1. Introdução Lavagem de dinheiro era, até recentemente, um assunto de difícil compreensão para o cidadão médio. No racional desse cidadão, prevalecia a ideia de que não caberia a qualquer terceiro, aí incluídas as autoridades públicas, importar-se com a origem do dinheiro de uma pessoa ou empresa. Embora a lavagem de dinheiro seja parte derradeira de ilícitos que, por exemplo, subtraem recursos que poderiam ser transformados em benefícios para a sociedade ou, tão ruim quanto, financiam grupos que atentam contra a segurança da população, o tema só passou a fazer parte do nosso cotidiano a partir de operações policiais (nacionais e internacionais), que trouxeram a prevenção à lavagem de dinheiro – e seu complemento atual e não menos relevante: financiamento do terrorismo e da proliferação de armas de destruição em massa – para os mais diversos ambientes de discussão: da mesa de bar até fóruns qualificados de debate. Com esse ganho de visibilidade, importa entender sobre o funcionamento desse complexo sistema de PLD-FTP (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo e de Armas de Destruição em Massa), de seus atores principais e da sua lógica de funcionamento. O aniversário de quatro anos de publicação da Circular BCB 3.978/2020, ocorrido no último 23 de janeiro, é momento oportuno para entender os avanços observados no processo de PLD-FTP na área regulada pelo Banco Central do Brasil – parte da atividade financeira com maior visibilidade pelo público em geral – sob a ótica de quem aguardou ansiosamente a edição da citada norma e efetivamente participou da consulta pública que a orientou. Para auxiliar na compreensão daqueles que não participam do dia a dia de PLD-FTP, também é útil destacar como as Recomendações do GAFI (Grupo de Ação Financeira) influenciaram a edição da Circular BCB 3.978/2020 e continuam influenciando normas de PLD-FTP mundo afora. 2. Fundamentos Teóricos e Regulatórios Como bem explicado na introdução da publicação “Padrões Internacionais de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo e da Proliferação de Armas de Destruição em Massa”, do GAFI, aquele Grupo foi criado em 1989 com o objetivo de definir padrões e promover a efetiva implementação de medidas legais, regulatórias e operacionais para combater a lavagem de dinheiro e o financiamento do terrorismo e da proliferação de armas de destruição em massa, além de outras ameaças à integridade do sistema financeiro internacional relacionadas a esses crimes. Em colaboração com outros atores internacionais, o GAFI também trabalha para identificar vulnerabilidades nos sistemas de PLD-FTP dos países, com o objetivo de proteger o sistema financeiro internacional do cometimento desses ilícitos. Embora o conceito de avaliação baseada no risco (ABR) já tivesse sido trazido pelo GAFI na revisão de suas recomendações realizada em 2012, a ABR somente foi efetiva e literalmente incluída na regulamentação brasileira de PLD-FTP com a publicação da Circular BCB 3.978/2020. Até 2020, o tema PLD-FTP era regulamentado pela Circular BCB 3.461/2009, cuja abordagem previa a implementação de políticas e controles orientados pelo porte e volume de operações das instituições e não pelo perfil de risco de seus clientes, produtos e modelo de negócios de atuação. Tal circular, embora tenha relevantemente cumprido seu papel de orientar a evolução dos procedimentos de PLD-FTP, induzia a busca pelo atingimento do compliance, mesmo que seus elaboradores possam ter tido a intenção de com isso mitigar o risco de utilização do sistema financeiro para lavagem de dinheiro. Para corroborar a afirmação do parágrafo anterior, é possível identificar três citações à palavra risco(s) em todo o decorrer da Circular BCB 3.461/2009, enquanto na sua sucessora, a Circular BCB 3.978/2020, podem ser encontradas 44 menções à mesma palavra risco(s). 3. A Abordagem Baseada no Risco chega à regulamentação brasileira de PLD-FTP A Abordagem Baseada no Risco (ABR), ou Risk Based Approach (RBA), no inglês, orientada pelo GAFI, prevê, em síntese, dedicar maior cuidado/controle ao que possui mais risco e, na mesma lógica, empreender procedimentos menos complexos/custosos àquilo que possui menos risco. É uma ação que adotamos de forma quase que automática em inúmeras situações de nossas vidas, mas que precisava de um comando objetivo para ser implementada em PLD-FTP, pelo caráter legal agregado ao tema desde o início de vigência da lei 9.613, em março de 1998. Durante o período de consulta pública para elaboração da Circular 3.978/2020, profissionais de PLD-FTP, em diversos fóruns, debatiam quais evoluções deveriam ser incorporadas à nova regulamentação. Guiados pela necessidade de modernização da regulamentação, mas também pela busca de solução para suas próprias “dores”, alguns profissionais de PLD-FTP defendiam desde a indicação de critérios objetivos para considerar uma situação/operação suspeita – o que na prática significaria igualar as comunicações suspeitas às “automáticas” – até a simplificação do processo, com a redução do custo de observância e da “burocracia” que prejudicaria, na opinião daqueles, a experiência do cliente, especialmente no onboarding e no atendimento realizado por meio de canais digitais. Ouvidos o mercado e a sociedade, o Regulador incorporou a ABR recomendada pelo GAFI e ofereceu uma solução simples, direta e clara aos regulados: conheça seus riscos através da Avaliação Interna de Risco (AIR); defina e implemente suas políticas, controles e procedimentos, em consonância com a AIR; e avalie, anualmente, se as políticas, controles e procedimentos definidos são suficientes para mitigar os riscos de LD-FTP presentes na sua operação. Constatada a insuficiência, promova adequações. Em síntese, o Regulador orienta verificar, anualmente, se está presente na operação da instituição a seguinte lógica: Riscos identificados na AIR – Políticas, controles e procedimentos = Risco Mitigado. 4. A novidade chamada Avaliação Interna de Risco (AIR) A aplicação da Abordagem Baseada no Risco exige o conhecimento do risco inerente aos negócios da instituição. Só após o conhecimento de tais riscos será possível definir os tipos de controle que são hábeis para mitigá-los. A Circular BCB 3.978/2020 apresenta a metodologia como esse risco inerente deve ser calculado, dando ao processo o nome de Avaliação Interna de Risco (AIR). Sem recorrer ao formalismo dos comandos do Artigo 10 da citada Circular BCB 3.978/2020, podemos entender que a AIR deve ser elaborada considerando, ao menos, os perfis de risco dos clientes; do modelo e da geografia dos negócios da instituição; de seus produtos e da forma como são transacionados; bem como das atividades realizadas por funcionários, parceiros e prestadores de serviços terceirizados. Esses riscos devem ser avaliados quanto à probabilidade de ocorrerem e à magnitude dos impactos financeiro, jurídico, reputacional e socioambiental que podem provocar à instituição. 5. Desafios na Implementação da Circular BCB 3.978/2020 É fato que a Circular BCB 3.978/2020 tornou mais fácil a vida dos profissionais de PLD-FTP, principalmente ao eximir a necessidade de adoção de procedimentos e controles complexos para situações de baixo risco que, na prática, são predominantes na operação de uma instituição bem estruturada. Todavia, também é fato que muitos profissionais de PLD-FTP, mesmo passados quatro anos da publicação da Circular BCB 3.978/2020, ainda não compreenderam comandos essenciais para a construção das Avaliações Internas de Risco. Nas interações com profissionais de PLD-FTP, inclusive de posições sêniores, podem ser eventualmente constatados equívocos conceituais e práticos que comprometem profundamente a construção da AIR e, por consequência, a aplicação da ABR na instituição. Dentre esses equívocos, merecem ser destacados: Utilização de fatores que não representam risco inerente, no cálculo dos escores dos perfis de risco; Falta de compatibilização entre a AIR e a Política de PLD-FTP da instituição; Construção da AIR com foco exclusivamente no perfil de risco dos clientes (desconsiderando-se os demais perfis de risco obrigatórios); Realização do cálculo de risco de funcionários, de parceiros e de prestadores de serviços, ao invés somente identificá-los e qualificá-los; Falha no entendimento de quem seriam os “parceiros” e “prestadores de serviços terceirizados”; Falta de cálculo do risco das atividades realizadas por funcionários, parceiros e prestadores de serviços terceirizados; Falta de metodologia clara para definir os critérios usados para estimativa da probabilidade e do impacto dos riscos avaliados; Construção de matrizes de risco que não evidenciam os riscos envolvidos na operação da instituição; Dissociação entre a AIR e os controles aplicados (aplicação linear de controles; ou situações de maior risco com controles simples e situações de baixo risco com controles robustos). A ocorrência de situações como as acima em uma instituição pode indicar que as segunda e terceira linhas de defesa do processo PLD-FTP também podem estar com entendimentos equivocados acerca do tema AIR. A cada dois anos, ou a qualquer tempo, no caso de alterações relevantes nos perfis de risco envolvidos, as instituições devem atualizar suas AIR. Nesse momento, é importante envolver novos profissionais no processo, de forma a viabilizar a discussão sobre conceitos e informações que foram tomadas como verdadeiras na elaboração da AIR vigente. Um momento também adequado para a identificação de falhas na construção da AIR é por ocasião da realização anual das avaliações de efetividade de políticas, controles e procedimentos de PLD-FTP. Para isso, é importante que a avaliação seja conduzida por profissional com total domínio sobre o tema, mas que não tenha participado da construção da AIR ou da proposta da Política de PLD-FTP, nem da implementação dos controles e dos procedimentos em vigor. No caso de excesso de demanda no setor responsável por PLF-FTP, ou no sentimento de que os técnicos não detêm o conhecimento necessário para a condução do processo, deve-se cogitar o acionamento de especialista externo à instituição para apoiá-la, tanto na construção da AIR, quanto na realização