O primeiro artigo da série abordou alguns aspectos técnicos da Circular 3.978/20, do Banco Central, que entrou em vigor em 1º de outubro. Ela estipula as novas regras sobre Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD-FT) que devem ser adotadas pelas instituições reguladas pelo órgão. Essas mudanças foram tema do 2º Congresso dos Profissionais de Prevenção à Lavagem de Dinheiro. No evento online, Gerson Romantini, Chefe de Subunidade do Departamento de Supervisão de Conduta do Bacen, detalhou o processo que levou ao atual conjunto de normas e esclareceu pontos importantes que envolvem o universo dos Agentes Obrigados a se enquadrar nas novas regras. A metodologia de supervisão adotada pelo Banco Central em PDL-FT divide as 1.532 instituições reguladas em dois grupos distintos. O primeiro, composto por apenas 26 delas, é formado, entre outros, pelos seis maiores bancos privados do país, todos os oito bancos públicos, seis bancos de câmbio e as cinco bandeiras de cartão de crédito mais usadas em território nacional. Todas essas instituições são supervisionadas pela metodologia chamada Acompanhamento Contínuo de Conduta (ACC), que é caracterizada pela ação intrusiva, onde é possível alocar mais recursos humanos na realização de um trabalho mais aprofundado e contínuo – algo como um inspetor de PLD-FT para cada uma ou duas delas. O segundo grupo, onde estão as 1.506 instituições restantes, conta com as cooperativas de crédito, administradoras de consórcios e corretoras de câmbio, entre outras. Todas são monitoradas por Supervisão Remota, metodologia onde um inspetor do Bacen promove uma avaliação mensal online em cada uma delas. Adoção da política de PLD-FT A política da Circular 3.978/20 não traz procedimentos específicos que devem ser realizados pelas instituições reguladas pelo Bacen, mas diretrizes mínimas para que cada uma delas elabore esses procedimentos. Tudo deve ser documentado e aprovado pelo conselho de administração e, após sua validação, atualizado periodicamente. A nova norma exige uma governança adequada e capaz de assegurar o cumprimento da política e dos procedimentos de PLD-FT. Para tanto, determina a indicação formal de um diretor responsável pela execução das obrigações previstas. Sua metodologia de trabalho deve adotar o conceito de três linhas de defesa amplamente utilizado no universo de finanças. A primeira linha de defesa consiste na adequação da gestão do risco a qual a instituição está submetida, por meio de processos de trabalho. Também faz parte dela a gestão do processo, que é de responsabilidade do diretor de PLD-FT e sua equipe, que devem ser questionados sobre a existência de indicadores, dados e painéis que garantam um procedimento adequado. A segunda linha de defesa é composta por duas atividades que integram a governança da instituição como um todo: o compliance, ou diretoria de conformidade, que é regulada pela Resolução 4.595, e a diretoria de controles internos, regulada pela Resolução 2.554. Apesar de nenhuma das duas executar os processos de trabalho de PLD-FT, ambas devem assumir o papel de revisá-los. Por fim, a terceira linha de defesa é papel da auditoria interna, que deve auditar todos os processos de trabalho de PLD-FT, bem como os processos da área de compliance e controles internas. Ele precisa ter independência e segregação de função para fazer adequadamente o seu papel. Não é permitido que ela execute os controles de PLD-FT. Além disso, é dever de cada instituição regulada estabelecer mecanismos de acompanhamento e de controle que garantam a implementação dos controles internos de prevenção à lavagem de dinheiro e financiamento ao terrorismo. Avaliação Interna de Risco As novas normas exigem que o risco de utilização de produtos e serviços da instituição regulada sejam identificados e mensurados por uma Avaliação Interna de Risco (AIR). Para chegar a esse diagnóstico, devem ser consideradas quatro dimensões distintas de perfil de riscos: dos clientes, da instituição, das operações e dos funcionários, parceiros e prestadores de serviços terceirizados. Uma instituição financeira não funciona sem riscos. Ela vive de gerenciá-los, mas não os elimina. Dentro desse conceito, é preciso definir categorias de risco que possibilitem a adoção de procedimentos e controles reforçados para situações onde exista maior ou menor risco – tudo documentado e aprovado pelo diretor de PLD-FT. E revisado a cada dois anos. Cabe também às instituições promover a Avaliação de Efetividade da política, dos procedimentos e dos controles internos previstos na nova norma. Essa análise deve ser documentada em relatório específico e possuir detalhamento adequado, especificando a metodologia adotada, os testes realizados e as deficiências encontradas, entre outros dados. Elaborado anualmente com data-base de 31 de dezembro, esse relatório deve ser encaminhado para o comitê de auditoria e do conselho de administração até 31 de março do ano seguinte. Por meio da Avaliação de Efetividade, as instituições precisam elaborar um plano de ação destinado a solucionar as falhas identificadas.