Van Leeuwen Law Firm

Identificar atempadamente e com precisão as expectativas das autoridades de supervisão

A identificação atempada das expectativas das autoridades de supervisão começa pelo reconhecimento de que a supervisão não se desenvolve exclusivamente através de alterações legislativas formais. No domínio da criminalidade financeira, as expectativas relevantes também emergem através de publicações das autoridades de supervisão, decisões de enforcement, discursos, comunicações setoriais, consultas, revisões temáticas, mesas-redondas, standards internacionais, jurisprudência, tendências de auditoria e sinais provenientes da prática de mercado. Cada uma destas fontes pode conter indicações sobre os temas que ocuparão um lugar central em futuras revisões, investigações ou interlocuções diretivas. Uma organização que analisa estes sinais apenas depois de ter recebido um pedido formal de informação atua, por definição, de forma reativa. Nesse momento, os temas têm de ser identificados sob pressão temporal, a documentação disponível tem de ser localizada, o funcionamento demonstrável dos controlos tem de ser comprovado e as vulnerabilidades têm de ser avaliadas. Esta sequência aumenta o risco de respostas fragmentadas, de construção defensiva de dossiês e de controlo insuficiente sobre o próprio posicionamento da organização.

No quadro da gestão integrada do risco de criminalidade financeira, a identificação atempada requer um processo estruturado no qual a informação externa relativa à supervisão seja recolhida sistematicamente, interpretada e ligada ao perfil de risco próprio da organização. Nem todo o sinal supervisor é igualmente relevante para todas as organizações. Um tema urgente para um banco com atividade internacional e relações de correspondência bancária pode ter um alcance mais limitado para uma entidade que opera localmente. Um sinal relativo a sanções pode incidir profundamente sobre o screening, a diligência devida do cliente, a monitorização de transações e a governação, enquanto um sinal relativo à fricção com a clientela pode afetar principalmente a proporcionalidade, a comunicação, a política de saída e a gestão de reclamações. O objetivo não é, portanto, elaborar um inventário amplo de todos os possíveis desenvolvimentos externos, mas realizar uma avaliação precisa da sua materialidade. Que sinais incidem sobre os riscos existentes? Que sinais evidenciam fragilidades no quadro de controlo? Que sinais exigem atenção diretiva? Que sinais requerem uma ação imediata e quais podem ser integrados nos ciclos ordinários de melhoria?

Um processo eficaz de compreensão da supervisão traduz os sinais externos em perguntas concretas de gestão. Que dossiês seriam previsivelmente solicitados numa revisão? Que decisões exigem uma motivação mais sólida? Que controlos estão formalmente presentes, mas não são suficientemente sustentados por evidências? Que decisões de política podem ser explicadas como baseadas no risco e quais parecem resultar principalmente de uma evolução histórica? Que grupos de clientes, países, produtos, canais de distribuição ou tipos de transações poderiam ficar sujeitos a maior escrutínio? Ao responder periodicamente a estas perguntas, desenvolve-se uma visão prospetiva da exposição supervisora. Esta visão permite ao órgão de direção, à compliance, ao jurídico, ao fiscal, às funções de negócio e à auditoria adotar decisões mais cedo, fixar prioridades e ordenar a documentação. A supervisão deixa então de ser tratada como uma intervenção externa inesperada, passando a ser vista como uma fonte previsível de escrutínio para a qual a organização pode preparar-se de forma demonstrável.

Distinguir entre requisitos legais, orientações e expectativas implícitas

Uma condição essencial para o controlo da supervisão reside na capacidade de distinguir cuidadosamente as diferentes fontes normativas. No domínio da criminalidade financeira, as obrigações legais, as normas de desenvolvimento, as orientações das autoridades de supervisão, os standards internacionais, as boas práticas setoriais e as expectativas implícitas sobrepõem-se frequentemente. Nas discussões relativas ao sistema de controlo, estas fontes são regularmente agrupadas sob a designação geral de “regulação”, embora o seu estatuto jurídico, a sua exigibilidade e o seu significado prático possam diferir de forma significativa. Uma obrigação legal exige cumprimento direto. Uma orientação indica o modo como uma autoridade de supervisão pode avaliar a efetividade do cumprimento. Uma boa prática pode oferecer indicações sobre os standards de mercado, mas não é automaticamente adequada a todas as organizações. Uma expectativa implícita pode decorrer do enforcement, da experiência supervisora ou de desenvolvimentos sociais mais amplos, sem estar expressamente prevista num texto normativo. Sem uma distinção precisa entre estas categorias, surge incerteza quanto ao que é obrigatório, prudente, defensável ou desproporcionado.

Esta distinção reveste importância direta para a gestão integrada do risco de criminalidade financeira. Quando as orientações são tratadas erradamente como direito imperativo, uma organização pode introduzir mais medidas do que as necessárias segundo uma abordagem baseada no risco. Isso pode conduzir a complexidade desnecessária, sobrecarga da primeira linha, fricção com a clientela, atrasos na tomada de decisões e a um quadro de controlo que parece robusto, mas que materialmente não está suficientemente focado. Pelo contrário, quando as orientações são subestimadas, a organização pode encontrar-se insuficientemente preparada para questões sobre governação, eficácia e demonstrabilidade. O mesmo sucede com as expectativas implícitas. Nem toda a expectativa implícita merece conversão imediata numa nova política ou em novos controlos, mas exige análise. A pergunta relevante não é apenas se uma expectativa é juridicamente exigível, mas também se ignorá-la torna a organização vulnerável no âmbito da supervisão, da auditoria, da avaliação pelo conselho ou da prestação pública de contas.

Uma interpretação rigorosa das normas deve, portanto, conduzir a uma classificação prática. As obrigações vinculativas exigem uma atribuição clara de responsabilidades, um planeamento da implementação, um desenho de controlos e suporte probatório. As orientações exigem uma avaliação do alinhamento entre a posição da autoridade supervisora e a abordagem de controlo própria da organização. As expectativas implícitas exigem uma interpretação diretiva: que riscos reputacionais, de governação, de assurance ou de enforcement surgem se a organização não adotar qualquer medida sobre este ponto? As boas práticas exigem uma avaliação de proporcionalidade: o que pode ser adotado, o que deve ser adaptado ao contexto próprio da organização e o que não é apropriado à luz da sua dimensão, do seu perfil de risco, dos seus produtos, dos seus clientes e do seu modelo operacional? Ao realizar esta distinção de forma coerente, desenvolve-se um processo de tomada de decisões mais equilibrado. A organização pode demonstrar que leva a sério as fontes normativas, sem converter automaticamente cada expectativa externa numa intensificação genérica do quadro de controlo.

Explicar como as autoridades de supervisão avaliam a governação, os riscos e os controlos

As autoridades de supervisão avaliam cada vez mais o controlo da criminalidade financeira a partir de uma perspetiva integrada que combina governação, compreensão dos riscos e eficácia dos controlos. A pergunta não é apenas se existe uma política, mas também se essa política se apoia em responsabilidades claras, numa análise atualizada de riscos, em processos executáveis, dados fiáveis, sistemas adequados, profissionais competentes, decisões coerentes e escaladas atempadas. Neste contexto, a governação não é considerada uma camada formal situada acima da operação, mas o modo como as decisões são efetivamente adotadas, motivadas, documentadas e acompanhadas. Uma organização pode dispor de comités, linhas de reporte e documentos de política, e continuar vulnerável quando o processo decisório é difuso, as escaladas ocorrem demasiado tarde, a informação de gestão não é suficientemente sensível ao risco ou a distribuição de responsabilidades entre negócio, compliance, jurídico, fiscal e auditoria permanece incerta.

No âmbito da gestão integrada do risco de criminalidade financeira, a compreensão desta chave de leitura supervisora tem valor considerável. As autoridades de supervisão geralmente não examinam controlos individuais como medidas isoladas, mas questionam a credibilidade do funcionamento do conjunto. Um controlo de diligência devida do cliente pode ser formalmente correto, mas perder força persuasiva quando os dados dos clientes estão desatualizados, as classificações de risco não são suficientemente recalibradas, as exceções não são monitorizadas ou as escaladas não conduzem visivelmente a uma decisão. Um modelo de monitorização de transações pode ser tecnicamente sofisticado, mas revelar-se insuficientemente defensável quando os cenários não refletem as ameaças atuais, a gestão de alertas não apresenta a qualidade exigida ou as decisões de ajustamento não são rastreáveis. Um processo de screening de sanções pode ser completo do ponto de vista procedimental, mas continuar vulnerável quando a responsabilidade, a rastreabilidade dos dados, a gestão de falsos positivos e o controlo de alterações estão documentados de forma insuficiente. A perspetiva supervisora centra-se, portanto, na ligação entre risco, controlo, evidência e responsabilidade diretiva.

Explicar esta chave de leitura significa fazer com que os stakeholders internos compreendam por que determinadas perguntas são formuladas e por que algumas respostas formalmente corretas não são suficientes. Uma autoridade de supervisão raramente pergunta apenas se existe um controlo; a pergunta subjacente costuma ser se a organização pode demonstrar que o controlo é apropriado, funciona de modo coerente, reduz os riscos relevantes e é ajustado atempadamente quando as circunstâncias mudam. Isto exige um nível diferente de preparação. Os documentos de política devem estar alinhados com os processos. Os processos devem estar alinhados com os sistemas. Os sistemas devem estar alinhados com os dados. Os dados devem estar alinhados com a informação de gestão. A informação de gestão deve conduzir a decisões diretivas. E as decisões devem traduzir-se de forma visível em ações, monitorização e assurance. Quando esta cadeia apresenta coerência demonstrável, a organização dispõe de uma narrativa de controlo muito mais sólida do que quando os elementos individuais são descritos apenas em termos procedimentais.

Preparar clientes para revisões, inspeções e investigações temáticas

A preparação para revisões, inspeções e investigações temáticas exige mais do que a recolha de documentos pouco antes do início de um exame. No domínio da criminalidade financeira, a qualidade da preparação manifesta-se na medida em que a organização é capaz de explicar de forma coerente o seu próprio perfil de risco, as suas decisões, as suas deficiências e as medidas de melhoria adotadas. Uma revisão refere-se frequentemente não apenas à existência de políticas e controlos, mas também à lógica das prioridades, à coerência da execução, à qualidade das evidências, ao acompanhamento das constatações e ao grau de envolvimento demonstrável do órgão de direção e da alta direção. Quando a preparação é reduzida à produção documental, surge uma posição vulnerável. Os documentos podem ser volumosos, mas não oferecer uma imagem convincente do funcionamento. Os dossiês podem parecer completos, mas apresentar fragilidades na motivação, na rastreabilidade ou no alinhamento com os riscos atuais. As apresentações dirigidas à direção podem parecer profissionais, mas não responder suficientemente à pergunta fundamental sobre por que razão a abordagem escolhida é apropriada e proporcionada.

Uma preparação sólida no quadro da gestão integrada do risco de criminalidade financeira começa, portanto, com uma pré-revisão crítica dos temas que previsivelmente serão objeto de exame. Não se trata apenas de antecipar questionários. Os temas relevantes devem ser conectados com o perfil de risco próprio da organização, as constatações anteriores de auditoria, os incidentes, os programas de remediação, as reclamações de clientes, as alterações de sistemas, os problemas de qualidade de dados, as exceções, as decisões de governação e os sinais externos de supervisão. Esta análise revela os domínios em que a organização se encontra numa posição sólida e aqueles em que a narrativa permanece insuficientemente sustentada. Um controlo bem descrito no papel, mas relativamente ao qual as evidências estão fragmentadas, merece atenção antes de um revisor as solicitar. Uma decisão de política que se afasta da prática de mercado pode ser defensável, mas exige uma motivação clara baseada no risco. Um atraso acumulado em matéria de conhecimento do cliente pode ser explicável, mas deve estar suportado por uma priorização, medidas de mitigação, monitorização do progresso e envolvimento diretivo.

A preparação exige ainda uma distribuição clara de papéis durante o processo de revisão. Quem responde às perguntas jurídicas? Quem explica a execução operacional? Quem motiva as decisões relativas aos dados? Quem fala em nome do negócio? Quem garante a coerência entre as respostas escritas e as explicações orais? Quem avalia se a informação fornecida é completa, exata e correta no seu contexto? Na ausência de tal controlo, uma organização pode comunicar involuntariamente de forma incoerente, fornecer demasiada informação não pertinente ou não distinguir suficientemente entre factos, interpretações e intenções de melhoria. Uma preparação rigorosa garante que o fornecimento de informação ocorre de forma controlada, transparente e substancialmente robusta. Isto não significa que as deficiências sejam ocultadas. Pelo contrário: uma preparação credível reconhece as vulnerabilidades existentes, situa-as no seu contexto, mostra que medidas foram adotadas e demonstra como o progresso é monitorizado. Uma abordagem controlada, factual e solidamente sustentada das deficiências reforça a posição da organização num contexto de revisão ou supervisão.

Conectar as constatações internas aos temas externos de supervisão

As constatações internas provenientes de auditoria, monitorização de compliance, quality assurance, investigações de incidentes, avaliações de risco e controlos operacionais adquirem maior significado quando são conectadas aos temas externos de supervisão. Sem essa conexão, as constatações tendem a permanecer como pontos internos de melhoria com alcance limitado. Uma deficiência na qualidade dos dossiês de clientes é então tratada como uma questão administrativa, enquanto, na perspetiva de uma autoridade supervisora, pode revelar uma avaliação insuficiente dos riscos, evidências frágeis, uma execução deficiente pela primeira linha ou uma governação inadequada. Uma constatação relativa a documentação incompleta da monitorização de transações pode ser considerada internamente como uma melhoria de processo, mas interpretada externamente como uma falha de demonstrabilidade da eficácia dos controlos. Uma constatação de auditoria relativa a escaladas tardias pode ser explicável no plano operacional, mas indicar, na perspetiva supervisora, accountability insuficiente ou uma cultura de risco fraca. Ao avaliar as constatações internas à luz dos temas externos de supervisão, emerge uma visão mais precisa da sua materialidade real.

No âmbito da gestão integrada do risco de criminalidade financeira, esta conexão é essencial, uma vez que os sinais internos constituem frequentemente indicadores precoces de vulnerabilidades mais amplas. Um padrão de exceções, ações frequentemente atrasadas, classificações de risco aplicadas de forma incoerente, interpretações divergentes entre equipas ou problemas recorrentes de qualidade de dados podem sinalizar fragilidades estruturais que pesarão significativamente numa revisão externa. Quando estes sinais são tratados separadamente, a análise permanece fragmentada. A organização resolve então as constatações dentro de departamentos ou processos, mas não capta a imagem mais ampla das áreas em que o quadro de controlo, no seu conjunto, está sob pressão. Ao agrupar as constatações internas em torno de temas de supervisão como governação, proporcionalidade, eficácia, suporte probatório, impacto sobre a clientela, risco de sanções, risco de modelo ou qualidade da remediação, emerge um instrumento de direção muito mais sólido. Torna-se então possível fixar prioridades com base tanto na relevância externa como no valor de risco interno.

Esta conexão também reforça o diálogo diretivo. Os órgãos de direção e os comités nem sempre precisam de uma lista completa de constatações operacionais, mas precisam de compreender quais constatações podem evoluir para temas sensíveis do ponto de vista da supervisão. Uma constatação adquire maior relevância ao nível diretivo quando fica claro que toca num tema setorial atual, se alinha com sinais recentes de enforcement ou se insere em preocupações mais amplas relativas ao funcionamento demonstrável dos controlos. A discussão desloca-se, assim, de deficiências isoladas para riscos conectados e prioridades defensáveis. As constatações internas deixam de ser utilizadas apenas para realizar correções a posteriori, passando também a servir para antecipar: que perguntas externas podem surgir, que evidências faltam, que melhorias merecem ser aceleradas e que decisões devem ser documentadas ao nível diretivo? Deste modo, a conexão entre constatações internas e temas externos de supervisão torna-se um instrumento importante para um controlo da criminalidade financeira mais sólido, melhor sustentado e mais coerente.

Gestão das expectativas perante o órgão de direção, os comités e os stakeholders externos

A gestão das expectativas perante o órgão de direção, os comités e os stakeholders externos constitui um elemento essencial do controlo da supervisão, uma vez que o controlo da criminalidade financeira não é apenas uma questão operacional ou jurídica, mas também uma responsabilidade diretiva com consequências diretas para a estratégia, a reputação, a afetação de capital, o serviço ao cliente e a credibilidade institucional. Os dirigentes, os membros dos órgãos de supervisão, os comités de auditoria, os comités de risco e os stakeholders externos devem poder compreender que expectativas supervisoras são relevantes, que grau de assurance pode ser razoavelmente proporcionado, que incertezas existem, que deficiências são materiais e que decisões são necessárias para alcançar uma posição de controlo defensável. Isto exige uma forma de reporting e de interpretação que vá além da apresentação do número de alertas, das atualizações de políticas, das ações de remediação concluídas ou dos dashboards de compliance. A questão central é saber se quem toma decisões recebe uma compreensão suficiente do significado dessa informação. Um dashboard pode aparecer a verde enquanto os dossiês subjacentes contêm evidências frágeis. Um programa de remediação pode avançar de acordo com o calendário enquanto as causas estruturais das deficiências anteriores não foram suficientemente eliminadas. Uma política pode ter sido formalmente aprovada enquanto a sua viabilidade operacional continua limitada. A gestão das expectativas deve tornar visíveis estas tensões antes que se manifestem, na supervisão, na auditoria ou na prestação pública de contas, como surpresas diretivas.

No âmbito da gestão integrada do risco de criminalidade financeira, a gestão das expectativas exige uma tradução coerente entre as expectativas externas e a tomada de decisão interna. O órgão de direção e os comités não deveriam ser confrontados com sinais supervisores isolados, mas com uma visão ordenada do que esses sinais significam para o apetite ao risco, a priorização, os investimentos, a capacidade operacional, o impacto sobre a clientela e a demonstrabilidade. Neste contexto, é importante distinguir entre obrigações urgentes, pontos estratégicos de atenção, projetos de melhoria estrutural e desenvolvimentos que exigem acompanhamento. Um sinal supervisor relativo ao risco de sanções pode, por exemplo, ter consequências imediatas para o screening, a escalada, a governação e o reporting. Um sinal relativo à proporcionalidade na due diligence de clientes pode exigir uma recalibração das classificações de risco, da comunicação com os clientes e das decisões de saída da relação. Um sinal relativo à qualidade dos dados pode ter implicações profundas para a monitorização de transações, a due diligence de clientes, a validação de modelos e a informação de gestão. A tomada de decisão diretiva torna-se mais sólida quando estas ligações são explicitadas. Torna-se então claro que o controlo da criminalidade financeira não consiste em atividades de compliance separadas, mas num sistema integrado de decisões que deve ser continuamente avaliado à luz do risco, da supervisão, da executabilidade e da legitimidade.

A gestão das expectativas perante os stakeholders externos é igualmente importante, uma vez que a prestação pública de contas, os relatórios supervisores, a informação anual, a comunicação com a clientela, as perguntas dos investidores e as expectativas sociais afetam cada vez mais frequentemente os temas de criminalidade financeira. Uma organização que aplica internamente uma política matizada e baseada no risco, mas comunica externamente em termos absolutos, cria uma vulnerabilidade. Pelo contrário, uma comunicação prudente ou defensiva pode dar a impressão de que a organização não tem controlo suficiente sobre os riscos ou sobre os projetos de melhoria. Uma abordagem credível exige coerência entre a realidade interna e o posicionamento externo. Quando existem atrasos, deficiências ou incertezas, estes não devem ser ocultados, mas situados no seu contexto: que riscos foram identificados, que medidas estão em curso, que prioridades foram fixadas, que governação foi estabelecida e de que modo o progresso é monitorizado. No âmbito da gestão integrada do risco de criminalidade financeira, essa coerência é determinante. Impede que a supervisão, a direção, a auditoria, o mercado e o público recebam imagens distintas de uma mesma realidade de controlo. A gestão das expectativas converte-se assim não num ecrã comunicativo, mas num instrumento diretivo ao serviço de uma tomada de decisão realista, sustentada e controlável.

Atenção à coerência entre política, prática e prestação pública de contas

A coerência entre política, prática e prestação pública de contas constitui um dos critérios mais críticos do controlo da criminalidade financeira. Muitas organizações dispõem de documentos de política nos quais as ambições, os standards, os princípios baseados no risco e os requisitos de escalada são cuidadosamente formulados. Contudo, a verdadeira prova surge quando se examina se esses princípios de política também se refletem, de forma visível, nos dossiês de clientes, nas decisões de monitorização de transações, nas escaladas relacionadas com sanções, nos relatórios de fraude, nas atas de governação, na informação de gestão, nos audit trails e nas declarações externas. Um desvio entre política e prática compromete a credibilidade do dispositivo de controlo, mesmo quando os processos individuais parecem funcionais quando considerados isoladamente. Uma organização que invoca na sua política uma priorização baseada no risco, mas que na prática aplica abordagens genéricas baseadas em checklists, corre o risco de não conseguir demonstrar adequadamente a proporcionalidade. Uma organização que sublinha publicamente que os riscos de criminalidade financeira são controlados de forma proativa, enquanto internamente enfrenta atrasos estruturais, qualidade inconsistente dos dossiês ou acompanhamento limitado das constatações, cria uma posição vulnerável do ponto de vista da responsabilidade.

No âmbito da gestão integrada do risco de criminalidade financeira, a coerência exige uma verificação permanente do alinhamento entre normas, execução, evidências e comunicação. A política deve ser suficientemente clara para orientar as equipas operacionais, mas também suficientemente prática para continuar executável sob pressão temporal e em situações complexas relativas a clientes ou transações. A execução prática não deve limitar-se a respeitar etapas procedimentais, mas deve também mostrar que os colaboradores compreendem e aplicam a lógica de risco subjacente. A informação de gestão não deve ser um resumo abstrato, mas uma representação fiável do funcionamento real dos processos e controlos. A prestação pública de contas deve corresponder àquilo que pode ser efetivamente sustentado internamente. Quando estes elementos evoluem separadamente, surge um padrão em que a política é mais ambiciosa do que a execução, o reporting é mais positivo do que as evidências e a comunicação externa é menos matizada do que a realidade interna. As autoridades de supervisão e os auditores costumam detetar rapidamente estas incoerências, porque confrontam documentação, dossiês, decisões e resultados.

Reforçar a coerência exige uma revisão crítica de toda a cadeia. As declarações de política devem ser verificadas à luz de exemplos operacionais. A informação de gestão deve ser comparada com os casos subjacentes. As declarações externas devem ser contrastadas com as constatações internas e com os programas de melhoria em curso. As decisões relativas à aceitação de clientes, à saída da relação, à due diligence reforçada, à gestão de alertas, aos matches de sanções e aos riscos de fraude devem mostrar que a política não é apenas citada, mas efetivamente aplicada. Também a linguagem exige uma atenção particular. As afirmações de política formuladas em termos absolutos podem parecer atraentes, mas são arriscadas quando não podem ser plenamente realizadas. Formulações equilibradas, alinhadas com um controlo baseado no risco, costumam ser mais sólidas, porque permitem integrar proporcionalidade, priorização e contexto. A gestão integrada do risco de criminalidade financeira exige, portanto, disciplina tanto no conteúdo como na comunicação. A organização deve poder mostrar que aquilo que afirma, aquilo que faz e aquilo que prova avançam na mesma direção.

Reforçar a preparação perante perguntas sobre proporcionalidade, eficácia e demonstrabilidade

A preparação perante perguntas relativas à proporcionalidade, à eficácia e à demonstrabilidade é indispensável num contexto supervisor em que a avaliação do controlo da criminalidade financeira se centra cada vez menos apenas na questão da existência das medidas. A atenção concentra-se no motivo pelo qual as medidas são apropriadas, no seu funcionamento demonstrável, na sua relação com o perfil de risco e na capacidade da organização para sustentar o caráter defensável das decisões adotadas. A proporcionalidade exige que as medidas de controlo não sejam aplicadas de forma genérica, mecânica ou excessiva, mas estejam alinhadas com o risco, o tipo de cliente, o produto, a geografia, o padrão transacional, o canal de distribuição e os indicadores comportamentais. A eficácia exige que os controlos não sejam simplesmente executados, mas contribuam efetivamente para prevenir, detetar, escalar ou remediar os riscos de criminalidade financeira. A demonstrabilidade exige que a execução, a tomada de decisões, as exceções, as escaladas e o acompanhamento estejam documentados de tal forma que um terceiro possa reconstruir o que ocorreu, por que razão era apropriado e que governação esteve envolvida.

No âmbito da gestão integrada do risco de criminalidade financeira, estas três dimensões devem ser preparadas de forma conjunta. Uma medida proporcionada sem evidências continua vulnerável. Um processo sustentado por evidências, mas desprovido de eficácia demonstrável, permanece formalista. Uma intervenção eficaz sem uma justificação clara pode ser difícil de defender quando implica impacto sobre a clientela, de-risking ou fricção operacional. As organizações devem, portanto, ser capazes de explicar os seus controlos e as suas decisões seguindo uma linha integrada: que risco foi identificado, que medida foi escolhida, por que razão essa medida é apropriada, como é monitorizado o seu funcionamento, que exceções existem, que resultados se tornam visíveis e como ocorre o ajustamento quando a medida não é suficientemente eficaz. Este raciocínio não deve ser construído apenas durante uma revisão. Deve estar integrado nas justificações de política, nas descrições de controlos, nas avaliações de risco, nos resultados de quality assurance, na informação de gestão e na tomada de decisões diretiva. Só então uma organização pode demonstrar de forma convincente que o seu controlo não consiste em ações isoladas, mas num conjunto coerente e baseado no risco.

A preparação exige ainda treino na resposta a perguntas críticas. Por que razão determinado grupo de clientes foi classificado como de maior risco? Por que razão se aplica due diligence simplificada a determinados clientes? Por que razão foi alterado um limiar de monitorização? Por que razão determinado cenário está a ser progressivamente retirado? Por que razão determinados alertas foram encerrados sem escalada? Por que razão foi adotada uma decisão de saída, ou por que razão não foi adotada? Por que razão foi aceite um atraso e que medidas de mitigação foram implementadas? Não se trata de perguntas meramente técnicas. Afetam a governação, o apetite ao risco, os interesses dos clientes, a supervisão, as evidências e a responsabilidade diretiva. Uma organização que examina estas perguntas antecipadamente pode responder de forma mais rápida, mais coerente e mais convincente. A gestão integrada do risco de criminalidade financeira exige que esta preparação seja integrada estruturalmente na forma como as decisões são adotadas e documentadas. A demonstrabilidade converte-se então não num encargo administrativo posterior, mas num componente natural de um processo de tomada de decisões controlado.

Utilizar a dinâmica supervisora como oportunidade de melhoria estrutural

A dinâmica supervisora é frequentemente vivida como pressão: pedidos adicionais de informação, constatações críticas, obrigações de remediação, prazos, atenção diretiva e risco reputacional. Essa pressão é real, mas também pode ser utilizada como catalisador de melhoria estrutural. Em muitas organizações, os programas de combate à criminalidade financeira só recebem urgência suficiente quando o exame externo torna visível que os processos, a governação ou os controlos existentes não são suficientemente convincentes. Um sinal supervisor pode, portanto, acelerar decisões já conhecidas internamente, mas que não tinham recebido prioridade suficiente. Isto exige, contudo, uma abordagem diferente da supervisão. Quando a supervisão é tratada exclusivamente como uma ameaça externa, surgem comportamentos defensivos: respostas mínimas, proteção de dossiês, ações temporárias de remediação e foco no encerramento das constatações. Quando a supervisão é interpretada como fonte de informação sobre vulnerabilidades, expectativas e futuros critérios de avaliação, abre-se espaço para uma melhoria que vai além da reparação impulsionada por incidentes.

No âmbito da gestão integrada do risco de criminalidade financeira, isto significa que os sinais supervisores não se traduzem apenas em planos de ação, mas também em análises de causas-raiz. Uma constatação relativa a uma qualidade insuficiente dos dossiês pode ser tratada mediante a remediação desses dossiês, mas a questão estrutural consiste em compreender por que razão a qualidade não estava suficientemente protegida. A causa residia na política, na formação, nos sistemas, na capacidade, na qualidade dos dados, no ownership da primeira linha, no challenge da segunda linha, na informação de gestão ou na priorização? Uma constatação relativa a uma governação insuficiente pode receber uma resposta sob a forma de novos comités ou relatórios, mas a questão mais profunda é saber se o processo decisório se torna efetivamente mais preciso, mais rápido e melhor sustentado. Uma constatação relativa ao desempenho de um modelo pode conduzir a um ajustamento, mas também a uma revisão mais ampla da governação de cenários, da rastreabilidade dos dados, do controlo de alterações e da monitorização do desempenho. A dinâmica supervisora aporta valor quando é conectada às causas subjacentes da vulnerabilidade, e não apenas aos sintomas visíveis.

Utilizar a supervisão como oportunidade de melhoria também exige disciplina na priorização. Nem todas as constatações supervisoras exigem a mesma intensidade. Algumas constatações exigem medidas imediatas de mitigação devido aos riscos para os clientes, para a integridade do mercado ou para o cumprimento de sanções. Outras exigem um ajustamento estrutural dos processos ou da governação. Outras podem ser integradas nos ciclos ordinários de melhoria. Sem priorização, a supervisão conduz a uma acumulação de ações, a uma sobrecarga dos programas e a uma perda de foco. Com um quadro preciso de materialidade, a dinâmica supervisora pode converter-se numa agenda de transformação dirigida. A gestão integrada do risco de criminalidade financeira proporciona o quadro necessário para isso: os sinais externos são conectados com o risco interno, os controlos existentes, a capacidade operacional, a tomada de decisões diretiva e o assurance. Daí resulta não apenas uma resposta à supervisão, mas um fortalecimento da forma como os riscos de criminalidade financeira são identificados, avaliados, controlados e justificados de forma duradoura.

Controlo das expectativas no âmbito da gestão integrada do risco de criminalidade financeira

O controlo das expectativas constitui um componente central da gestão integrada do risco de criminalidade financeira, porque o controlo da criminalidade financeira só pode ser convincente quando as obrigações jurídicas, os sinais supervisores, a realidade operacional, a tomada de decisões diretiva e as evidências são compreendidos na sua interação recíproca. As expectativas não provêm de uma única fonte e não são controladas por uma só função. O departamento jurídico interpreta as obrigações normativas e os riscos jurídicos. A compliance traduz os standards em políticas, monitoring e challenge. O negócio é responsável pela execução, pela interação com a clientela e pelas decisões operacionais. A área fiscal pode interpretar sinais relativos à integridade fiscal, às estruturas e aos riscos transfronteiriços. A auditoria avalia o desenho, a existência e o funcionamento. O órgão de direção e os comités têm a responsabilidade de adotar decisões, fixar prioridades e proporcionar uma orientação demonstrável. Quando estas funções interpretam as expectativas de forma diferente, surge fragmentação. Uma organização pode então dispor de uma política formal e, ainda assim, carecer de uma compreensão partilhada do que exige um controlo resiliente perante a supervisão.

A gestão integrada do risco de criminalidade financeira reúne estas perspetivas em torno de uma pergunta central: a organização é capaz de controlar os riscos de criminalidade financeira de forma baseada no risco, proporcionada, eficaz e demonstrável, tendo em conta as expectativas do legislador, da autoridade de supervisão, do auditor, do órgão de direção, do cliente e da sociedade? Esta pergunta exige mais do que um catálogo de controlos ou um plano de compliance. Requer um ciclo controlado em que os desenvolvimentos externos são identificados, as expectativas relevantes são classificadas, o impacto sobre a organização é determinado, as decisões diretivas são adotadas, os controlos são ajustados, a execução é monitorizada, as evidências são documentadas e as constatações conduzem a ajustamentos. Neste ciclo, a supervisão ocupa um lugar estável sem que a organização permita que esta dite por completo a sua conduta. O objetivo não é a defensividade máxima, mas um controlo defensável. Isto significa que as medidas escolhidas são explicáveis, estão alinhadas com o risco, continuam proporcionadas para os clientes e para a operação, e geram evidências suficientes para resistir a um exame externo.

O controlo das expectativas exige, em última análise, clareza diretiva. Que riscos são aceites? Quais não são? Que grau de fricção com a clientela é defensável? Que atrasos são temporariamente aceitáveis e sob que condições? Que melhorias de controlo têm prioridade? Que sinais supervisores exigem escalada imediata? Que informação de gestão é necessária para permitir um ajustamento atempado? Que documentação deve estar disponível para sustentar as decisões adotadas? A gestão integrada do risco de criminalidade financeira só pode funcionar quando estas perguntas recebem respostas explícitas e não permanecem implícitas entre funções, comités ou programas. O controlo das expectativas converte-se assim numa disciplina de orientação, interpretação e evidência. Garante que a organização não tente explicar a posteriori por que razão determinadas decisões foram tomadas, mas decida antecipadamente com base no risco, na norma, no contexto e na demonstrabilidade. Isto reforça a posição perante as autoridades de supervisão, os auditores e os stakeholders externos, mas sobretudo a qualidade do controlo interno da criminalidade financeira.