Van Leeuwen Law Firm

Posicionar a compliance como parceira de uma gestão do risco praticável

A compliance como parceira de uma gestão do risco praticável não significa que a função de compliance renuncie à sua posição normativa nem que se subordine aos objetivos comerciais. Significa que a compliance obtém a sua autoridade da capacidade de traduzir obrigações jurídicas, expectativas das autoridades de supervisão e standards internos em dispositivos de controlo que funcionem efetivamente na prática diária. No domínio da criminalidade financeira, esta tradução reveste especial importância, porque os riscos raramente se apresentam na forma em que as regras estão escritas. Um dossiê de cliente não é apenas um conjunto de dados obrigatórios, mas uma combinação relativa à origem dos fundos, às estruturas de propriedade, ao comportamento transacional, à exposição geográfica, ao contexto fiscal, aos indicadores reputacionais e à evolução das circunstâncias. Um alerta não é apenas um sinal técnico, mas uma possível indicação de comportamento atípico, ruído do sistema, conhecimento incompleto do cliente ou configuração de cenários insuficientemente adequada. Uma escalada não é apenas uma etapa procedimental, mas um momento em que convergem responsabilidades, apetite ao risco, elementos probatórios e qualidade decisória. Uma compliance que atua como parceira de uma gestão do risco praticável compreende esta realidade estratificada e evita que a aplicação da norma seja reduzida a mera conformidade administrativa.

Este papel de parceira exige uma posição ativa na conceção, configuração e melhoria contínua das medidas de controlo. Quando a compliance intervém apenas no final de um processo, gera-se frequentemente uma dinâmica corretiva. Os lançamentos de produtos, os percursos do cliente, as alterações de sistemas ou as práticas operacionais são então avaliados num momento em que as decisões já foram tomadas, os orçamentos já foram definidos e a implementação já está submetida à pressão dos prazos. Numa situação semelhante, a compliance corre o risco de ser percecionada como uma função que abranda ou bloqueia, enquanto o problema real reside antes no seu envolvimento tardio na fase de conceção. Um posicionamento praticável exige, portanto, que a compliance seja envolvida precocemente nas decisões de negócio relevantes, para que os requisitos de integridade possam ser integrados desde o início na conceção de processos, nos campos de dados, nos critérios decisórios, na governação, na informação de gestão e na gestão de exceções. A compliance passa assim de uma correção ex post para um reforço ex ante, sem perder o seu papel crítico.

Ao mesmo tempo, o papel de parceira não deve ser confundido com uma assessoria desprovida de limites. Na Gestão Integrada do Risco de Criminalidade Financeira, a compliance tem a responsabilidade de ajudar o negócio a tomar decisões conscientes do risco, mas também de fixar limites claros quando as decisões propostas não sejam compatíveis com obrigações jurídicas, riscos sancionatórios, obrigações de comunicação, requisitos de governação ou uma tolerância ao risco defensável. O valor acrescentado da compliance reside então na combinação entre utilidade operacional e delimitação normativa. Uma opinião exclusivamente correta do ponto de vista jurídico, mas que não tenha em conta a viabilidade, pode revelar-se ineficaz na prática. Uma opinião exclusivamente prática, mas desprovida de uma base normativa suficiente, enfraquece a fiabilidade do sistema de controlo. Uma função de compliance sólida reúne ambas as dimensões. Não formula uma proibição abstrata quando existe uma via controlável, mas também não aceita a conveniência operacional como substituto da conformidade com os standards. Daqui resulta uma posição em que a compliance não se coloca perante o negócio como oposição, mas ao seu lado, com uma responsabilidade independente pela qualidade da integridade, pelos elementos probatórios e pela defensabilidade perante a gestão.

Alinhar-se com a realidade comercial sem perder o rigor normativo

O alinhamento com a realidade comercial começa com o reconhecimento de que a primeira linha opera num contexto em que as necessidades dos clientes, a pressão competitiva, os tempos de tramitação, os objetivos de receita, as expectativas de serviço e a capacidade operacional influenciam continuamente as decisões. O controlo da criminalidade financeira não opera no vazio. Incide sobre o onboarding, a aceitação de clientes, as revisões periódicas, o processamento de transações, o desenvolvimento de produtos, a gestão da relação com o cliente, a concessão de crédito, os serviços internacionais, as estruturas fiscais e as decisões de saída. Medidas que parecem lógicas do ponto de vista normativo podem criar fricções significativas nos processos comerciais quando não são cuidadosamente concebidas. Pedidos adicionais de informação podem sobrecarregar as relações com os clientes. Bloqueios rígidos podem produzir efeitos desproporcionados sobre clientes de baixo risco. Frequências de revisão insuficientemente diferenciadas podem desviar capacidade dos riscos materiais. Uma função de compliance que compreende a realidade comercial não ignora estes efeitos, mas analisa a forma como se relacionam com a finalidade protetora da norma.

Esta abordagem não significa que os argumentos comerciais sejam determinantes. Pelo contrário, o rigor normativo continua a ser necessário, porque os riscos de criminalidade financeira emergem ou aumentam frequentemente quando a pressão comercial não está adequadamente delimitada. A necessidade de um onboarding rápido pode conduzir a um conhecimento incompleto do cliente. O desejo de atender estruturas de cliente complexas pode obscurecer a identificação dos beneficiários efetivos últimos. O crescimento internacional pode aumentar a exposição a sanções, riscos de corrupção ou riscos de integridade relacionados com a fiscalidade. A preservação da relação com o cliente pode conduzir a reticências na escalada ou na decisão de saída. A compliance deve tornar explícitas estas tensões e impedir que a viabilidade comercial seja confundida com um risco aceitável. Uma função de compliance orientada para o negócio alinha-se, portanto, com a realidade comercial para governar com maior eficácia, e não para relativizar os requisitos normativos. O núcleo desta abordagem consiste em desenvolver decisões baseadas no risco, executáveis do ponto de vista comercial e capazes de resistir ao escrutínio da regulamentação, da supervisão e da governação interna.

Na prática, isto exige uma modalidade sofisticada de assessoria. A compliance deve ser capaz de indicar que fricções são necessárias, proporcionadas e explicáveis, e que fricções derivam principalmente de políticas insuficientemente focalizadas, dados de baixa qualidade, processos ineficientes ou diferenciação insuficiente. Nem todo atraso é indício de um controlo robusto. Nem toda pergunta do cliente constitui um risco de integridade. Nem todo desvio exige a mesma escalada. Ao mesmo tempo, nem toda oportunidade comercial é defensável, mesmo quando parece rentável ou estrategicamente atrativa. O valor da compliance reside na capacidade de tornar estas distinções convincentes. Isto exige conhecimento da regulamentação, mas também uma compreensão fina dos modelos de negócio, dos segmentos de clientes, dos canais de distribuição, dos produtos e das dependências operacionais. No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, surge assim uma forma de decisão normativa que não se situa fora da realidade comercial, mas utiliza essa realidade para avaliar os riscos com maior precisão, orientar melhor as medidas e sustentar com maior solidez as decisões da gestão.

Desenvolver uma compreensão das estruturas de produto, das necessidades dos clientes e da pressão operacional

Uma função de compliance que pretenda contribuir eficazmente para a Gestão Integrada do Risco de Criminalidade Financeira deve desenvolver uma compreensão profunda das estruturas de produto nas quais podem emergir riscos de criminalidade financeira. Os produtos não são neutros. Determinam os fluxos transacionais possíveis, as partes envolvidas, os dados disponíveis, as interações com os clientes, os desvios visíveis e os pontos de controlo que podem ser logicamente integrados. Um produto de pagamento apresenta uma dinâmica de risco distinta de um serviço de investimento, de uma linha de crédito, de uma solução de financiamento do comércio, de uma estrutura fiduciária, de um produto segurador, de um serviço de plataforma ou de uma relação de consultoria fiscal transfronteiriça. O conhecimento dos produtos permite à compliance compreender onde os riscos podem manifestar-se efetivamente, que tipologias são relevantes, que indicadores são significativos e que controlos contribuem materialmente para a redução do risco. Sem esta compreensão, a compliance corre o risco de governar com base em requisitos genéricos que não se alinham suficientemente com os fatores de risco específicos do produto.

A compliance orientada para o negócio exige, além disso, uma compreensão das necessidades dos clientes. No controlo da criminalidade financeira, o cliente é por vezes considerado apenas como uma fonte de risco, ao passo que o comportamento do cliente também é moldado por necessidades legítimas, lógicas comerciais, práticas setoriais, atividades internacionais, estruturas fiscais e hábitos operacionais. Uma estrutura de propriedade complexa pode indicar ocultação, mas também pode derivar de considerações ordinárias de investimento, familiares, financeiras ou fiscais. Um padrão transacional incomum pode sinalizar um risco de branqueamento de capitais, mas também pode estar ligado a receitas sazonais, dinâmicas da cadeia de abastecimento, financiamento de projetos ou volatilidade de mercado. Um cliente reticente em fornecer informação pode apresentar um risco aumentado, mas essa reticência também pode estar ligada à confidencialidade, a restrições jurídicas ou a uma explicação insuficiente por parte da organização. A compliance deve, portanto, dispor de uma compreensão suficiente do contexto do cliente para distinguir os sinais relevantes do ruído. Esta distinção é essencial para um controlo proporcionado.

A pressão operacional constitui a terceira dimensão. A primeira linha trabalha com sistemas que apresentam limites, campos de dados que nem sempre estão completos, transferências entre equipas, restrições de capacidade, compromissos de serviço, expectativas dos clientes, exceções manuais e prioridades em mudança. Quando a compliance não compreende suficientemente esta realidade, existe o risco de que a política ou o aconselhamento pareçam convincentes no papel, mas falhem na execução. Um controlo que depende de dados não disponíveis de forma fiável cria uma segurança ilusória. Um processo de escalada com demasiados pontos de transferência atrasa a decisão e reduz a apropriação da responsabilidade. Um processo de revisão que distingue de forma insuficiente entre categorias de risco consome capacidade sem um benefício claro em termos de risco. Compreender a pressão operacional não torna a compliance menos crítica, mas mais precisa. Ajuda a determinar que medidas são executáveis, que condições prévias são necessárias, onde a automatização acrescenta valor, onde o julgamento humano continua a ser indispensável e onde o processo deve ser adaptado para que o controlo não dependa de um esforço excecional ou da vigilância individual.

Traduzir obrigações jurídicas em decisões de negócio proporcionadas

O núcleo de uma compliance eficaz na Gestão Integrada do Risco de Criminalidade Financeira reside na capacidade de traduzir obrigações jurídicas em decisões de negócio proporcionadas. As leis e os regulamentos formulam as obrigações a um nível necessariamente geral: a diligência devida do cliente deve ser adequada, os riscos devem ser avaliados, as transações devem ser monitorizadas, as atividades incomuns devem ser comunicadas, as normas sancionatórias devem ser cumpridas, a governação deve ser adequada e os controlos devem funcionar de modo demonstrável. Para o negócio, a pergunta passa então a ser o que isto significa concretamente para a aceitação de clientes, o desenho de produtos, as frequências de revisão, os requisitos documentais, a classificação do risco, a lógica de monitorização, os critérios de escalada, a política de saída e a informação de gestão. A compliance exerce aqui uma função de tradução que supera a simples repetição da norma. Deve orientar decisões baseadas no risco, executáveis e defensáveis.

A proporcionalidade não é um aligeiramento das obrigações, mas um método para dirigir o controlo para os riscos materiais. Num contexto de criminalidade financeira, a ausência de proporcionalidade pode falhar em duas direções. A submitigação surge quando os riscos elevados não são examinados com profundidade suficiente, quando as escaladas ocorrem demasiado tarde ou quando se concede demasiado espaço aos interesses comerciais. A sobremitigação surge quando clientes de baixo risco são submetidos a pedidos de informação desproporcionados, quando a capacidade operacional é dedicada a sinais marginais ou quando são acrescentados controlos sem uma contribuição clara para a redução do risco. Ambos os resultados enfraquecem a Gestão Integrada do Risco de Criminalidade Financeira. A submitigação aumenta o risco de integridade; a sobremitigação conduz à ineficiência, à fricção com os clientes, à congestão de processos e a menor atenção aos sinais realmente relevantes. A compliance deve ajudar, portanto, a tornar a proporcionalidade operacional: que riscos exigem intensificação, que riscos podem ser geridos por medidas standard, que exceções são defensáveis e que decisões devem ser explicitamente documentadas.

Esta tradução exige que a compliance não aporte apenas conhecimento jurídico, mas compreenda também as consequências das decisões de política interna. Um reforço da diligência devida do cliente pode ter implicações para a capacidade de onboarding, a aceitação de clientes, a qualidade dos dados, o desenho de sistemas, o planeamento comercial e os dossiês de auditoria. Uma alteração da monitorização de transações pode gerar mais alertas, aumentar a carga de trabalho, exigir a adaptação de cenários, introduzir novos controlos de qualidade e modificar as necessidades de reporting. Uma abordagem mais rigorosa em matéria de sanções pode incidir nas relações de correspondência bancária, nos clientes internacionais, nas obrigações contratuais e nos processos de saída. A compliance não deve limitar-se a identificar estas consequências, mas integrá-las num aconselhamento que permita ao negócio tomar uma decisão consciente. A questão não é apenas o que é juridicamente exigido, mas também como esse requisito deve ser configurado para que a organização controle os riscos de modo demonstrável, atue proporcionalmente e consiga explicar ao nível da gestão por que razão foi escolhida uma determinada via.

Aconselhar na interseção entre negócio, fiscalidade, jurídico, compliance e auditoria

Os riscos de criminalidade financeira atravessam cada vez com maior frequência as fronteiras funcionais. Uma estrutura de cliente pode ter simultaneamente relevância comercial, suscitar questões jurídicas, ativar interrogações de integridade fiscal, exigir uma avaliação de compliance e converter-se posteriormente em objeto de testes de auditoria. Um risco sancionatório pode derivar de exposição geográfica, cláusulas contratuais, rotas de pagamento, relações de propriedade e execução operacional. Uma conclusão de monitorização de transações pode ativar obrigações legais de comunicação, sinais fiscais, decisões sobre a relação com o cliente, riscos reputacionais e questões de governação. Em situações deste tipo, uma compliance que aconselha exclusivamente a partir da sua própria coluna funcional revela-se insuficiente. A força de uma compliance orientada para o negócio reside na capacidade de reunir perspetivas diferentes sem perder a sua própria responsabilidade. A compliance torna-se assim uma ligação central na tomada de decisões integrada em torno dos riscos de criminalidade financeira.

Aconselhar nesta interseção exige que a compliance compreenda que perguntas são formuladas pelas demais funções e que limites estão ligados às respetivas perspetivas. O negócio examina o valor do cliente, a viabilidade, a posição competitiva e o impacto nos processos. A fiscalidade examina as estruturas fiscais, a substância, a transparência, as obrigações de reporting e os possíveis indicadores de abuso. O jurídico examina a posição contratual, a responsabilidade, os poderes, a oponibilidade jurídica e a interpretação das normas legais. A auditoria examina o desenho, a existência, a eficácia operacional, a rastreabilidade e os elementos probatórios. A compliance examina o risco de integridade, as expectativas das autoridades de supervisão, a conformidade com as políticas internas, a escalada, a classificação do risco e a qualidade dos controlos. Nenhuma destas perspetivas basta, por si só, para sustentar decisões complexas em matéria de criminalidade financeira. O valor nasce da conexão. A compliance deve ser capaz de ajudar a organizar estas perspetivas numa decisão substancialmente robusta, praticamente executável e verificável.

A linguagem reveste, a este respeito, uma importância determinante. Funções distintas utilizam frequentemente os mesmos conceitos atribuindo-lhes significados diferentes. Para o negócio, aceitação significa que um cliente pode ser atendido comercialmente. Para a compliance, aceitação significa que o risco de integridade pode ser controlado dentro dos limites estabelecidos. Para o jurídico, aceitação pode significar que as condições jurídicas foram suficientemente tratadas. Para a auditoria, aceitação significa que a decisão pode ser reconstruída e verificada ex post. Quando estes significados não são explicitados, pode surgir um acordo aparente enquanto a avaliação subjacente diverge. Uma compliance que compreende o negócio consegue tornar visíveis estas diferenças e traduzi-las em critérios decisórios concretos. No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, isto reforça a qualidade da governação: as decisões dependem menos de pressupostos implícitos, dominâncias funcionais ou alinhamentos informais, e fundamentam-se mais em considerações explícitas que a organização pode explicar, executar e defender.

Evitar que a compliance seja percecionada como uma função puramente inibidora

Quando a compliance, no âmbito do controlo da criminalidade financeira, é percecionada como uma função puramente inibidora, isso raramente depende apenas do rigor normativo. Com maior frequência, essa perceção nasce do facto de a ligação entre norma, risco, medida e impacto no negócio não ser tornada suficientemente explícita. A primeira linha experiencia então pedidos adicionais de informação, bloqueios, escaladas, atrasos perante os clientes ou requisitos de políticas internas sem dispor de visibilidade suficiente sobre o objetivo de integridade subjacente. Numa situação deste tipo, a compliance parece não contribuir para uma melhor gestão do risco, mas sobretudo para atrasos, incerteza e encargos procedimentais. Esta perceção pode tornar-se especialmente persistente quando as intervenções de compliance são formuladas de modo genérico, distinguem pouco entre perfis de risco ou não se alinham com a fase operacional em que o negócio se encontra. No domínio da criminalidade financeira, esse risco é relevante, dado que as medidas incidem frequentemente sobre processos comerciais essenciais, como o onboarding, a gestão continuada do cliente, o tratamento de transações, a gestão de relações e o desenvolvimento de produtos. Quando a compliance surge nesses processos exclusivamente como a última porta de aprovação, consolida-se quase naturalmente a imagem de uma função que se torna visível apenas quando algo não é permitido, não pode avançar ou tem de ser refeito.

Evitar esta perceção inibidora exige que a compliance torne as suas intervenções não apenas substancialmente corretas, mas também explicáveis, previsíveis e aplicáveis. Uma função de compliance orientada para o negócio deve clarificar por que razão uma medida é necessária, que risco controla, que expectativa normativa ou de supervisão a fundamenta e que margem pode eventualmente existir para alternativas proporcionadas. Isto altera a natureza da conversa. Em vez de uma tensão entre avanço comercial e obstáculo de compliance, surge uma avaliação substantiva em torno da gestão do risco, da fricção com o cliente, dos elementos probatórios e da defensabilidade perante a gestão. Tal exige uma linguagem compreensível para o negócio, sem diluição jurídica nem enfraquecimento do conteúdo próprio da compliance. Exige também coerência. Quando casos comparáveis são tratados de forma distinta sem uma justificação clara, a compliance é rapidamente percecionada como imprevisível. Quando os critérios estão claros desde o início, o processo decisório é rastreável e as exceções são cuidadosamente fundamentadas, aumenta a probabilidade de o negócio considerar a compliance como uma função de orientação, e não como uma função inibidora.

Ao mesmo tempo, a compliance deve aceitar que nem toda perceção negativa pode ou deve ser evitada. Uma função que contribui eficazmente para a Gestão Integrada do Risco de Criminalidade Financeira terá, por vezes, de abrandar, delimitar, escalar ou considerar que uma determinada via comercial é incompatível com o perfil de risco de integridade da organização. O objetivo não é, portanto, tornar a compliance confortável ou isenta de fricção, mas distinguir a fricção necessária da fricção evitável. A fricção necessária surge quando são exigidas garantias adicionais, informação suplementar sobre o cliente, uma decisão a um nível superior ou até a cessação de uma relação para manter sob controlo os riscos de criminalidade financeira. A fricção evitável surge quando os processos são desnecessariamente complexos, as políticas não diferenciam suficientemente, os dados não estão adequadamente disponíveis, as responsabilidades permanecem pouco claras ou a compliance é envolvida demasiado tarde. A força de uma compliance orientada para o negócio reside na redução dessa fricção evitável, para que o rigor normativo seja preservado onde é materialmente necessário. A compliance torna-se assim não menos rigorosa, mas mais bem direcionada, mais convincente e mais eficaz no âmbito da Gestão Integrada do Risco de Criminalidade Financeira.

Aumentar a adesão às medidas de integridade através de um melhor alinhamento com a prática

A adesão às medidas de integridade não nasce automaticamente da validade formal das regras. No âmbito do controlo da criminalidade financeira, a regulamentação pode ser vinculativa, as políticas cuidadosamente adotadas e a governação formalmente estabelecida, enquanto a aceitação prática na primeira linha continua limitada. Isto ocorre quando as medidas são percecionadas como impostas de fora, insuficientemente alinhadas com os processos de cliente ou demasiado afastadas da realidade em que são tomadas as decisões comerciais e operacionais. A adesão exige, portanto, mais do que uma comunicação posterior. Exige envolvimento na forma como as medidas são concebidas, explicadas, implementadas e mantidas. Uma equipa de primeira linha que compreende por que razão determinada informação do cliente é necessária, por que certos indicadores têm maior peso, por que os critérios de escalada foram reforçados ou por que determinadas transações exigem uma avaliação adicional estará mais inclinada a aplicar essas medidas com seriedade e constância. Quando essa compreensão falta, surge o risco de uma compliance mínima: as atividades são realizadas porque são obrigatórias, não porque o seu significado é compreendido.

Um melhor alinhamento com a prática começa pelo reconhecimento dos pontos em que as medidas de integridade produzem efetivamente os seus efeitos. Uma alteração de política não se executa num documento de política, mas nas conversas com os clientes, nos sistemas, nas ferramentas de workflow, nas árvores de decisão, nos formulários de revisão, nas filas de monitorização, nas reuniões de escalada e nos relatórios de gestão. Uma medida que parece lógica em abstrato pode fracassar na execução quando os consultores de clientes dispõem de perspetivas de atuação insuficientes, quando os campos de dados não correspondem à avaliação exigida, quando os sistemas não suportam um registo adequado ou quando as rotas de escalada são demasiado lentas para a decisão comercial. Uma compliance que compreende o negócio integra esta realidade de execução no desenvolvimento das medidas. Isto significa que não se deve perguntar apenas que norma deve ser protegida, mas também quem executa a medida, em que momento do processo, com que informação, sob que pressão temporal, com que autoridade e com que requisitos probatórios. Esta precisão prática aumenta a probabilidade de as medidas de integridade não serem percecionadas como uma carga abstrata, mas como um componente de uma gestão profissional do risco.

A adesão é ainda reforçada quando a compliance torna visível que as medidas de integridade não servem apenas para proteger a organização contra críticas das autoridades de supervisão, mas também contribuem para uma melhor seleção de clientes, processos mais fiáveis, uma tomada de decisões mais rigorosa e a proteção da organização contra abusos. No domínio da criminalidade financeira, este significado mais amplo pode facilmente passar para segundo plano quando as discussões são dominadas por obrigações, prazos, conclusões ou remediation. Uma função de compliance orientada para o negócio devolve a conversa à pergunta sobre que riscos são efetivamente reduzidos e que valor isso cria para a organização no seu conjunto. A Gestão Integrada do Risco de Criminalidade Financeira não é, assim, apresentada como uma coleção de controlos colocados ao lado do negócio, mas como uma condição para um serviço ao cliente sustentável, um crescimento fiável e uma legitimidade diretiva. Neste contexto, adesão não significa que toda medida seja popular. Significa que a medida é compreendida, que a sua proporcionalidade pode ser explicada, que a sua execução é viável e que as funções envolvidas reconhecem a sua importância no dispositivo mais amplo de controlo da criminalidade financeira.

Apoiar a primeira linha na adoção de decisões conscientes do risco

A primeira linha tem uma responsabilidade central na identificação, avaliação e controlo dos riscos de criminalidade financeira na prática diária do negócio. Contudo, essa responsabilidade só pode ser exercida eficazmente quando a primeira linha dispõe de enquadramentos claros, guidance utilizável, conhecimentos suficientes, ferramentas adequadas e acesso oportuno à expertise de compliance. Em muitas organizações surge uma tensão porque a primeira linha é formalmente responsável pela gestão do risco, mas na prática continua dependente de uma regulamentação complexa, de interpretações especializadas e de expectativas de supervisão mutáveis que não se traduzem facilmente em casos concretos de clientes ou transações. Quando a compliance não aborda suficientemente esta tensão, a responsabilidade da primeira linha converte-se rapidamente num princípio meramente formal. O negócio tem então de adotar decisões relativas à aceitação de clientes, informação suplementar, transações, exceções ou escaladas sem dispor de clareza suficiente sobre os critérios normativos e baseados no risco aplicáveis.

Apoiar a primeira linha não significa que a compliance assuma a responsabilidade pelas decisões de negócio. Significa que a compliance coloca a primeira linha em condições de adotar decisões melhores, mais bem fundamentadas e mais bem documentadas. Isto exige uma guidance que vá além das regras gerais de política interna. A primeira linha necessita de uma interpretação concreta: que sinais exigem uma avaliação adicional, que estruturas de clientes são sensíveis ao risco, que racionais transacionais são plausíveis, quando é necessária documentação adicional, quando se impõe uma escalada, que exceções são possíveis e que justificação mínima deve ser registada para poder explicar uma decisão num momento posterior. A compliance pode proporcionar orientação disponibilizando tipologias, exemplos de casos, critérios decisórios, modelos de justificação e indicadores de escalada. Isto não torna a primeira linha mais dependente da compliance, mas equipa-a melhor para atuar de forma consciente do risco dentro do seu próprio mandato.

Este apoio é especialmente valioso em decisões em que se encontram interesses comerciais e riscos de integridade. Isto inclui, entre outros, clientes com estruturas de propriedade complexas, transações transfronteiriças, setores com vulnerabilidade elevada, estruturas fiscais com sensibilidade reputacional, elementos geográficos sensíveis a sanções, padrões transacionais atípicos ou relações em que o valor existente do cliente exerce pressão sobre uma avaliação objetiva do risco. Em tais casos, não basta remeter a primeira linha para a política. É necessário um processo decisório em que factos, indicadores de risco, contexto comercial, restrições jurídicas, considerações fiscais, critérios de compliance e auditabilidade sejam avaliados conjuntamente. Uma compliance que compreende o negócio apoia este processo trazendo rigor sem paralisar a prática. Ajuda a distinguir os riscos aceitáveis que podem ser controlados por medidas adequadas dos riscos que se situam fora da margem defensável. A decisão da primeira linha torna-se assim mais sólida, mais coerente e mais defensável no âmbito da Gestão Integrada do Risco de Criminalidade Financeira.

Promover o envolvimento precoce da compliance no desenho e na mudança

O envolvimento precoce da compliance no desenho e na mudança constitui uma condição essencial para evitar ter de reparar a posteriori o controlo da criminalidade financeira. Muitas deficiências na Gestão Integrada do Risco de Criminalidade Financeira não nascem da ausência de políticas, mas do facto de os requisitos de compliance serem introduzidos apenas depois de as decisões de produto, o desenho de processos, as configurações de sistemas ou as hipóteses comerciais já terem sido em grande medida determinadas. Nessa fase, as possibilidades de controlar os riscos de integridade de forma elegante e eficaz são frequentemente limitadas. Os ajustamentos convertem-se então em soluções provisórias: controlos manuais adicionais, níveis de aprovação suplementares, workarounds temporários, ações de remediation ou requisitos documentais adicionais. Tais medidas podem ser necessárias, mas frequentemente tornam o controlo mais pesado, menos eficiente e mais difícil de demonstrar do que numa situação em que os requisitos ligados à criminalidade financeira tivessem sido integrados desde o início nas decisões de desenho.

A compliance deve, portanto, dispor de uma posição estável nos programas de mudança relevantes para a aceitação de clientes, o desenvolvimento de produtos, a digitalização, a utilização de dados, a monitorização de transações, o screening de sanções, o outsourcing, os modelos de plataforma, os serviços fiscais, a expansão internacional e o redesenho operacional. Essa posição deve ser substantiva, não cerimonial. Não basta que a compliance possa examinar formalmente um projeto mediante uma revisão tardia ou um sign-off padrão. O valor acrescentado surge quando a compliance pode influenciar desde o início que dados são registados, que critérios de risco são integrados nos processos, que pontos decisórios exigem escalada, como são registadas as exceções, como é configurada a monitorização, que informação de gestão é necessária e como as provas continuam disponíveis posteriormente. Nesta fase, a compliance pode impedir que os riscos fiquem incorporados em processos difíceis de corrigir mais tarde. Assim, passa de um controlo reativo para um reforço preventivo da qualidade.

O envolvimento precoce também exige disciplina de governação. Os projetos e iniciativas de mudança têm frequentemente o seu próprio ritmo, as suas próprias pressões comerciais e as suas próprias dependências técnicas. Na ausência de uma obrigação clara de envolver oportunamente os aspetos relacionados com a criminalidade financeira, surge o risco de a compliance ser consultada apenas quando ameaça um atraso ou uma escalada. Isto não é apenas ineficiente, mas também arriscado. Um produto concebido sem uma lógica suficiente de conhecimento do cliente, um sistema que não regista os dados pertinentes, um percurso de cliente que desencoraja a escalada ou um modelo de outsourcing em que as responsabilidades não estão suficientemente documentadas podem conduzir posteriormente a deficiências estruturais. Uma compliance que compreende o negócio não deve limitar-se a reagir a projetos individuais, mas deve contribuir para estruturar os processos de mudança de modo que as questões de integridade façam parte dos critérios de desenho desde o início. No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, isto significa que a compliance não permanece nas margens da mudança, mas contribui para definir as condições em que a mudança pode ocorrer de forma responsável.

A compliance orientada para o negócio como pressuposto para uma Gestão Integrada do Risco de Criminalidade Financeira eficaz

A compliance orientada para o negócio não é uma questão de estilo, mas um pressuposto para uma Gestão Integrada do Risco de Criminalidade Financeira eficaz. Os riscos de criminalidade financeira não nascem nas políticas de compliance, mas na interação entre clientes, produtos, transações, sistemas, colaboradores, terceiros, exposição geográfica e decisões comerciais. Uma função de compliance que compreende insuficientemente esta realidade pode formular standards, mas encontrará dificuldades em alinhar o controlo com os lugares em que os riscos emergem realmente. Daqui resulta uma lacuna entre conformidade formal e eficácia substantiva. Os documentos de política podem estar completos, os dispositivos de controlo podem ser extensos e os relatórios aparentemente convincentes, enquanto na prática o negócio perceciona falta de orientação, não reconhece atempadamente os sinais de risco ou aplica medidas sem uma compreensão real da sua finalidade e proporcionalidade. A compliance orientada para o negócio reduz esta lacuna ao conectar os requisitos normativos com a execução operacional.

No âmbito da Gestão Integrada do Risco de Criminalidade Financeira, a compliance recebe assim um duplo mandato. Por um lado, deve vigiar para que a regulamentação, as expectativas das autoridades de supervisão, os standards internos e a tolerância ao risco da gestão não sejam erodidos pela pressão comercial, pela comodidade dos processos ou pela habituação operacional. Por outro lado, deve evitar que o controlo se converta numa acumulação de medidas que podem ser formalmente defensáveis, mas insuficientemente orientadas para o risco, insuficientemente executáveis ou insuficientemente significativas para a prática diária. Este duplo mandato exige um elevado grau de maturidade profissional no sentido comum do termo: firmeza substantiva, compreensão do contexto, juízo independente, capacidade comunicativa e sensibilidade diretiva. A função de compliance orientada para o negócio deve ser capaz de aconselhar, desafiar criticamente, explicar, priorizar, conectar e delimitar. Deve falar a linguagem da regulamentação, mas também a dos processos de cliente, das decisões comerciais, da capacidade operacional, da qualidade dos dados, da auditabilidade e da governação.

A eficácia da Gestão Integrada do Risco de Criminalidade Financeira depende, em última instância, da capacidade da organização não apenas de identificar os riscos de integridade, mas também de os controlar de forma praticável nos lugares onde as decisões são tomadas. A compliance orientada para o negócio torna isso possível porque não se limita a confrontar a primeira linha com obrigações, mas apoia-a na adoção de melhores decisões de risco. Ajuda o conselho de administração e a direção a compreender onde a fricção é necessária, onde a complexidade pode ser reduzida, onde os controlos devem ser reforçados e onde as decisões comerciais deixam de ser defensáveis. Reforça a conexão entre negócio, fiscalidade, jurídico, risco, auditoria e governação, tornando o processo decisório mais explícito, mais coerente e mais verificável. A compliance torna-se assim não menos independente, mas mais relevante. Não porque a distância em relação ao negócio seja abandonada, mas porque a proximidade é combinada com o rigor normativo. Precisamente esta combinação converte a compliance orientada para o negócio numa condição fundamental para uma Gestão Integrada do Risco de Criminalidade Financeira que não convence apenas no papel, mas também resiste na prática.