve estar alinhada com a finalidade da instância correspondente. Uma reunião operacional exige informação diferente daquela de que necessita um comité de risco ao nível da governação. Um comité de auditoria precisa de uma visão sobre insuficiências estruturais, resultados de assurance e resposta da direção. Um executive board necessita de informação decisória sobre aceitação de risco, priorização, investimentos e consequências estratégicas. O reporte fortalece-se quando não conta a mesma história em todos os lugares, mas atribui aos mesmos factos subjacentes o significado adequado para cada linha.

As linhas de reporte existentes também podem ser reforçadas por meio de conteúdos mais precisos, em vez de volume adicional. Um dashboard de Financial Crime que contém muitos números mas pouca interpretação não conduz automaticamente a uma melhor tomada de decisões. O reporte de gestão deve oferecer compreensão sobre tendências, causas, riscos residuais, escalonamentos, atrasos, qualidade dos dados, desempenho dos controlos e avanço das medidas de melhoria materiais. Deve ficar claro que informação se destina simplesmente à tomada de conhecimento, que informação exige ação e que decisões devem ser adotadas ao nível da governação. Na gestão integrada dos riscos de criminalidade financeira, o valor surge quando o reporte não se limita a olhar para trás, mas também permite orientar a atuação. A governação existente não precisa então de ser substituída; torna-se mais eficaz porque a informação relativa à criminalidade financeira circula pela organização de forma mais precisa, mais coerente e mais orientada para a decisão. Isto evita a inflação da governação e, ao mesmo tempo, reforça o controlo, ao nível da governação, sobre os riscos materiais.

Integrar medidas de melhoria que continuem a ser executáveis para a primeira linha

Um quadro de controlo pode ser convincente do ponto de vista das políticas e, ainda assim, falhar quando a primeira linha não consegue executá-lo de forma coerente. A primeira linha é o lugar onde se encontram a interação com o cliente, a realidade comercial, a pressão operacional, as limitações dos sistemas e a avaliação dos riscos. As medidas de melhoria que não têm suficientemente em conta esta realidade criam uma lacuna entre o desenho e a execução. Os colaboradores enfrentam então passos adicionais, novos formulários, requisitos documentais adicionais, momentos de revisão mais rigorosos ou critérios de escalonamento mais complexos, sem que fique claro como essas obrigações se enquadram no tempo, nos sistemas e nas competências disponíveis. Isto cria o risco de os controlos serem executados mecanicamente, de a documentação dos dossiês ser reparada a posteriori, de as exceções serem resolvidas de modo informal ou de os sinais de risco se perderem sob a pressão procedimental. A executabilidade não é, portanto, uma condição secundária, mas um critério central de um reforço eficaz.

Integrar medidas de melhoria executáveis exige um conhecimento profundo dos processos. Uma medida deve ser situada no momento em que a informação está disponível, a decisão é tomada e o risco pode ser efetivamente influenciado. Um controlo colocado demasiado cedo no processo pode ser executado sem informação suficiente. Um controlo colocado demasiado tarde pode implicar sobretudo atividades de remediação, atrasos ou escalonamentos depois de o risco já ter sido aceite. Também é relevante o grau de trabalho manual. Quando uma melhoria depende de verificações manuais, campos de texto livre ou interpretações individuais, deve estabelecer-se se a primeira linha dispõe de capacidade, formação e orientações suficientes para executar esse controlo de forma coerente. Sempre que possível, os sistemas, o desenho de workflows, as regras decisórias standard, as classificações de risco e prompts claros devem apoiar a execução. Isto reduz as diferenças interpretativas e aumenta a probabilidade de o controlo não existir apenas formalmente, mas ser também aplicado da forma prevista.

A executabilidade não significa, contudo, que a primeira linha deva ser protegida à custa da gestão de riscos. Significa que a medida é desenhada de tal forma que possa funcionar eficazmente dentro do contexto operacional. Um controlo rigoroso pode ser executável quando é claro, bem apoiado, aplicado de forma proporcionada e concentrado nos riscos materiais. Um controlo ligeiro pode ser inexequível quando é pouco claro, ambíguo ou mal integrado. Na gestão integrada dos riscos de criminalidade financeira, o ponto central reside, portanto, na combinação entre precisão normativa e aplicabilidade prática. A primeira linha deve compreender por que razão a medida existe, que risco gere, que espaço decisório existe, quando é necessário escalonamento e que elementos probatórios devem ser registados. Quando estes elementos faltam, existe cumprimento sem convicção. Quando estão presentes, a primeira linha não é simplesmente executora de controlos, mas portadora de uma gestão eficaz dos riscos de criminalidade financeira.

Manter a atenção no calendário, na capacidade e na pressão de transformação no cliente

A qualidade de uma medida de melhoria é determinada em parte pelo momento em que é introduzida e pela medida em que a organização é capaz de a absorver. As organizações expostas a riscos de criminalidade financeira operam frequentemente num ambiente em que várias iniciativas de transformação decorrem simultaneamente: evolução regulatória, migrações de sistemas, programas de qualidade de dados, trajetórias de remediation, recalibrações de modelos, atualizações de políticas, programas de formação, remediation de auditoria e atrasos operacionais. Quando são acrescentados reforços de controlos adicionais a este conjunto sem uma fase cuidadosa, a pressão global de transformação pode tornar-se excessiva. O resultado não é um maior controlo, mas fadiga, conflitos de prioridades e risco de execução. As equipas enfrentam novas instruções antes de as medidas anteriores se terem estabilizado. A informação de gestão torna-se menos fiável porque os processos continuam em movimento. A formação perde eficácia porque a prática já mudou antes de os novos comportamentos se terem consolidado. O calendário constitui, portanto, um fator substantivo da eficácia do quadro.

A capacidade deve ser entendida em sentido amplo neste contexto. Não se refere apenas ao número de colaboradores disponíveis, mas também à expertise, à atenção da direção, à capacidade dos sistemas, ao apoio em matéria de dados, ao change management, à formação, ao quality assurance e ao espaço decisório. Uma organização pode contar com um número suficiente de pessoas e, ainda assim, carecer da capacidade necessária para implementar corretamente uma melhoria quando falta expertise ou quando as pessoas-chave estão sobrecarregadas. Além disso, uma medida pode ser desejável do ponto de vista substantivo, mas depender de modificações de sistemas que só estarão disponíveis num momento posterior. Nesse caso, pode ser necessária uma solução manual temporária, mas apenas quando o risco dessa solução transitória seja reconhecido e gerido explicitamente. O reforço pragmático exige, portanto, uma análise realista da implementação: o que pode ser feito de imediato, o que exige preparação, que dependências existem, que medidas temporárias são defensáveis e que riscos emergem durante a fase de transição.

A pressão de transformação também comporta uma dimensão comportamental. Quando os colaboradores enfrentam continuamente novos controlos, novas definições, novos relatórios e novas regras de escalonamento, aumenta a probabilidade de a mudança ser percecionada como uma carga administrativa em vez de uma melhoria da gestão de riscos. Isto incide na qualidade da execução. Um programa de melhoria eficaz deve, portanto, oferecer ritmo, sequência e estabilidade suficientes. Nem todas as medidas devem ser introduzidas ao mesmo tempo. Algumas melhorias exigem ação imediata devido a um risco material, outras podem ser agrupadas com programas de transformação existentes e outras podem esperar até que os sistemas ou processos estejam mais bem preparados. Na gestão integrada dos riscos de criminalidade financeira, esta fase é de grande importância. Um quadro não se torna mais forte porque todas as melhorias são lançadas simultaneamente, mas porque a organização fica em condições de compreender, implementar, consolidar e fazer funcionar as mudanças de forma demonstrável.

O reforço pragmático como via mais sustentável para a gestão integrada dos riscos de criminalidade financeira

O reforço pragmático constitui uma via sustentável para a gestão integrada dos riscos de criminalidade financeira porque não trata o quadro de controlo como um conjunto de obrigações separadas, mas como um sistema coerente que deve funcionar em condições reais. Os riscos de criminalidade financeira são dinâmicos, complexos e frequentemente entrelaçados com o comportamento dos clientes, estruturas internacionais, transações digitais, regimes sancionatórios, tipologias de fraude e expectativas evolutivas das autoridades de supervisão. Um quadro de controlo ampliado principalmente como reação à pressão tornar-se-á, com o tempo, cada vez mais pesado e menos ágil. Um quadro reforçado de forma pragmática, pelo contrário, permanece centrado nas seguintes perguntas: que controlos acrescentam realmente valor, que riscos merecem prioridade, onde é necessária simplificação e de que modo as políticas, os processos, os sistemas, a monitorização e a governação podem reforçar-se mutuamente. Esta abordagem permite ligar rigor e executabilidade.

A sustentabilidade significa, neste contexto, que o quadro não responde apenas às exigências atuais, mas também é resiliente perante a mudança. Novas regulações, novas tipologias, novos produtos, novos mercados e novos sinais de supervisão darão continuamente lugar a recalibrações. Quando o sistema é demasiado complexo, demasiado pesado ou demasiado dependente de reparações manuais, cada mudança torna-se dispendiosa e perturbadora. Um quadro reforçado de forma pragmática dispõe, pelo contrário, de prioridades claras, titularidade claramente estabelecida, monitorização utilizável, controlos proporcionados e governação que apoia a tomada de decisões. A organização pode assim determinar com maior rapidez que mudanças são necessárias e quais não o são. O quadro torna-se menos dependente de projetos ad hoc e mais adequado à melhoria contínua. Isto reveste grande importância na gestão integrada dos riscos de criminalidade financeira, em que o controlo não deve ser apenas reativo, mas também prospetivo, baseado no risco e explicável ao nível da governação.

A forma mais sustentável de reforço emerge quando pragmatismo, materialidade e demonstrabilidade se reforçam mutuamente. O pragmatismo garante que as medidas continuam a ser executáveis. A materialidade garante que a atenção se dirige para os riscos mais significativos. A demonstrabilidade garante que a organização pode mostrar por que razão foram tomadas determinadas decisões e como funcionam os controlos. Em conjunto, estes elementos constituem um contrapeso poderoso tanto à insuficiência de controlo como ao excesso de controlo. A insuficiência de controlo surge quando os riscos não são abordados de forma suficiente. O excesso de controlo surge quando uma organização acrescenta tal quantidade de cargas procedimentais que os riscos materiais se tornam menos visíveis. A gestão integrada dos riscos de criminalidade financeira exige um equilíbrio entre estes dois extremos. O reforço pragmático oferece esse equilíbrio porque torna o quadro de controlo mais preciso, mais coerente e mais defensável, sem o tornar desnecessariamente pesado. Daí resulta uma abordagem que não só satisfaz os requisitos formais, mas também oferece, na prática diária, proteção contra os riscos de criminalidade financeira.