Login
Ajuda
Seja verificadoMelhores práticas para programa de conformidade de Prevenção à Lavagem de Dinheiro
Os programas de conformidade de Prevenção à Lavagem de Dinheiro (PLD) deixaram de ser estruturas estáticas mantidas apenas para cumprir requisitos regulatórios. Os riscos de lavagem de dinheiro e financiamento do terrorismo (LD/FT) tornaram-se cada vez mais complexos devido a:
- Pagamentos em fluxo rápido
- Onboarding digital de clientes
- Produtos e serviços complexos
- Operações em múltiplas geografias
Um programa operacional de PLD baseado em risco garante que os riscos em evolução sejam identificados e gerenciados de forma eficaz por meio de controles preventivos e detectivos. Sem adaptação, os programas de PLD correm o risco de se tornar checklists de conformidade que atendem aos requisitos de documentação, mas falham em controlar de forma eficaz a LD/FT na prática.
Este artigo analisa as melhores práticas para projetar e operar um programa de conformidade de prevenção à lavagem de dinheiro eficaz. Ele descreve as melhores práticas de PLD em governança, avaliação de riscos, due diligence de clientes, triagem de sanções, monitoramento de transações, investigações e treinamento, sob uma perspectiva operacional e baseada em risco.
Resumo das principais melhores práticas para o programa de conformidade de prevenção à lavagem de dinheiro
| Melhores práticas | Descrição |
|---|---|
| Estabelecer uma governança de PLD sólida. | Definir a matriz de responsabilidade, supervisão e escalonamento. Papéis claros e expectativas de conformidade devem ser estabelecidos em cada nível de equipe, e sua eficácia deve ser revisada continuamente. |
| Realizar uma avaliação de risco de PLD abrangente em toda a organização (EWRA). | Usar os resultados de EWRA para projetar controles de PLD proporcionais e alocar recursos com base na real exposição ao risco da organização. |
| Aplicar due diligence contínua e baseada em risco do cliente (CDD) com gatilhos de Know Your Customer (KYC) perpétuo. | Alinhar o onboarding e as revisões periódicas aos perfis de risco dos clientes. Iniciar revisões acionadas por eventos quando os perfis de risco mudarem. A frequência e a profundidade da due diligence devem ser proporcionais ao perfil de risco de LD/FT do cliente. |
| Implementar controles de triagem preventivos e contínuos com estruturas definidas de escalonamento e tomada de decisão. | Usar triagens de sanções, PPE e mídias negativas no onboarding e de forma contínua como controles preventivos. Apoiar com uma estrutura bem definida de escalonamento, aprovação e tomada de decisão. |
| Realizar monitoramento de transações calibrado | Projetar cenários de monitoramento alinhados ao risco da organização e às tipologias. Ajustar continuamente para equilibrar detecção e capacidade operacional. |
| Conduzir investigações estruturadas e garantir reportes regulatórios precisos e tempestivos. | Garantir investigação oportuna e detalhada dos alertas de PLD, com justificativa de decisão documentada e escalonamento claro. Os envios de relatórios SAR/STR devem ser completos, precisos e apresentados prontamente para atender às expectativas regulatórias. |
| Fortalecer e validar a eficácia do programa de PLD por meio de treinamento, QA, testes e auditorias. | Fortalecer os controles de PLD por meio de conscientização de PLD em toda a organização e treinamento baseado em função, garantia de qualidade e testes regulares de controles. Validar a eficácia por meio de revisões independentes e auditorias. |
-
Get a comprehensive view of your users and comply with AML/CTF requirements
-
Screen against thousands of sanctions and watchlists including OFAC, UN, HMT, EU, DFAT
-
Scan a database of 8+ million adverse media profiles with negative media attention
Estabelecer uma governança sólida de prevenção à lavagem de dinheiro
Definir propriedade, responsabilidade e uma matriz de escalonamento independente de dependências operacionais. Constatações regulatórias frequentemente destacam propriedade fraca, responsabilidade pouco clara e supervisão gerencial insuficiente. Elas são sintomáticas de falhas mais amplas de controle de PLD, e não apenas da ausência de políticas e sistemas.
A governança forma a base de um programa de conformidade de PLD eficaz. Ela conecta estratégia, decisões de risco e execução do dia a dia. A figura abaixo destaca como a governança fica no centro do programa e conecta os principais componentes.
Principais componentes de um programa de conformidade de prevenção à lavagem de dinheiro
Conselho de administração e alta gestão
A responsabilidade de definir o apetite de risco da organização, identificar e avaliar os riscos de PLD e supervisionar a governança do programa recai, em última instância, sobre o conselho de administração e a alta gestão.
O conselho deve fornecer supervisão ativa, demonstrar compromisso claro e estabelecer o tom a partir do topo. Ele deve:
- Desafiar os controles à luz de riscos emergentes
- Aprovar políticas de PLD
- Revisar relatórios periódicos de PLD
- Garantir que recursos adequados (pessoas, sistemas e fundos) sejam alocados para manter um programa eficaz.
A alta gestão traduz o apetite de risco definido pelo conselho em políticas, procedimentos e controles acionáveis e os implementa de forma consistente em toda a organização.
O responsável por prevenção à lavagem de dinheiro ou conformidade
O responsável por PLD ou Conformidade é encarregado de projetar e manter o programa de PLD, assessorar as áreas de negócios sobre riscos de crimes financeiros, supervisionar a implementação de controles e escalar questões quando os controles forem ineficazes ou os riscos excederem o apetite da organização.
Outros papéis e responsabilidades-chave
Normalmente, a maioria das organizações utiliza o modelo das três linhas de defesa. O estabelecimento claro de responsabilidades ao longo dessas linhas evita lacunas, duplicação de trabalho e conflitos de interesse.
| Linha de defesa | Proprietário | Principais responsabilidades |
|---|---|---|
| Primeira Linha de Defesa (FLOD) | Equipes de negócios e operações |
|
| Segunda Linha de Defesa (SLOD) | Equipes de conformidade e risco |
|
| Terceira Linha de Defesa (TLOD) | Equipe de auditoria interna |
|
A independência da função de PLD é fundamental. Ela deve ser capaz de desafiar decisões de negócios, escalar preocupações e manter independência em seu julgamento, ao mesmo tempo em que permanece operacionalmente dependente do negócio para dados precisos e implementação eficaz de controles. A função de PLD também deve ter autoridade suficiente, acesso irrestrito a informações relevantes e canais de reporte direto à alta gestão e ao Conselho para cumprir suas responsabilidades de forma eficaz.
As políticas de PLD devem ter proprietários definidos, autoridades de aprovação, ciclos de revisão e controles de versão. As organizações devem avaliar novas expectativas legais ou regulatórias e incorporá-las em suas políticas por meio de um processo eficaz de gestão de mudanças.
Realizar uma avaliação de risco de prevenção à lavagem de dinheiro abrangente em toda a organização (EWRA)
EWRA ajuda as organizações a projetarem um programa de conformidade de PLD baseado em risco, avaliando os riscos de LD/FT inerentes ao seu negócio, avaliando se os controles existentes são adequados para mitigar esses riscos e determinando a exposição ao risco residual.
Os resultados de EWRA devem ser documentados, reportados à alta gestão e ao conselho e usados para tomar decisões de apetite de risco, aprimorar controles e orientar a alocação de recursos.
Dimensões centrais de risco
EWRA avalia os riscos de LD/FT inerentes com base em quatro dimensões centrais de risco: cliente, geografia, produto e serviço e canal de entrega. Cada dimensão de risco inclui várias considerações de risco, cada uma apresentando diferentes desafios de controle.
Principais dimensões de risco de LD/FT sob EWRA
- Risco de cliente considera o perfil do cliente, a atividade de negócios, o comportamento de transação esperado e vulnerabilidades ao uso indevido.
- Risco geográfico avalia a exposição a jurisdições de maior risco, incluindo aquelas sujeitas a sanções e que possuam controles de PLD mais fracos.
- Risco de produto e serviço examina como ofertas como pagamentos de alta velocidade, transações transfronteiriças e serviços com uso intensivo de dinheiro podem ser usados para fins ilícitos.
- Risco de canal foca em como os clientes acessam os serviços, como onboarding não presencial, intermediários ou modelos digitais.
Aplicabilidade de EWRA
Os resultados de EWRA devem orientar o desenho e a calibração de controles operacionais. Ela determina a profundidade da due diligence, a intensidade da triagem, os limites de monitoramento, a exposição a sanções, os critérios de escalonamento, os cenários de monitoramento de transações e as áreas prioritárias de investigação.
Reavaliação de EWRA
Reavaliações de EWRA devem ser desencadeadas quando ocorrerem mudanças materiais, como o lançamento de novos produtos, entrada em novos mercados, introdução de novos canais de entrega, mudanças no comportamento do cliente ou mudanças nas expectativas regulatórias.
As organizações devem incorporar a exposição ao risco de fraude de identidade e de documentos nas avaliações de cliente e de canal, especialmente em casos de onboarding remoto. Soluções mais robustas de verificação e garantia de identidade podem melhorar a qualidade dos dados e garantir uma segmentação de risco e um desenho de controles mais precisos.
Aplicar CDD contínua e baseada em risco com gatilhos de KYC perpétuo
KYC não deve ser tratada como um requisito de onboarding único. As organizações devem ir além da verificação de identidade única e implementar due diligence contínua de clientes, apoiada por perfis de risco de clientes atualizados regularmente, com due diligence simplificada, padrão ou aprimorada aplicada com base no perfil de risco do cliente.
| Nível de due diligence | Nível de risco | Principais características |
|---|---|---|
| Due Diligence Simplificada (SDD) | Baixo |
|
| Due Diligence Padrão (CDD) | Médio |
|
| Due Diligence Aprimorada (EDD) | Alto |
|
Revisões contínuas de due diligence
As revisões de due diligence de clientes (CDD) devem ser feitas regularmente, com base no perfil do cliente, em como ele usa produtos e serviços, onde opera e em como seu comportamento muda ao longo do tempo. Para clientes corporativos, a due diligence deve ir além da identificação de estruturas de propriedade superficiais para identificar e verificar os beneficiários finais (UBOs) e continuar aprofundando até que os indivíduos que, em última instância, controlam e possuem a entidade sejam identificados.
Gatilhos de due diligence acionados por eventos
Além da abordagem tradicional de “revisões periódicas” programadas ou baseadas em calendário, as organizações agora também adotam “revisões acionadas por eventos” para reavaliar o risco quando há mudanças significativas no perfil do cliente, nos padrões de transação, em atividade incomum ou em novas informações adversas (ouça o podcast “Perpetual KYC”).
KYC perpétuo e atualizações de risco em tempo real
A automação de KYC perpétuo aprimora a ODD ao detectar mudanças de risco quase em tempo real, ajudando as organizações a atualizar instantaneamente os limites de monitoramento de transações, a frequência de revisão, os requisitos de escalonamento e a decidir sobre os relacionamentos com clientes, mantendo o julgamento do analista essencial em casos de alto risco ou complexos.
Integrações robustas de capacidades de verificação e garantia de identidade reforçam ainda mais o onboarding e as revisões contínuas baseados em risco, melhorando a qualidade dos dados, fortalecendo o perfilamento de risco do cliente e fornecendo evidências prontas para auditoria com impacto mínimo na experiência do cliente.
Implementar controles de triagem preventivos com tomada de decisão clara
Controles detectivos, como o monitoramento de transações, identificam atividade suspeita apenas depois que ela ocorre. Em contraste, as triagens de sanções, pessoas politicamente expostas (PPE) e mídias negativas são controles preventivos projetados para impedir relacionamentos e transações proibidos ou de alto risco antes que ocorram.
A triagem de sanções impede que se faça negócios com indivíduos, entidades ou jurisdições sujeitos a regimes de sanções aplicáveis. No entanto, ela também deve apoiar medidas preventivas de interdição e bloqueio, quando exigido, para evitar que transações proibidas sejam executadas. A triagem de PPE identifica clientes que ocupam funções públicas de destaque ou seus associados próximos, que podem apresentar risco elevado de corrupção ou suborno. A triagem de mídias negativas fornece informações públicas negativas que podem indicar envolvimento em crimes financeiros ou outra conduta grave.
Uma estrutura de escalonamento e tomada de decisão bem definida é essencial para uma triagem eficaz. Os alertas devem seguir uma revisão estruturada em múltiplos níveis (L1, L2+), com critérios claramente definidos para distinguir acertos verdadeiros de falsos positivos, garantindo resultados consistentes, defensáveis e bem documentados.
A gestão e o ajuste contínuos de listas são críticos, pois critérios de correspondência muito amplos aumentam falsos positivos e critérios muito estreitos aumentam o risco de perder correspondências verdadeiras. Uma solução de triagem de sanções bem ajustada fornece suporte de triagem perpétua por meio de verificações baseadas em API. Identificadores de clientes de alta qualidade melhoram a precisão das correspondências e reduzem alertas falsos.
Programas de triagem eficazes devem ser aplicados no onboarding e de forma contínua para garantir que quaisquer mudanças no status de sanções, designação de PPE ou mídias negativas sejam prontamente identificadas e que ações sejam tomadas. Quando implementada de forma eficaz, a triagem torna-se um gerador de valor ao reduzir falsos positivos, minimizar custos de revisão manual e permitir decisões mais rápidas. A fricção reduzida acaba melhorando também a experiência do cliente.
Realizar monitoramento de transações calibrado
O Monitoramento de Transações (TM) atua como um controle detectivo, identificando padrões incomuns e anomalias de comportamento na atividade da conta do cliente ao longo do tempo. Ele fornece uma visão holística da pegada transacional dos clientes e sinaliza padrões suspeitos que demonstram risco de crime financeiro.
Ele monitora a atividade de contas e gera alertas com base em tipologias observadas, como movimentação rápida de fundos, fracionamento ou smurfing, transações de terceiros/atividade de mulas, atividade incomum e elevada em dinheiro e lavagem de dinheiro baseada em comércio.
Programas de TM eficazes devem estar estreitamente alinhados à avaliação de risco da organização e ser apoiados por cenários, regras e tipologias bem definidos. Um conjunto genérico de regras não adaptado à real exposição ao risco da organização frequentemente gera alertas excessivos (fadiga de alertas) e falha em detectar tipologias relevantes.
Os limites de transação devem ser calibrados para equilibrar a eficácia da detecção e a capacidade operacional. Isso pode ser alcançado por meio de análise contínua de dados, testes de cenários e análise de desempenho.
Os limites de monitoramento e a sensibilidade dos cenários devem ser calibrados com base no risco do cliente e do produto, com maior escrutínio aplicado a exposições de maior risco e parâmetros proporcionais aplicados a segmentos de menor risco. A ausência dessas práticas é uma constatação regulatória comum em programas de monitoramento de transações.
Conduzir investigações estruturadas e garantir reportes regulatórios precisos e tempestivos
Quando o monitoramento de transações ou a triagem de sanções identifica um padrão suspeito ou uma potencial correspondência, o ciclo de vida da investigação geralmente segue um caminho definido.
Ciclo de vida da investigação
Cada etapa deve seguir um processo documentado, limites de escalonamento, responsabilidade, qualidade e controles de documentação para garantir consistência entre analistas e unidades de negócios. Isso ajuda a evitar encerramentos prematuros e escalonamentos indevidos.
As organizações geralmente adotam um modelo de investigação em camadas, em que o Nível 1 (L1) realiza a análise inicial e encerra falsos positivos, e o Nível 2 ou superior (L2+) conduz investigações aprimoradas de casos complexos ou de alto risco. Investigações de alta qualidade exigem rigor analítico, avaliando se a atividade da conta é consistente com o perfil declarado do cliente e com o comportamento esperado. Elas devem ser apoiadas por documentação clara da justificativa da decisão. Investigações mal documentadas também são um motivo de constatações regulatórias adversas.
Quando uma atividade suspeita é identificada, as organizações devem enviar relatórios regulatórios, como Relatórios de Atividade Suspeita (SARs) ou Relatórios de Transação Suspeita (STRs), de forma oportuna, precisa e suficientemente detalhada. As decisões de envio de SAR/STR devem ser revisadas e aprovadas pelo Money Laundering Reporting Officer (MLRO) ou pela autoridade de conformidade designada.
A narrativa do SAR/STR deve articular claramente quem, o quê, quando, onde e por que da atividade suspeita, juntamente com evidências e análises relevantes de suporte. As organizações devem reter esses registros de acordo com os requisitos regulatórios de retenção de registros. Documentação precária, narrativa fraca, justificativa de decisão pouco clara e prazos perdidos são constatações regulatórias comuns em inspeções.
Fortalecer e validar a eficácia do programa de PLD
Os reguladores não avaliam apenas se os controles de prevenção à lavagem de dinheiro existem, mas também se eles operam de forma eficaz e são continuamente aprimorados. As organizações devem implementar conscientização de PLD em toda a empresa e treinamento baseado em função para que os funcionários entendam os riscos de crimes financeiros da organização, reconheçam atividade suspeita e escalem preocupações adequadamente ao MLRO. Treinamentos de atualização sobre mudanças regulatórias ou constatações internas de QA/auditoria também são essenciais.
A Garantia de Qualidade (QA) cria uma estrutura de feedback crítica por meio de amostragem estruturada de revisões de alertas, investigações e reportes regulatórios. Ela avalia se as decisões são consistentes, devidamente documentadas e alinhadas aos padrões internos.
Testes de controles e auditorias internas/independentes fortalecem ainda mais a eficácia do programa de conformidade de prevenção à lavagem de dinheiro. Eles validam se os controles de PLD são desenhados de forma apropriada e operam conforme o esperado. Isso pode incluir:
- Teste de cenários dos sistemas de TM
- Validação das regras de triagem
- Revisão das metodologias de classificação de risco de clientes
- Avaliação dos controles de governança
- Revisão independente do tratamento de casos, incluindo encerramentos e escalonamentos.
Constatações regulatórias comuns nessas áreas são treinamento insuficiente baseado em função, metodologias fracas de QA, testes de controle insuficientes, remediação atrasada de constatações de QA e auditoria e falta de desafios independentes.
Conclusão
Um programa de conformidade de prevenção à lavagem de dinheiro (PLD) eficaz não pode ser um modelo genérico. Ele deve ser adaptado ao perfil de risco específico da organização, à base de clientes, aos produtos e ao modelo operacional. Alcançar isso exige equilibrar expectativas regulatórias, capacitação tecnológica e julgamento humano, enquanto se reavalia continuamente o risco, se adotam controles e se investe em pessoas e tecnologia.
Plataformas modernas de verificação de identidade ajudam as organizações a fortalecer a verificação e a garantia de identidade e a oferecer uma experiência do cliente fluida dentro desse framework. As organizações que buscam aprimorar seus programas de PLD podem usar essas melhores práticas como uma base estruturada para melhoria contínua.
Inscreva-se para obter insights
