Os riscos de criminalidade financeira e económica não se gerem com um documento de política interna que, acima de tudo, fica bem num portal do conselho de administração, com uma matriz de riscos que exibe todos os trimestres as mesmas cores tranquilizadoras, ou com uma apresentação de conformidade em que vulnerabilidades complexas foram reduzidas a pontuações, controlos e “responsáveis por ações”. Tudo isso pode ser útil para manter as reuniões organizadas, mas diz muito pouco sobre a capacidade da sua organização de demonstrar, sob pressão, o que realmente aconteceu, quem viu que sinais, por que razão se agiu ou não se agiu, e de que forma as decisões de risco foram tomadas, documentadas, monitorizadas e escaladas. A criminalidade financeira e económica raramente nasce no vazio. Circula através da urgência comercial, da fragilidade na documentação de processos, das vias de exceção, de terceiros, de transações complexas, da ausência de responsabilidades claras, de controlos informáticos frágeis, de uma triagem insuficiente em matéria de sanções, de bases jurídicas imprecisas em matéria de proteção de dados e de uma governação mais impressionante no papel do que na prática quotidiana. E é precisamente aí que o problema começa: a sua organização pode declarar durante anos que os riscos estão sob controlo, até ao dia em que uma autoridade de supervisão, uma autoridade de investigação, um banco, uma seguradora, um auditor forense, um investigador externo, um comité de auditoria, uma contraparte ou um juiz lê o mesmo processo sem a cortesia com que os relatórios internos são habitualmente recebidos. Então descobre-se que uma “exceção cuidadosamente avaliada” talvez não fosse mais do que uma evasão estrutural. Que um “desvio operacional” talvez indicasse uma falha de controlo. Que um “incidente” é chamado assim sobretudo porque a palavra “padrão recorrente” é menos agradável para a direção. E que a linguagem tranquilizadora das políticas, da cultura e dos procedimentos pesa pouco quando os factos mostram que os avisos não foram seguidos, os sinais foram minimizados, as responsabilidades foram deslocadas e as decisões não podem ser reconstruídas de forma convincente a posteriori.
Os riscos de criminalidade financeira e económica não exigem, portanto, uma conformidade decorativa, mas sim um controlo demonstrável, capaz de resistir quando a sua organização já não controla a narrativa. Assim que o processo é lido à luz da previsibilidade, do dever de diligência, da imputabilidade, das obrigações de comunicação, da responsabilidade de supervisão e da responsabilidade dos administradores, o espaço para abstrações confortáveis desaparece rapidamente. O que significa a sua política anticorrupção quando ninguém consegue explicar por que razão um agente, distribuidor, fornecedor, cliente ou parceiro de joint venture de alto risco foi, apesar de tudo, aceite? O que significa a triagem em matéria de sanções quando os alertas foram descartados rotineiramente, a responsabilidade era incerta ou a pressão comercial determinava a avaliação real do risco? O que significa o controlo da fraude quando transações invulgares, conflitos de interesses, padrões de despesas ou circuitos de pagamento eram visíveis, mas não conduziram a intervenções demonstráveis? O que significa a conformidade em matéria de proteção de dados quando a sua organização não consegue demonstrar quem tinha acesso a que dados, com que base jurídica, com que registo de acessos, com que medidas de segurança e com que seguimento dado às anomalias? O que significa uma política de cibersegurança quando os avisos foram tratados como ruído técnico até reaparecerem num relatório de investigação como sinais ignorados? Nessa fase, é demasiado tarde para pedir confiança com base em intenções. O que importa são os factos, a documentação, a escalada e a credibilidade do seu processo decisório. A gestão integrada dos riscos de criminalidade financeira obriga, portanto, a sua organização a enfrentar uma pergunta incómoda, mas necessária: consegue demonstrar que os riscos de criminalidade financeira e económica foram efetivamente geridos, ou dispõe sobretudo de um sistema cuidadosamente concebido que parecia convincente apenas enquanto ninguém lia realmente o processo com um olhar crítico?
O reposicionamento da direção da integridade num panorama de riscos estruturalmente transformado
A gestão integrada dos riscos de criminalidade financeira começa com o abandono da confortável ficção segundo a qual a direção da integridade seria uma atividade de conformidade de apoio, que informa educadamente a direção jurídica, produz periodicamente um painel de controlo e, quanto ao resto, deve evitar incomodar demasiado a máquina comercial. Num panorama de riscos estruturalmente transformado, esta conceção não está apenas ultrapassada; é perigosa. A sua organização opera num ambiente em que a criminalidade financeira já não se apresenta exclusivamente como um desvio reconhecível em relação à atividade ordinária, mas cada vez mais como uma transação aparentemente normal, uma aliança estratégica, uma oportunidade de crescimento, um pagamento urgente, um contrato público, um intermediário com “conhecimento local”, um veículo de investimento com um nome respeitável ou uma relação com um cliente apenas demasiado rentável para ser examinada criticamente. É exatamente aí que começa a fragilidade de governação. A gestão integrada dos riscos de criminalidade financeira deve, portanto, ser reposicionada: não como vigilância passiva das normas, mas como contrapeso ativo de governação. Deve ser o lugar onde se formula a pergunta que noutros contextos costuma ser evitada: por que razão esta operação é tão atrativa, por que razão esta estrutura é tão complexa, por que razão este terceiro é tão indispensável, por que razão este pagamento deve ser feito com tanta rapidez, por que razão falta documentação, por que razão a classificação do risco é tão milagrosamente favorável, por que razão as exceções são sempre vendidas como necessidades comerciais, e por que razão toda a gente começa a preocupar-se apenas quando uma autoridade de supervisão coloca as mesmas perguntas?
Este reposicionamento exige que a sua organização deixe de considerar a gestão integrada dos riscos de criminalidade financeira como uma linha defensiva situada no final da cadeia decisória, e passe a tratá-la como um componente estrutural da estratégia, da alocação de capital, da entrada em mercados, do desenvolvimento de produtos, da aprovação de transações, da participação em concursos, da seleção de parceiros e da resposta a crises. Parece óbvio, e precisamente por isso é suspeito que em tantas organizações isso não aconteça. A realidade diretiva costuma ser que a integridade é qualificada como importante enquanto não atrasar uma transação, não afastar um cliente, não colocar sob pressão uma previsão de receitas e não obrigar um dirigente influente a reconsiderar uma iniciativa querida. A gestão integrada dos riscos de criminalidade financeira é então convidada para a mesa quando as decisões essenciais já foram tomadas, depois do que ainda pode ser executada uma pequena due diligence ritual para decorar o processo. Isso não é controlo de riscos; é construção documental para arrependimentos futuros. Um reposicionamento sério significa que a gestão integrada dos riscos de criminalidade financeira recebe poderes, posição informativa e direitos de escalada proporcionais ao peso dos riscos. Sem acesso ao processo decisório, a função continua dependente daquilo que outros aceitam partilhar. Sem mandato, a opinião continua opcional. Sem uma linha direta com a direção e os órgãos de supervisão, a escalada continua a ser uma proposta cortês. Sem proteção contra a pressão comercial, toda a norma acaba por se transformar em moeda de troca.
Num panorama de riscos estruturalmente transformado, a sua organização deve ainda reconhecer que os riscos de criminalidade financeira não são estáticos. Um cliente que ontem parecia aceitável pode amanhã tornar-se sensível a sanções. Um fornecedor que opera num mercado estável pode subitamente integrar uma cadeia de alto risco devido a desenvolvimentos geopolíticos. Um contrato público juridicamente válido pode tornar-se tóxico do ponto de vista da governação quando a decisão, os interesses ou os fluxos de financiamento são examinados com maior profundidade. Um agente que durante anos produziu “resultados” pode demonstrar sobretudo, retrospetivamente, que ninguém queria realmente saber como esses resultados tinham sido obtidos. A gestão integrada dos riscos de criminalidade financeira deve, portanto, ser dinâmica, mas não no sentido da moda de painéis de controlo, mapas de calor e atualizações periódicas que provam sobretudo que as cores podem mudar. Dinâmica significa que a sua organização reavalia constantemente se as suas hipóteses continuam defensáveis, se as classificações de risco ainda correspondem aos desenvolvimentos factuais, se os controlos detetam realmente as anomalias, se as comunicações internas são analisadas seriamente, e se os dirigentes estão preparados para aceitar conclusões comercial ou politicamente desagradáveis. A prova mais dura não é saber se a sua organização dispõe de regras, mas se está disposta a aceitar uma perda quando o cumprimento das normas o exige. Um programa de integridade que funciona apenas enquanto não custa nada não é gestão integrada dos riscos de criminalidade financeira. É um centro de custos com pretensões morais.
Valores, prosperidade e resiliência como fundamento normativo e de governação da direção da integridade
A gestão integrada dos riscos de criminalidade financeira não pode ser implementada de forma credível sem uma compreensão aguda da relação entre valores, prosperidade e resiliência. A sua organização não pode continuar a apresentar a integridade como uma linguagem cultural suave enquanto a atividade real é conduzida por objetivos, quotas de mercado, acesso político, pressão financeira e o conhecido reflexo diretivo de estacionar as normas difíceis junto de especialistas enquanto a cúpula conserva para si margem de manobra. Os valores só têm significado quando produzem consequências sobre o dinheiro, o poder e o espaço discricionário. Um valor que nunca bloqueia uma operação, nunca influencia um bónus, nunca corrige um dirigente e nunca limita uma estratégia comercial não é um valor; é decoração de interiores. A gestão integrada dos riscos de criminalidade financeira expõe essa hipocrisia. Obriga a sua organização a estabelecer se a integridade constitui uma verdadeira condição para a criação de prosperidade, ou apenas uma fórmula acrescentada aos relatórios anuais para dar a impressão de que o lucro é obtido de forma socialmente respeitável. A verdade incómoda é que a criminalidade financeira raramente nasce num vazio de maldade manifesta. Nasce com maior frequência na zona cinzenta em que o crescimento se torna mais importante do que a verificação, as relações pesam mais do que a transparência, a pressão do tempo desloca o controlo, as ambições diretivas são apresentadas como necessidade estratégica, e todos sabem o suficiente para ficarem inquietos, mas dizem demasiado pouco para parecerem responsáveis.
A prosperidade sem resiliência torna a sua organização atrativamente vulnerável. Soa quase cortês, mas a realidade é mais áspera: as organizações prósperas atraem risco. Quem gere fluxos financeiros, dá acesso a mercados, possui licenças, distribui fundos públicos, realiza investimentos ou facilita transações internacionais torna-se inevitavelmente interessante para sujeitos que consideram a diferença entre empreendedorismo e abuso sobretudo semântica. A gestão integrada dos riscos de criminalidade financeira deve, portanto, proteger não só contra descarrilamentos internos, mas também contra a instrumentalização externa. A sua organização pode tornar-se vítima de engano, redes corruptas, documentação falsa, evasão a sanções, estruturas de branqueamento de capitais, roubo de identidade, conflitos de interesses, manipulação financeira ciber-dirigida e abuso estratégico por parte de contrapartes que sabem exatamente onde a pressa comercial supera a disciplina de controlo. Isso exige uma resiliência que vai muito além das listas de verificação de conformidade. São necessárias vigilância de governação, curiosidade forense, acuidade jurídica, disciplina operacional e vontade de submeter relações rentáveis a perguntas incómodas. Sem essa vontade, a sua organização não se torna resiliente; torna-se previsível. E a previsibilidade é extremamente útil para atores mal-intencionados. Basta-lhes aprender onde a pressão é mais forte dentro da sua organização, que dirigentes desejam ser vistos como dealmakers, que controlos podem ser contornados em nome da urgência, que exceções foram historicamente aceites e que administradores preferem ser tranquilizados a ser informados.
O fundamento normativo da gestão integrada dos riscos de criminalidade financeira não reside, portanto, em declarações abstratas de integridade, mas na estruturação concreta das decisões de governação. A sua organização deve conseguir explicar por que razão determinados riscos são assumidos, que limites não são ultrapassados, que informação é exigida, quem pode afastar-se da regra, quem examina as exceções, quando a escalada é obrigatória e que consequências resultam quando os sinais são ignorados. É muito menos romântico do que falar de valores, mas muito mais útil quando uma autoridade de supervisão, um procurador, uma comissão de inquérito, um banco, um jornalista ou uma parte civil pergunta o que realmente aconteceu. A gestão integrada dos riscos de criminalidade financeira deve traduzir os valores em critérios decidíveis. Que terceiros são inaceitáveis? Que jurisdições exigem exame reforçado? Que estruturas de pagamento são suspeitas, mesmo quando comercialmente práticas? Que presentes empresariais, contribuições de patrocínio, honorários de consultoria ou comissões de introdução são indefensáveis? Que sinais tornam irresponsável a continuação de uma relação com um cliente? Que papel desempenha o risco reputacional quando a licitude jurídica ainda não está plenamente cristalizada? Quem não responder a estas perguntas antecipadamente responderá a elas mais tarde sob pressão, normalmente pior, de forma mais defensiva e com consultores sensivelmente mais caros na sala. A conclusão sarcástica impõe-se: os valores são magníficos enquanto ninguém pedir prova de que alguma vez travaram alguma coisa. A gestão integrada dos riscos de criminalidade financeira existe precisamente para poder fornecer essa prova.
A economia de transição como fonte de riscos de integridade intensificados e entrelaçados
A economia de transição endureceu consideravelmente o terreno de jogo da gestão integrada dos riscos de criminalidade financeira. A transição energética, a digitalização, a autonomia estratégica, os investimentos em defesa, a economia circular, a renovação de infraestruturas, o financiamento climático e a inovação tecnológica implicam imensos fluxos financeiros, subvenções públicas, investimentos privados, concursos, programas de aceleração e novas dependências. Onde grandes quantidades de dinheiro circulam rapidamente, surge o risco. Onde a urgência pública é utilizada para acelerar decisões, o risco aumenta ainda mais. E onde se atribui superioridade moral a um projeto porque é qualificado como “verde”, “estratégico”, “inovador” ou “socialmente necessário”, o controlo crítico torna-se por vezes milagrosamente mais brando. A sua organização deve compreender que a economia de transição não é automaticamente limpa apenas porque os seus objetivos parecem simpáticos. Um projeto qualificado como favorável ao clima pode ter sido adjudicado de forma corrupta. Um investimento estratégico pode passar por estruturas intermédias opacas. Uma cadeia circular pode depender de abusos laborais, fraude em certificados ou informação falsa sobre a origem. Um parceiro tecnológico pode introduzir riscos de sanções. Uma parceria público-privada pode dissimular conflitos de interesses por detrás da linguagem das políticas públicas. A gestão integrada dos riscos de criminalidade financeira deve, portanto, olhar para além do invólucro moral. A etiqueta de utilidade social não é um salvo-conduto; constitui frequentemente uma razão para redobrar a desconfiança.
Na economia de transição, os riscos de integridade tornam-se ainda entrelaçados porque fatores jurídicos, financeiros, geopolíticos e operacionais exercem pressão simultânea sobre os mesmos processos. A sua organização pode encontrar-se perante cadeias de matérias-primas provenientes de zonas de alto risco, financiamento por sujeitos ligados a Estados, tecnologias com características de dupla utilização, fornecedores indiretamente relacionados com entidades sancionadas, procedimentos locais de autorização expostos ao risco de corrupção, pressão para construir ou entregar rapidamente, e expectativas públicas que deixam pouco espaço para atrasos. É exatamente o tipo de ambiente em que modelos de controlo bem ordenados adquirem frequentemente valor teatral. A matriz parece ordenada; a realidade não. A gestão integrada dos riscos de criminalidade financeira deve funcionar aqui como uma disciplina integradora, ligando direito das sanções, anticorrupção, controlos contra o branqueamento de capitais, direito da contratação pública, governação, risco cibernético, controlo contratual, análise reputacional e capacidade de investigação forense. Não porque a coerência seja sedutora num organigrama, mas porque os riscos de criminalidade financeira não se preocupam com fronteiras internas entre departamentos. Um pagamento lógico do ponto de vista financeiro pode ser juridicamente problemático. Um fornecedor essencial do ponto de vista operacional pode ser sensível a sanções. Um consultor local comercialmente útil pode introduzir um risco de corrupção. Um pedido de subvenção atrativo do ponto de vista político pode conter risco de fraude quando as prestações, os custos ou as declarações de sustentabilidade não são suficientemente verificáveis. Num ambiente semelhante, a sua organização não pode permitir-se qualquer cegueira fragmentada.
A economia de transição aumenta ainda o risco de a sua organização se absolver moralmente antes mesmo de começar o apuramento dos factos. É uma patologia diretiva perigosa. Projetos apresentados como contribuições para o clima, a segurança, a inovação ou as infraestruturas públicas adquirem por vezes internamente uma aura de necessidade, de modo que as perguntas críticas são percecionadas como incómodas, lentas ou insuficientemente estratégicas. A gestão integrada dos riscos de criminalidade financeira deve combater esse reflexo. A sua organização deve aceitar que a urgência não concede qualquer desconto em matéria de integridade. Pelo contrário: a urgência aumenta o risco de abuso, porque a velocidade enfraquece a documentação, concentra as decisões, aumenta a dependência e normaliza os desvios. Os processos mais problemáticos nascem frequentemente não porque ninguém conhecesse as regras, mas porque todos consideravam que esse processo era demasiado importante para ser travado pelas regras ordinárias. É o momento em que a inteligência diretiva desliza para a sobrestimação de si própria. A gestão integrada dos riscos de criminalidade financeira deve, portanto, garantir que os projetos de transição continuam sujeitos a perguntas duras sobre propriedade, financiamento, beneficiários, intermediários, determinação de preços, prestações, contraprestações, relações políticas, exposição a sanções, provas e escalada. Uma organização que utiliza a transição como desculpa para controlos fracos costuma descobrir mais tarde que as autoridades de supervisão, as autoridades de investigação, os bancos e os meios de comunicação ficam bastante menos impressionados com boas intenções do que com processos em falta.
Os efeitos sistémicos da transição sobre o risco, as condutas, a legitimidade e a confiança
A gestão integrada dos riscos de criminalidade financeira deve reconhecer que a transição não cria apenas novos riscos, mas também modifica condutas. Quando os mercados se deslocam, as subvenções passam a estar disponíveis, os fluxos de capital são redistribuídos, surge escassez e aumenta a pressão pública, os incentivos dentro da sua organização mudam. Os departamentos atuam com maior rapidez, as equipas comerciais pressionam com mais força, os dirigentes utilizam palavras maiores, os responsáveis de projeto solicitam exceções, e as funções de controlo recebem a conhecida censura de “não compreenderem o negócio”. Essa censura destina-se geralmente a produzir sedação diretiva. Naturalmente, a gestão integrada dos riscos de criminalidade financeira deve compreender a atividade. Mas deve compreender sobretudo quando a atividade já não quer compreender-se a si própria porque a recompensa da velocidade supera a valorização da prudência. O efeito sistémico da transição reside nesse deslocamento comportamental. O risco não é determinado apenas pela ameaça externa, mas também pelas racionalizações internas. “Toda a gente faz isto.” “O mercado move-se depressa.” “O Estado quer ritmo.” “O concorrente também está nisto.” “O parceiro é politicamente sensível.” “O financiamento tem de fechar.” “É temporário.” “Os documentos virão depois.” Não são frases neutras; são sinais de alarme. A gestão integrada dos riscos de criminalidade financeira deve tratá-las como indicadores precoces de erosão normativa.
Essa erosão normativa incide diretamente sobre a legitimidade. A sua organização talvez ainda consiga explicar juridicamente por que razão uma transação, uma colaboração ou uma estrutura de financiamento era formalmente admissível, mas isso não significa que continue defensável do ponto de vista da governação quando o contexto mais amplo se torna visível. A legitimidade é mais frágil do que a legalidade. Fica afetada quando os grupos de interesse percebem que a sua organização procurou as margens da norma, ignorou sinais críticos, geriu fundos públicos com excessiva leveza, avaliou riscos de sanções de forma cosmética ou utilizou a integridade principalmente como linguagem reputacional. A gestão integrada dos riscos de criminalidade financeira deve, portanto, ir além da pergunta jurídica mínima sobre se algo é estritamente proibido. Nos processos de criminalidade financeira, a pergunta costuma ser se a sua organização, tendo em conta a sua posição, os seus conhecimentos, os seus meios e a sua função social, deveria razoavelmente ter agido de outro modo. É a pergunta que dói aos administradores não executivos, torna os dirigentes defensivos e obriga as equipas jurídicas a formular com extrema prudência. A realidade sarcástica é que muitas organizações descobrem que a legitimidade era um ativo apenas depois de a terem dilapidado. Então fala-se subitamente de restaurar a confiança, como se a confiança fosse um defeito temporário reparável com uma declaração, uma investigação externa e algumas mudanças de pessoal. A gestão integrada dos riscos de criminalidade financeira deveria impedir que a sua organização chegasse tão tarde a essa tomada de consciência.
A confiança, neste domínio, não funciona como sentimento, mas como condição operacional. Os bancos devem estar dispostos a prestar serviços à sua organização. As autoridades de supervisão devem poder presumir que a informação é completa e fiável. As contrapartes devem poder confiar que uma colaboração não cria risco de contaminação. Os colaboradores devem acreditar que as comunicações internas são levadas a sério. Os investidores devem poder confiar em fluxos financeiros e numa governação geríveis. As instituições públicas devem poder demonstrar que fundos e poderes não foram desviados. Assim que surgem acusações, cada uma dessas relações de confiança é posta à prova. A gestão integrada dos riscos de criminalidade financeira deve, portanto, ser concebida para o stress sistémico, não para os momentos ordinários de reporting. Deve poder estabelecer que factos estão comprovados, que hipóteses continuam incertas, que documentos faltam, que pessoas têm interesses, que comunicações internas já foram realizadas, que transações devem ser congeladas, que informação deve ser fornecida às autoridades de supervisão, que posição de confidencialidade é juridicamente sustentável e que comunicação causa mais danos do que resolve. Nesse momento, a sua organização não precisa de calmantes diretivos, mas de precisão. O preço de um sistema fraco é que cada ator começa a tirar as suas próprias conclusões: os bancos reduzem exposição, as autoridades de supervisão escalam, os colaboradores revelam informação ou mantêm-se em silêncio, os meios de comunicação preenchem os vazios e as fações internas protegem-se. A gestão integrada dos riscos de criminalidade financeira é a disciplina que deve impedir que um processo se transforme em caos organizado com papel timbrado.
A direção da integridade em condições de confiança, turbulência e incerteza fundamental
A gestão integrada dos riscos de criminalidade financeira só é verdadeiramente posta à prova quando confiança, turbulência e incerteza fundamental se manifestam simultaneamente. É o momento em que a sua organização já não pode apoiar-se nas rotinas ordinárias de governação. Os factos estão incompletos, a pressão temporal é elevada, os interesses divergem, as partes externas exigem respostas, os atores internos tornam-se prudentes ou surpreendentemente disponíveis, e cada declaração pode reaparecer mais tarde como elemento de prova. Num ambiente semelhante, a direção da integridade não é um processo tranquilo de análise e decisão, mas uma luta contra o pânico, a vaidade, a negligência jurídica e a autoproteção diretiva. A gestão integrada dos riscos de criminalidade financeira deve então assegurar um apuramento controlado dos factos. Isso não significa que a sua organização deva expor-se ritualmente a cada exigência externa ou tornar tudo imediatamente público em nome da transparência. A transparência sem controlo factual não é virtude; é temeridade. Significa, pelo contrário, que a sua organização deve reprimir a tendência interna de minimizar o problema antes de o ter compreendido. O primeiro reflexo diretivo costuma ser o enquadramento: isolar o incidente, limitar o perímetro, suavizar a linguagem, deslocar a responsabilidade, estimar o dano com base na esperança e assegurar ao mundo exterior que o assunto é levado “muito a sério”. Essa é precisamente a fase em que muitas organizações criam os seus problemas futuros.
Em condições de turbulência, a sua organização deve distinguir entre defesa jurídica, investigação factual e decisão diretiva. Estas três linhas devem articular-se entre si, mas não devem dissolver-se numa única rotina de crise nebulosa. A defesa jurídica exige proteção de direitos, segredo profissional, posição processual, análise de responsabilidade e gestão estratégica das relações com as autoridades de supervisão ou investigação. A investigação factual exige preservação de documentos, seleção de dados, entrevistas, análise forense, controlo do âmbito, independência, fiabilidade e conclusões verificáveis. A decisão diretiva exige medidas, comunicação, continuidade, decisões relativas ao pessoal, intervenções de governação e restabelecimento do controlo. A gestão integrada dos riscos de criminalidade financeira reúne estas linhas sem as confundir. Quando a defesa jurídica domina por completo o apuramento dos factos, surge o risco de a organização querer saber sobretudo o que é defensável, não o que é verdadeiro. Quando a investigação se separa da estratégia jurídica, a posição probatória pode ser danificada desnecessariamente. Quando os dirigentes utilizam o processo para proteger reputação ou posição, o processo fica contaminado do ponto de vista da governação. A sua organização deve, portanto, determinar desde o início quem é responsável por quê, que informação é partilhada, que decisões são documentadas, que conflitos de interesses existem e em que momento determinados titulares de funções devem contar com o seu próprio aconselhamento jurídico. A ficção de que todos estão no mesmo barco costuma terminar assim que a responsabilidade recebe um nome.
A incerteza fundamental exige ainda um nível de humildade diretiva raro em muitas organizações. A sua organização deve conseguir dizer: isto sabe-se, isto é incerto, isto está a ser investigado, esta é a posição jurídica, estas são as medidas imediatas, e estes são os limites do que pode ser declarado de forma responsável. Parece simples, mas colide com quase tudo o que a comunicação de crise e o instinto diretivo costumam querer fazer. A tentação consiste em sugerir certeza onde ela não existe, exibir um controlo ainda em construção, reconhecer responsabilidade sem nomear as suas consequências, ou prometer cooperação sem compreender a posição informativa. A gestão integrada dos riscos de criminalidade financeira deve corrigir essa tentação. Deve proteger a sua organização contra o conforto das conclusões prematuras. Em processos de criminalidade financeira, falar demasiado cedo costuma ser tão arriscado como agir demasiado tarde. Um sistema sólido impõe, portanto, decisões por fases, revisão jurídica, disciplina forense, escalada diretiva e documentação coerente. Formula as perguntas incómodas antes que outros as formulem. Trata a informação em falta não como um detalhe incómodo, mas como um risco. Impede o anúncio de planos de remediação antes de a causa ter sido estabelecida. E mostra claramente que a confiança não se restabelece declarando que a integridade é uma prioridade, mas provando que a sua organização mente menos a si própria sob pressão do que antes.
Direção pública, coerência nacional e coordenação internacional num ambiente de ameaças interligadas
A gestão integrada dos riscos de criminalidade financeira não pode ser seriamente integrada na sua organização sem ter em conta a direção pública que molda de forma cada vez mais marcada os processos de criminalidade financeira. A ideia de que empresas, instituições e organismos públicos gerem os seus riscos de integridade principalmente de forma autónoma, dentro do seu próprio quadro de governação, é sedutora pela sua clareza, mas a estas alturas bastante ingénua. A criminalidade financeira é cada vez mais abordada como uma ameaça à segurança económica, à resiliência nacional, à autonomia estratégica, à aplicação de sanções, aos fundos públicos, à integridade dos mercados e à confiança institucional. O terreno de jogo muda, portanto. A sua organização já não enfrenta apenas normas internas, obrigações contratuais, expectativas setoriais e uma autoridade de supervisão ocasional que solicita periodicamente um processo. Opera num ambiente em que autoridades penais, reguladores administrativos, cadeias de inteligência financeira, autoridades competentes em matéria de sanções, entidades adjudicantes, reguladores estrangeiros, mecanismos de cooperação internacional e órgãos políticos reivindicam, cada um, uma parte da imagem do risco. Isso transforma inevitavelmente a gestão integrada dos riscos de criminalidade financeira numa disciplina que deve compreender o poder público, e não apenas o controlo privado. Quem trata a direção pública como ruído de fundo costuma descobrir demasiado tarde que o fundo já assumiu o papel principal. Um incidente interno converte-se então, de repente, em parte de uma abordagem setorial, de uma avaliação nacional de ameaças, de um debate internacional sobre sanções ou de uma narrativa política mais ampla sobre supervisão deficiente, utilização indevida de fundos públicos ou afetação da integridade económica.
Essa direção pública torna necessária a coerência nacional, mas também incómoda. A sua organização não pode limitar-se a assinalar obrigações legais separadas quando os riscos reais atravessam diretamente setores, níveis de governo e regimes de supervisão. Um risco de sanções pode começar com uma contraparte contratual estrangeira, afetar relações bancárias, ter consequências em matéria de controlo de exportações, suscitar perguntas perante as autoridades de autorização e, finalmente, provocar dano reputacional num debate político. Um risco de branqueamento de capitais pode apresentar-se como uma questão de aceitação de clientes e estar, ao mesmo tempo, ligado a imóveis, estruturas fiduciárias, fluxos comerciais internacionais, criptoativos, setores intensivos em numerário ou subvenções públicas. Um risco de corrupção pode nascer numa contratação pública, mas tornar-se visível através de comunicações internas, investigações jornalísticas, sinais fiscais ou assistência judiciária estrangeira. A gestão integrada dos riscos de criminalidade financeira deve, portanto, tornar operacional a coerência nacional dentro da sua própria organização. Isto significa que as funções jurídica, de conformidade, finanças, compras, segurança, auditoria, assuntos públicos, fiscalidade, recursos humanos e governação não podem gerir cada uma a sua pequena verdade como se a coordenação fosse um luxo. Também significa que a sua organização deve compreender que informação pode ser relevante para que autoridade, que obrigações de notificação podem surgir, que posições de confidencialidade são sustentáveis, que sobreposições de investigações podem ocorrer e que decisões de governação poderão ser posteriormente interpretadas como cooperação, obstrução, negligência ou remediação cosmética. Uma organização que, num contexto semelhante, continue a apoiar-se em notas departamentais separadas e na disciplina das reuniões merece quase admiração pelo seu otimismo, mas certamente não pela sua gestão do risco.
A coordenação internacional torna a questão ainda mais aguda, porque os riscos de criminalidade financeira raramente permanecem educadamente dentro das fronteiras nacionais. A sua organização pode dispor nos Países Baixos de um processo aparentemente gerível que noutra jurisdição seja lido como evasão a sanções, corrupção, risco de controlo de exportações, abuso de mercado, fraude ou incumprimento de obrigações de reporte. As autoridades estrangeiras podem aplicar padrões probatórios diferentes, formular pedidos de informação mais agressivos, demonstrar ambições extraterritoriais mais amplas ou utilizar a denúncia pública como instrumento de pressão. Os bancos e investidores, por sua vez, podem aplicar modelos globais de risco, de modo que uma questão local produza efeitos imediatos sobre financiamento, linhas de crédito, clearing, banca correspondente ou cobertura de seguros. A gestão integrada dos riscos de criminalidade financeira deve, portanto, garantir coerência internacional sem degenerar em políticas globais genéricas que voam tão alto acima da realidade que não aterram em lado nenhum. A sua organização precisa de coordenação concreta: que países, entidades, pessoas, fluxos de mercadorias, tecnologias e rotas de pagamento criam exposição aumentada; que listas de sanções, quadros de controlo de exportações e regimes anticorrupção são relevantes; que decisões internas podem produzir provas transfronteiriças; que comunicações com parceiros estrangeiros são juridicamente arriscadas; e que investigações externas podem reforçar-se ou contradizer-se entre si. A coordenação internacional não é a arte de colecionar pareceres jurídicos estrangeiros até que já ninguém se sinta responsável. É a disciplina de manter, num ambiente de enforcement fragmentado, um quadro factual defensável, uma estratégia processual controlada e uma linha de governação credível.
Governo da integridade nas estruturas económicas, nos fluxos financeiros e nas dependências da cadeia
A gestão integrada dos riscos de criminalidade financeira adquire o seu significado mais incisivo quando a sua organização deixa de tratar as estruturas económicas, os fluxos financeiros e as dependências da cadeia como realidades comerciais neutras, e passa a considerá-las possíveis vetores de risco de criminalidade financeira. A maioria dos problemas, com efeito, não se apresenta como crime. Apresenta-se como uma estrutura. Como uma rota de pagamento. Como uma cadeia comercial. Como um modelo de distribuição. Como um contrato de consultoria. Como uma sociedade de projeto. Como um parceiro local. Como um acordo de factoring. Como uma relação de clearing. Como um contrato de agência. Como uma comissão complicada mas supostamente conforme ao mercado. E, evidentemente, sempre acompanhada de uma explicação segundo a qual naquele setor as coisas funcionam simplesmente assim. A sua organização deve armar-se contra esse tipo de explicações com algo mais do que uma dúvida cortês. As estruturas económicas nunca são inocentes apenas porque existem; devem ser compreendidas, testadas e reavaliadas periodicamente. A gestão integrada dos riscos de criminalidade financeira deve poder estabelecer quem beneficia economicamente, quem é o proprietário formal, quem exerce o controlo efetivo, que valor é entregue, que pagamentos são realizados, por que razão são necessários intermediários, que jurisdições são utilizadas, que documentação falta e se a lógica económica continua a sustentar-se quando a pressa comercial é retirada do quadro. Este último ponto costuma ser esclarecedor. Muitas estruturas apresentadas em reunião como eficientes, flexíveis ou conformes aos usos locais revelam-se, sob exame forense, sobretudo excecionalmente práticas para evitar visibilidade.
Os fluxos financeiros merecem, no âmbito da gestão integrada dos riscos de criminalidade financeira, uma atenção muito mais severa do que o olhar administrativo tradicional, que verifica principalmente se os montantes batem certo, se as faturas existem e se as aprovações foram concedidas. Um pagamento não é fiável porque foi processado. Uma fatura não é credível porque tem um número. Uma aprovação não é tranquilizadora quando a pessoa que aprova depende ela própria do sucesso da transação. A sua organização deve analisar os fluxos financeiros em função da sua origem, destino, calendário, proporcionalidade, contraprestação, fundamento contratual, indicadores de risco e desvios face ao comportamento normal. Isto vale para riscos clássicos como corrupção, branqueamento de capitais, fraude e apropriação indevida, mas também para riscos mais modernos e interligados como a evasão a sanções através de rotas de pagamento alternativas, o abuso de criptoativos, o branqueamento baseado no comércio, a manipulação de declarações de sustentabilidade, as certificações falsas, a fraude em subvenções, a consultoria fictícia, os custos de projeto inflacionados ou os pagamentos posteriores a terceiros desconhecidos. A gestão integrada dos riscos de criminalidade financeira deve ser capaz de reconhecer padrões que, considerados isoladamente, podem parecer explicáveis, mas que, no seu conjunto, formam um processo cuja leitura posterior será particularmente desagradável. Os pagamentos fracionados. Os pedidos urgentes. Os contratos retroativos. As descrições vagas de serviços. O terceiro indicado na fatura mas não mencionado no acordo. A conta bancária numa jurisdição invulgar. O honorário exatamente suficientemente elevado para merecer perguntas e exatamente suficientemente baixo para não acordar ninguém. Não são curiosidades administrativas; são sinais de fracasso da governação quando ninguém os examina seriamente.
As dependências da cadeia figuram, neste aspeto, entre as vulnerabilidades mais subestimadas. A sua organização pode dispor formalmente de excelentes controlos internos e, ao mesmo tempo, estar plenamente exposta a riscos que nascem em fornecedores, subcontratantes, distribuidores, prestadores logísticos, consultores, franqueados, representantes locais, parceiros de joint venture ou parceiros de cooperação pública. A ideia confortável de que a responsabilidade termina onde acaba o controlo direto torna-se cada vez menos sustentável no plano jurídico, de governação e reputacional. A gestão integrada dos riscos de criminalidade financeira deve, portanto, abordar a cadeia não como uma questão de compras, mas como uma extensão da posição de integridade da sua organização. Isso significa que a due diligence não é uma porta de entrada pontual, mas uma obrigação contínua de acompanhamento, governo contratual, direitos de auditoria, escalada, rescisão e construção probatória. A sua organização deve saber que elos são críticos, onde nascem as dependências, que alternativas faltam, que partes parecem insubstituíveis, onde as relações políticas locais desempenham um papel, que certificados são fiáveis e onde a informação é fornecida de forma assimétrica por partes interessadas em que permaneça na ignorância. Dito sarcasticamente: é notável verificar quantas organizações sabem exatamente como funcionam as margens, os prazos de entrega e os níveis de serviço na cadeia, mas se tornam subitamente filosóficas quando se pergunta quem se esconde realmente por detrás de um subcontratante ou por que razão um consultor local recebe uma comissão de sucesso. A gestão integrada dos riscos de criminalidade financeira deveria pôr fim imediatamente a essa filosofia.
Controlo interno, enraizamento social e capacidade local de proteção
A gestão integrada dos riscos de criminalidade financeira depende inteiramente de um controlo interno que vá além de uma coleção cuidadosamente ordenada de documentos de política interna. A sua organização pode dispor de códigos de conduta, análises de risco, planos de controlo, relatórios de auditoria, módulos de formação, procedimentos de denúncia, procedimentos em matéria de sanções, políticas anticorrupção, regras de aceitação de clientes e protocolos de incidentes, e ainda assim estar apenas marginalmente controlada quando o funcionamento efetivo é fraco. O papel fez, em muitas organizações, uma carreira impressionante como substituto da realidade. O controlo interno deve, portanto, ser avaliado à luz dos comportamentos, da informação, da escalada, do processo decisório e das consequências. Os riscos são identificados a tempo? Os desvios são examinados? Os avisos são documentados? A pressão exercida pela direção torna-se visível? As funções de controlo podem bloquear decisões? As exceções comerciais são analisadas ex post? Os denunciantes são protegidos? As conclusões traduzem-se em ações concretas? Os administradores são confrontados com padrões incómodos, ou recebem sobretudo sínteses que respeitam o seu sono? A gestão integrada dos riscos de criminalidade financeira exige que a sua organização não utilize o controlo interno como teatro do controlo, mas como instrumento destinado a expor vulnerabilidades factuais. Uma auditoria que não deteta estruturalmente qualquer problema relevante num ambiente de alto risco pode, naturalmente, significar que tudo funciona perfeitamente. Também pode significar que a auditoria não olha com suficiente dureza. A segunda possibilidade merece atenção com mais frequência do que recebe.
O enraizamento social significa que a sua organização não pode definir os seus riscos de integridade apenas a partir do conforto da sua própria instituição. A criminalidade financeira afeta mercados, comunidades, fundos públicos, trabalhadores, consumidores, concorrentes, contribuintes, autoridades locais e setores vulneráveis. Uma empresa que facilita a corrupção prejudica não só a sua própria reputação, mas também a concorrência leal e a confiança pública. Uma instituição que controla mal os riscos de branqueamento de capitais torna-se parte de uma infraestrutura por onde circulam patrimónios criminosos. Um organismo público que deixa deteriorar a gestão financeira mina a credibilidade da aplicação das normas. Uma organização que trata com ligeireza os riscos de sanções pode contribuir para um dano geopolítico muito além do seu próprio interesse comercial. A gestão integrada dos riscos de criminalidade financeira deve, portanto, ter em conta os efeitos sociais, não como apêndice moral, mas como parte integrante da avaliação de riscos e da responsabilidade de governação. A sua organização não pode continuar a esconder-se atrás do raciocínio de que algo era contratualmente permitido quando o contexto social é manifestamente problemático. Este tipo de minimalismo jurídico pode parecer inteligente numa reunião, mas envelhece mal assim que o processo se torna público. A pergunta não é apenas se a sua organização estava formalmente autorizada a agir, mas se deveria razoavelmente ter compreendido que dano a sua conduta podia causar ou facilitar.
A capacidade local de proteção é uma dimensão frequentemente esquecida da gestão integrada dos riscos de criminalidade financeira. A criminalidade financeira não se manifesta apenas em transações internacionais e grandes estruturas societárias, mas também em contratações locais, projetos imobiliários, fundos de saúde, subvenções, licenças, cooperações municipais, fundos regionais de desenvolvimento, fundações, financiamento do desporto e da cultura, atividades portuárias, nós logísticos e cadeias imobiliárias. A sua organização pode dispor de políticas nacionais e contratar aconselhamento internacional, e continuar vulnerável localmente porque aí os sinais não são reconhecidos, falta capacidade, as dependências são demasiado estreitas ou a proximidade administrativa mina a distância crítica. A gestão integrada dos riscos de criminalidade financeira deve, portanto, organizar a capacidade local de proteção: formação, canais de denúncia, escalada para perícia central, apoio forense, poderes claros, proteção contra pressões, padrões contratuais e avaliação jurídica acessível. Isto vale em particular para organismos públicos e instituições financiadas com fundos públicos, onde o entrelaçamento local pode ser simultaneamente útil e arriscado. O vereador conhece o empresário, o chefe de projeto conhece o fornecedor, a fundação conhece o consultor de subvenções, o supervisor conhece o setor, e todos conhecem sobretudo as vantagens de não se interrogarem mutuamente com demasiada dureza. É humano. É também precisamente por essa razão que a gestão integrada dos riscos de criminalidade financeira é necessária. O governo da integridade sem acuidade local é uma fantasia de sede central.
Risco, continuidade e resiliência como tarefa de governação integrada
A gestão integrada dos riscos de criminalidade financeira deve tratar risco, continuidade e resiliência como uma única tarefa de governação integrada, e não como três processos separados que se encontram por acaso na mesma mesa de reunião. Os riscos de criminalidade financeira podem incidir diretamente na continuidade da sua organização. As relações bancárias podem ser limitadas ou resolvidas, as licenças podem ser submetidas a pressão, as transações podem ser congeladas, as partes contratuais podem distanciar-se, os administradores podem demitir-se, as seguradoras podem impugnar a cobertura, os financiadores podem invocar covenants, os reguladores podem impor medidas de remediation e os trabalhadores podem perder confiança. Neste cenário, serve de pouco que a sua organização possa apontar para um registo de riscos em que o risco correspondente estava cuidadosamente consignado a amarelo com um titular. A continuidade exige que a gestão integrada dos riscos de criminalidade financeira seja traduzida em processos resistentes à crise: quem toma decisões, quem gere os factos, quem comunica com as autoridades, quem protege o privilégio jurídico, quem mantém os contactos bancários, quem decide a suspensão de transações, quem dirige investigações internas, quem informa os administradores não executivos, quem protege os denunciantes, quem avalia as medidas de direito laboral e quem impede que dirigentes em pânico digam mais do que sabem. Um sistema de gestão de riscos que parece elegante em tempos normais, mas que sob pressão passa imediatamente a depender da improvisação, não é um sistema. É um objeto de cena.
A resiliência exige depois que a sua organização olhe para além da limitação dos danos num único processo. A gestão integrada dos riscos de criminalidade financeira deve aprender com os incidentes, mas aprender verdadeiramente, não representar o teatro institucional em que se formulam recomendações, se nomeiam responsáveis por ações, se supervisionam prazos e ninguém coloca a pergunta mais profunda sobre por que razão o sistema não viu o problema antes. Resiliência significa que a sua organização é capaz de reconhecer padrões: exceções recorrentes, pontos de pressão comercial, processos nacionais fracos, controlos ineficazes, override da direção, má qualidade dos dados, responsabilidades fragmentadas, problemas culturais, medo da escalada, dependência de poucas pessoas-chave ou um conselho de direção que quer sobretudo ser surpreendido por boas notícias. A gestão integrada dos riscos de criminalidade financeira deve converter esses padrões em correções estruturais. Isso pode significar sair de mercados, pôr fim a relações, adaptar produtos, restringir poderes, rever modelos de bónus, reforçar controlos, substituir dirigentes ou reorganizar linhas de supervisão. É tentador apresentar a resiliência como capacidade de recuperação, mas neste domínio a resiliência é antes de tudo a capacidade de suportar consequências desagradáveis. Quem, depois de um incidente, se limita a reforçar processos deixando intactos os incentivos que provocaram o incidente, escolhe a repetição com melhor documentação.
A tarefa de governação integrada exige, por fim, que a sua organização formule honestamente o seu apetite pelo risco. Muitas organizações fingem ter baixa tolerância perante a criminalidade financeira. Soa bem e não custa nada. A verdadeira pergunta é o que significa essa baixa tolerância quando um cliente rentável fornece informações incompletas, um parceiro estratégico é politicamente sensível, um sinal de sanções atrasa uma entrega, uma denúncia interna afeta um alto dirigente, uma contratação pública contém contactos duvidosos ou um intermediário estrangeiro explica que “sem facilitation nada se mexe”. A gestão integrada dos riscos de criminalidade financeira deve tornar operacional o apetite pelo risco traduzindo-o em limites rígidos e regras decisórias. Que riscos são inaceitáveis independentemente do valor comercial? Que circunstâncias exigem aprovação do conselho? Que sinais implicam suspensão imediata? Que informação mínima deve estar disponível? Que relações são resolvidas em caso de recusa de transparência? Que titulares de funções internas não podem autorizar exceções por razão de conflitos de interesses? Sem regras deste tipo, o apetite pelo risco transforma-se numa figura retórica. E as figuras retóricas defendem-se mal num processo de investigação. A sua organização deve compreender que a continuidade não se protege rebatizando amavelmente os riscos, mas dizendo não a tempo a relações, transações e condutas que posteriormente podem minar a própria razão de ser da organização. A organização mais resiliente não é a que anuncia um programa de remediation depois de cada escândalo, mas a que possui disciplina suficiente para tornar o escândalo menos provável.
Entidades críticas, obrigações de resiliência e desenvolvimento ulterior do governo da integridade
A gestão integrada dos riscos de criminalidade financeira adquire peso adicional quando a sua organização é qualificada como entidade crítica, trabalha para entidades críticas, depende delas ou está ligada a elas. Em setores como serviços financeiros, energia, transportes, saúde, infraestrutura digital, água potável, administração pública, atividades ligadas à defesa, portos, telecomunicações, abastecimento alimentar e outros domínios vitais, a criminalidade financeira não é simplesmente um problema interno de integridade. Pode incidir na continuidade social, na segurança nacional, na ordem pública, nas dependências estratégicas e na confiança nos serviços essenciais. Isso significa que a sua organização não pode permitir-se o luxo de abordar a gestão integrada dos riscos de criminalidade financeira como uma questão reputacional principalmente incómoda para a comunicação e as relações com investidores. A fasquia é mais alta porque o dano é maior. A corrupção numa cadeia crítica pode afetar a segurança do abastecimento. A evasão a sanções através de um fornecedor vital pode ter consequências geopolíticas. Os riscos de branqueamento na infraestrutura financeira podem reforçar redes criminosas. A fraude relativa a fundos públicos de saúde ou infraestrutura pode danificar a legitimidade dos serviços essenciais. Uma entidade crítica que trata o governo da integridade como um ciclo anual de conformidade mostra sobretudo que compreende melhor a palavra “crítico” como adjetivo do que como responsabilidade.
As obrigações de resiliência obrigam a sua organização a conectar a gestão integrada dos riscos de criminalidade financeira com a resiliência operacional, a segurança da informação, o planeamento da continuidade, a gestão de fornecedores, a resposta a crises, a responsabilidade dos órgãos de direção e a supervisão. Não se trata de uma ampliação burocrática, mas do reconhecimento necessário de que os riscos de criminalidade financeira entram frequentemente através de dependências. Um incidente cibernético pode facilitar fraude em pagamentos. Um fornecedor com estruturas de propriedade ocultas pode introduzir risco de sanções. Um subcontratante pode utilizar a corrupção para aceder a projetos críticos. Uma fuga de dados pode incidir numa investigação, na posição probatória ou nas obrigações de notificação. Um terceiro vulnerável pode tornar-se o elo fraco de uma cadeia vendida aos órgãos de governação como “estrategicamente robusta”. A gestão integrada dos riscos de criminalidade financeira deve, portanto, falar a linguagem da resiliência sem perder a sua precisão jurídica. A sua organização deve saber que processos são críticos, que fluxos financeiros são essenciais, que terceiros são indispensáveis, que dados são necessários para a deteção, que autoridades devem ser informadas, que cenários foram ensaiados e que decisões podem ser adotadas em situação de crise sem que todos olhem primeiro para as mesmas cinco pessoas. Um programa de resiliência sem componente de criminalidade financeira é cego ao abuso. Um programa de gestão integrada dos riscos de criminalidade financeira sem componente de resiliência é cego à perturbação. Estas duas formas de cegueira combinam-se de forma surpreendentemente eficaz, mas apenas em organizações que gostam de explicar depois dos factos por que razão ninguém tinha visto o conjunto.
O desenvolvimento ulterior do governo da integridade exige, por último, uma cultura de governação menos dócil e claramente mais afiada. A sua organização não deve desenvolver ainda mais a gestão integrada dos riscos de criminalidade financeira simplesmente criando mais políticas, mais formação, mais painéis de controlo e mais fóruns de governação. Normalmente já há suficiente de tudo isso para afogar depois dos factos cada decisão fraca em papel. O desenvolvimento ulterior significa que o governo da integridade se torna mais inteligente, mais independente, mais forense e mais estratégico. A análise de dados deve ser utilizada para detetar desvios, não para produzir falsa certeza. A inteligência artificial e a automatização podem apoiar o processo, mas não devem converter-se numa nova desculpa para a incompreensão quando o sistema deixa passar algo. As investigações internas devem ser concebidas profissionalmente, não executadas como uma busca dirigida pela gestão por uma conclusão digerível. A supervisão deve formular perguntas de seguimento sobre processos concretos, não assentir satisfeita perante modelos que parecem maduros. Os administradores devem compreender que a gestão integrada dos riscos de criminalidade financeira não obstrui a sua liberdade de ação, mas protege-os contra as consequências de uma liberdade mal informada. A próxima fase do governo da integridade não é, portanto, mais amável, mais suave nem mais cosmética. É mais dura, mais orientada para a prova e menos impressionada pelas imagens institucionais que as organizações têm de si próprias. A sua organização deve aprender que a integridade não é uma declaração formulada quando as coisas correm mal, mas uma disciplina operacional que deve ser visível antes de as coisas correrem mal. Quem não o compreender receberá finalmente, de qualquer modo, uma formação. Normalmente de uma autoridade de supervisão, de um procurador, de um jornalista de investigação, de um banco que se vai embora, ou de um e-mail interno que alguém se esqueceu de apagar.
