Danilo Wanderley

Do nada, nada surge.

Trago no presente artigo os principais pontos da minha visão pessoal sobre a não aplicabilidade de atribuir ao(à) encarregado(a) de Compliance a responsabilização criminal simplesmente pelo exercício da função.

Para o melhor uso do tempo, tomo a liberdade aqui de resumir em itens o que abordei sob a estrutura de um trabalho científico.

Por que entendo que a simples indicação do(a) compliance officer como responsável pelo programa ou – a depender do porte da instituição – do departamento de conformidade não acarreta, por si só, a assunção de um dever de impedir o resultado danoso?

Sob uma perspectiva conceitual, explorando os fundamentos da função de compliance, tenho os seguintes argumentos:

• O escopo – o(a) profissional de compliance pertence à segunda linha – antigamente conhecida como segunda linha de defesa – e, por excelência, não é a parcela detentora da tomada de decisão em uma governança de assunção de riscos; a primeira linha (áreas de negócio, área operacional executora) a qual é a “dona do risco” é quem comumente toma as decisões de acordo com o estatuto da instituição. O papel maior do(a) oficial de conformidade é aconselhar, e não dirigir. Logo, como ser responsabilizado(a) por assumir um risco se não o fez com uma ação positiva – ou omissão consciente?

O suporte tem caráter de acompanhamento, na medida em que o(a) compliance officer funciona como um(a) guia, um(a) profissional que dedica seu trabalho a compartilhar o conhecimento técnico sobre o ambiente normativo, seus comandos e as ações necessárias na gestão do negócio e seus processos correspondentes para a continuidade lícita e legítima das atividades da instituição.

• O papel efetivamente exercido. Em linha com o ponto anterior, é importante que a realidade fática do(a) encarregado(a) esteja condizente com o seu escopo. Por exemplo, se o(a) compliance officer é um(a) diretor(a) estatutário(a) com poder de voto para tomar decisões, por exemplo, aprovação de alçadas como concessão de crédito, tais ações desconfiguram o caráter de aconselhamento e suporte. Preferivelmente, o(a) profissional de conformidade, para a sua própria segurança, não deve fugir do seu escopo.

• Evitar o risco lato sensu é dever de todas as pessoas na instituição. No final do dia, todos os grupos (primeira, segunda e terceira linha) tem, na medida da sua atuação, o dever de atuar (i.e. reportes de gestão de risco, indicadores, denúncia, integridade com clientes) para evitar potencial materialização de atividades ilícitas que impliquem a instituição, seus colaboradores e demais stakeholders. Para fins ilustrativos, a área de compliance pode orientar uma área gestora de determinado processo a escrever um procedimento operacional, um guia com diretrizes de reporte, bem como pode participar em processos de Due Diligence sobre terceiros (por exemplo, fornecedores) junto com a área comercial, mas os riscos identificados e as respectivas as ações correspondentes de resposta ao risco (mitigar, eliminar, assunção) serão tomadas no âmbito das áreas que executam os processos e seus controles, ou seja, a primeira linha. O simples fato de ter um(a) oficial de compliance no processo não faz com que os potenciais resultados recaiam sobre si isoladamente.

• Existe uma liderança que toma o risco. Assumindo e respeitando eventual argumento contra o item acima, onde poderia ser dito “ora, mas a empresa inteira não se pode responsabilizar, alguém toma a decisão”, temos o respaldo dos modelos clássicos de gestão de risco. De maneira resumida, após uma avaliação dos riscos aos quais estão sujeitas as atividades de uma instituição, a liderança (Board, Senior Mangement, a depender do modelo de governança) pode decidir por evitar o risco, ou seja, não conduzir determinada atividade em virtude da severidade do risco (alto, muito alto); transferir o risco, por exemplo, ao contratar um seguro como contingência; mitigar o risco, com a implementação de controles, procedimentos e acompanhamento. Ou seja, o panorama acima demonstra que, de maneira geral, as atividades empresariais são, por excelência, atividades de risco e que a sua responsabilidade pertence à liderança da organização.

Assim, não há de se falar que o(a) profissional de compliance tenha o dever de evitar o risco, pois (i) o risco deve ser mitigado, a não ser que se decida pelo fim da  atividade e (ii) quem decide pela tomada de risco é a área dona do controle, a qual pertence à primeira linha de ação, conforme espero ter restado claro.

Já com relação à visão da responsabilização criminal, temos:

• Crime omissivo. Nos crimes omissivos é primordial que haja a possibilidade fática de atuação, pois não é razoável, para fins de exemplo, exigir ao socorrista que adentre um prédio tomado em chamas se claramente não existe possibilidade de sucesso no socorro à(s) vítimas(as). No mesmo sentido deve ser conduzido o raciocínio sobre o(a) profissional encarregado(a) de compliance, pois sua simples indicação ao cargo não configura poder de controle e evitação do risco.

• Crime omissivo próprio? Também não. Não há expresso comando em lei do dever de agir (i.e. nos crimes de omissão de socorro). Ao se estabelecer uma análise comparativa com a função do(a) encarregado(a) de compliance, os diplomas legais vigentes compreendem a existência e reconhecimento de programas, no sentido de governança e sistema orgânico, de compliance, mas não contemplam um dever legal imperativo em evitar o resultado, tampouco penalidade.

• Crimes omissivos impróprios. Chegamos onde interessa. Nos crimes omissivos impróprios, o legislador contemplou no art. 13 do Código Penal as situações em que, embora o agente não pratique necessariamente um comportamento (ação) destinado a produzir um resultado, a sua omissão diante de um dever de agir esperado pela norma tem a mesma relevância penal como se tivesse praticado o crime. Uma questão chave é o controle da situação, sem o que não se configura o nexo de causalidade.

Conforme o já mencionado art. 13 do diploma penal, serão três as modalidades de crimes omissivos impróprios:

Art. 13 – O resultado, de que depende a existência do crime, somente é imputável a quem lhe deu causa. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido. [..]

Relevância da omissão

§ 2º – A omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado. O dever de agir incumbe a quem:

a) tenha por lei obrigação de cuidado, proteção ou vigilância; (Incluído pela Lei nº 7.209, de 11.7.1984) 38

b) de outra forma, assumiu a responsabilidade de impedir o resultado; (Incluído pela Lei nº 7.209, de 11.7.1984)

c) com seu comportamento anterior, criou o risco da ocorrência do resultado.

São exemplos práticos que ilustram tais disposições, (i) os pais que tem por lei a obrigação de cuidado, proteção ou vigilância; (ii) as pessoas que, de outra forma, assumem a responsabilidade em impedir o resultado, como o cuidador de pessoas idosas; e (iii) aquelas pessoas que, com o comportamento anterior, criam o risco da ocorrência do resultado, sendo bastante ilustrativos os casos de administradores de pessoas jurídicas que criam um risco não permitido adicional ao já existente na atividade empresarial.

É condição essencial que haja uma relação entre a conduta devida que poderia evitar o resultado e a materialização deste, ligados pelo nexo causal. Vale dizer, é imprescindível para a configuração da omissão relevante por parte do(a) compliance officer que somente a sua ação poderia ter evitado o resultado, o que inexiste de forma autônoma – pela simples ocupação do cargo – nas rotinas diárias desse profissional.

(A) Na primeira situação, vale relembrar, a legislação nacional contempla a criação, manutenção e reconhecimento da função e/ou departamento de compliance como evidência de controles, servindo como mitigante em eventual sanção, mas não prescreve diretamente a responsabilização individual de um(a) compliance officer.

(B) Na segunda situação, por sua vez, o garantidor penal ostentaria tal condição quando assumisse a responsabilidade em impedir o resultado. Contudo, conforme explorado, o(a) encarregado(a) de compliance não atua na tomada estratégica de decisão do negócio, nem assunção de riscos. Este(a) profissional dissemina a cultura de risco, mas não se torna o(a) guardião(ã) isolado(a), pois o simples fato de ser nomeado(a) encarregado(a) de uma função suporte não se traduz na outorga por parte do corpo diretivo do dever de evitar o crime. O conceito de prevenção tem lugar na implementação de controles que mitiguem o risco regulatório, mas o risco é de quem executa as atividades previstas no objeto social da empresa.

Pensar de forma diferente ocasionaria a conveniente escolha por parte de todos os executivos de médias e grandes instituições em delegar ao(á) profissional de compliance toda a responsabilidade pelo cumprimento de normas internas e externas às quais a instituição se sujeita. Este não parece ser o escopo desejado para a carreira de conformidade.

Em outras palavras, não existe uma assunção pré-estabelecida do dever de evitar o crime, pois o(a) compliance officer não tem capacidade de pronta evitação do evento crime.

(C) Não menos importante, a terceira situação ocorreria quando o(a) agente criou o risco não permitido com o seu comportamento anterior. O(a) compliance officer só produziria tal risco caso, se deliberadamente contribuisse com ações no sentido de negligenciar controles, alçadas ou informações, o que configura uma medida comissiva e não propriamente uma omissão.

É de grande importância restar claro que quem cria o risco não permitido nos casos de crimes financeiros é quem detém “as rédeas” do curso causal, podendo ser, primeiramente, o agente criminoso que busca cometer a lavagem de dinheiro e/ou a corrupção a título de exemplos, bem como quem, dentro da empresa, tem o poder de tomar ações.

O(a) compliance officer, na sua função inerente à segunda linha, não tem como voluntariamente ocasionar um resultado porque não detém o controle sobre a tomada de decisão que pode criar um risco adicional ao risco permitido da atividade empresarial. Por exemplo, quando um(a) encarregado(a) de compliance sugere que determinado controle ou alçada seja flexibilizado ou negligencie deliberadamente um pedido com o fim de obter um resultado que traga alguma vantagem, isso é uma ação livre e consciente direcionada.

Para um(a) fã do direito penal e da função de compliance a missão de resumir os pontos que fundamentam a convicção deste que escreve é dificílima. No recente estudo que referencio acima, ainda temos capítulos inteiros abordando a teoria do domínio do fato, o concurso de agentes e a famosa tese da ação penal 470 (Mensalão). Temos que deixar para outro artigo.

Contudo, espero ter trazido pontos relevantes no sentido de (i) fundamentar por quais motivos não deve prosperar a ideia de que o(a) oficial de compliance é um(a) guardião(ã) dos riscos e (ii) alertar os colegas de profissão a não aceitarem todo e qualquer cargo com prerrogativas que excedam o escopo de atuação e coloquem em risco sua carreira e liberdade individual.

Abraços e sucesso sempre.

Danilo Wanderley.

Este texto reflete a opinião pessoal do autor com cunho estritamente pessoal, sem qualquer vinculação institucional e/ou comercial.

________

Wanderley, Danilo Pereira O ENCARREGADO DE COMPLIANCE E OS MODELOS DE RESPONSABILIZAÇÃO CRIMINAL / Danilo Pereira Wanderley. – 2021. 69 f. : il. Color.

Imagem de Pixabay.

#compliance

Os melhores modelos de gestão que tive em minha carreira promoviam esta bandeira.

Dica pré-feriado: promova a troca de expertise no seu time.

Não seria troca de informações, Danilo?

Não, não. Troca de informações – o que é rico e também deve ser encorajada – acontece no catch-up, na reunião, no treinamento. Aqui o escopo é ADICIONAL a isso. Estamos falando de planejamento e gestão de riscos. Um modelo de gestão.

Acabo de ler uma sentença super interessante na justiça trabalhista onde a empresa reclamada requisitava os serviços de uma pessoa especialista em horários inapropriados e até nas férias. Justificativa? Só esta pessoa detinha o conhecimento necessário. Além da questão da violação ao direito à desconexão, temos aqui uma exposição de Compliance.

Todos conhecemos no mundo corporativo aquela figura do(a) especialista “oráculo”. Aquela pessoa que é quase uma enciclopédia, uma caixa-preta dos processos e afazeres da área. Num primeiro momento, isso soa ótimo, pois geralmente esta pessoa é colaborativa e contribui muito para o sucesso do time.

O que acontece é que isso potencializa problemas no médio e longo prazo, o que é ruim no âmbito estratégico da instituição.

Primeiro, no aspecto de risco operacional, pois quando só uma pessoa conduz uma atividade, quem conseguirá constatar uma falha dela? Vou além, processos de feito-conferido existem não apenas para mitigar a falha, mas também para proporcionar o aprendizado e contribuir na qualificação de, no mínimo, duas pessoas, é indiscutível, é matemático.

Segundo, no universo da conduta, se uma pessoa está cometendo uma ilicitude ou irregularidade, como será algum dia constatado se só ela supervisiona o seu procedimento? Especialistas anti-fraude tem muito a acrescentar aqui.

Já na perspectiva organizacional, como as pessoas no time, ou mesmo no âmbito institucional, se sentem numa área onde o(a) especialista não tira férias nunca? No caso da sentença não era por iniciativa da pessoa, mas sim da empresa. Contudo, testemunhei situações onde as empresas, suas cúpulas da alta administração não apoiavam e não sabiam do que estava acontecendo. A depender de como a liderança permite e interpreta tal comportamento, os demais colaboradores podem se desmotivar por acreditar que só quem atua desta forma vai crescer, o que deve ser combatido.

Contudo, trago uma visão otimista para concluir esta dica de fim de semana com o que acredito ser um bom approach: tenha como missão contínua promover o Mindset de aprendizado e crescimento do portfólio, da prateleira de qualificações das pessoas lideradas. Quanto mais completo, mais exposição positiva um(a) profissional tem para a empresa e para o mercado. It’s a Win-win bet.

Vamos assumir para fins ilustrativos que você lidera um time de Compliance (e na minha visão, isso serve para qualquer área) com diferentes frentes de atuação dividas em células.

A célula A cuida de relacionamento com reguladores; a célula B cuida de controles internos e avaliações periódicas de risco; a célula C de políticas e procedimentos e a célula D de governança e projetos.

Podemos perceber maior conexão de estratégia e interação com áreas internas e externas nas células A e D. Na mesma tomada, uma maior relação operacional e procedimental nas equipes B e C. Neste cenário, seria recomendável que as pessoas no time D, assumindo que esta seja a estratégia escolhida, atuem prestando suporte ao time A e vice-versa, seja num formato de rodízio, ou o mais comum, trabalhando mais próximos e “por dentro” do dia-a-dia – inclusive aware dos procedimentos escritos existentes – como legítimas backup uma célula da outra. Vale o mesmo racional para as equipes B e C, o que é mais frequente em times com forte carga operacional . Destaque-se que há estratégia e operacional nos quatro exemplos, a divisão aqui é mais ilustrativa, mas real.

Todo mundo aprenderá mais. Isso também é matemático. Não existe uma regra pronta, mas é eficiente.

Gostou? Comente, curta e compartilhe.

Saudações e sucesso sempre.

Bom feriado!

Imagem de Pixabay.

O grande entregável de um programa de PLDFT é a sua efetividade no combate à lavagem de dinheiro e ao financiamento do terrorismo; sobre isso não há controvérsia. Contudo, no aspecto operacional não é incorreto afirmar que a grande saída de um procedimento de acompanhamento de operações ou situações é a comunicação[1] de uma atividade suspeita em virtude da sua atipicidade e/ou de sua suspeição à unidade de inteligência financeira[2]. Compartilharei neste artigo o que, na minha visão, são os maiores vícios e virtudes de um pilar de monitoramento de transações.

Inicialmente, cumpre esclarecer o caráter de acompanhamento sobre operações e situações suspeitas.

Por que acompanhamento? Conforme podemos depreender das principais[3] normas de PLDFT no sistema financeiro nacional, o pilar de monitoramento não abrange somente o aspecto transacional, mas sim o acompanhamento de outras situações (inclusive a tentativa), como por exemplo, o pilar de cadastro de clientes (e.g. “resistência ao fornecimento de informações necessárias para o início de relacionamento ou para a atualização cadastral”[4]).

Vale dizer, o pilar de monitoramento pode ter dois principais sentidos. Primeiro, o monitoramento no sentido estrito de acompanhamento sistêmico: uma data-base com parâmetros previamente estabelecidos de forma a gerar alertas para análise através de uma interface disponível ao usuário. Segundo, no aspecto procedimental, onde o acompanhamento se faz através de ações e/ou interações, buscando identificar tipologias de comportamento (resistência, burla, ocultação) ou de natureza (capacidade financeira, PEP, ocupação profissional, região com deficiências em PLDFT, atividades de alto risco, dentre outros aspectos). Importante destacar que estes aspectos se relacionam e se complementam.

Com isso, passemos aos pontos.

VISÃO INTEGRADA

O seu pilar de monitoramento de transações deve proporcionar à pessoa que analisa transações todas as informações necessárias para a análise dos alertas, para a busca de informações complementares de KYC e cadastro, para a identificação da pessoa responsável pelo cliente, para o acesso ao histórico amplo de movimentações e dos demais produtos e serviços oferecidos ao cliente na instituição.

Virtude: ter um sistema de monitoramento 100% integrado com os sistemas transacionais legados e com a sua plataforma de KYC[5]/Cadastro. Determinadas informações devem estar disponíveis no ato da análise, como por exemplo, a qualificação do cliente, sua categoria de risco, bem como uma visão holística dos produtos – não apenas do que alertou no seu sistema – operados.

Vício: ressalvados os casos onde o porte e a complexidade da sua instituição não permitem este modelo, se o seu sistema de monitoramento tem apenas uma visão do específico alerta gerado, onde para buscar informações sobre o tipo de cliente e/ou detalhes da operação (por exemplo, o beneficiário final de uma transferência), seu time necessita acessar outros sistemas ou mesmo solicitar extração de relatórios para outros times, é altamente provável que (1) o seu tempo de análise seja prejudicado, logo a eficiência do seu procedimento também e (2) o risco operacional de falhas no procedimento tenha a sua materialização potencializada.

INTEGRIDADE E DISPONIBILIDADE

Para poder conduzir o pilar, precisamos de disponibilidade das informações, isto é, uma base de operações (sistemas transacionais) e informações de cadastro (KYC + Cadastro) com processo contínuo e consistente pelas áreas gestoras de tais sistemas. Percebemos aqui a grande dependência “sofrida” pelo monitoramento de transações do pilar de registro de transações, o qual é comando expresso de toda norma de PLDFT. Este comando não tem apenas o condão de assegurar o acesso aos reguladores das informações gerenciadas pelas instituições, mas também serve à entidade na reflexão destes registros como base para o escopo do monitoramento. Aquilo que é disponível, precisar ser inteiro, ou seja, não apenas a existência, mas a totalidade das informações – que serão escolhidas no escopo do que se deve monitorar – deve auxiliar o seu procedimento.

Virtude: ter um processo sólido e tempestivo (real time/diário/semanal a depender do volume de dados) de reconciliação das operações que fluem para a sua plataforma de monitoramento. Idealmente, este processo deve ser específico e liderado pelas áreas operacionais, em vez da área de PLDFT, por serem aquelas as gestoras do processo (primeira linha).

Vício: esse processo é muito importante, pois a ausência de planejamento e oversight não são perdoáveis. Não deixe para verificar como anda o processo de integridade das informações transacionais e cadastrais quando a auditoria e ou regulador em campo “baterem na sua porta”. Ao agir assim, surpresas desagradáveis são quase uma promessa do destino (🤣 temos aqui um ar de novela mexicana). A brincadeira, na verdade, revela a seriedade do impacto: imaginem descobrir em auditoria que mais de 50% de determinados dados relevantes para a condução do seu pilar estão faltando? O impacto operacional pode custar a efetividade do seu programa inteiro de PLDFT.

Adicionalmente, perante o regulador a sua entidade é uma só, havendo pouca – ou nenhuma – relevância no argumento de que este problema não foi ocasionado pela gestão da sua área como segunda linha. O programa de PLDFT é da organização inteira.

COERÊNCIA E PRATICIDADE

Assumindo que toda a sua estrutura anda bem e os pontos anteriores não são um problema, temos todas as informações, a máquina está rodando perfeitamente. Ou seja, o aspecto de ferramentas e sistemas não é um obstáculo, restando o âmbito procedimental. Este, em nenhuma instância, se faz menos importante. Aliás, se torna mais sensível, dado o caráter subjetivo das avaliações que norteiam as suas atividades.

Virtude: a avaliação baseada em risco (ou avaliação interna de risco) terá papel fundamental na determinação dos graus de risco dos clientes, produtos, serviços, canais e demais componentes objeto de análise. Aos componentes de alto risco, daremos maior ou mais aprofundada ação; aos de menor risco, ações mais simplificadas. No monitoramento de transações, de forma geral e exemplificativa, isso pode resultar em maior nível de informações-suporte à análise e documentação de alertas, maiores alçadas, bem como menores (mais restritos) limites operacionais e/ou periodicidade de revisão. Estes são exemplos que devem respeitar o porte, a complexidade e a natureza da instituição, mais uma vez, respaldados pelo Risk-Based Approach.  

Embora a missão apresentada acima seja complexa e trabalhosa, é importante ter praticidade nas ações. As normas de PLDFT contemplam o esperado em termos de avaliação baseada em risco e as suas respectivas diligências. Vale dizer, quem está diariamente no ramo e interage com os reguladores sabe o que deve e não deve constar do escopo de monitoramento.

Vício: da mesma forma que não deve faltar informação no pilar de monitoramento, não deve haver ações, etapas, parâmetros que extrapolem a necessidade. Por exemplo: se o seu sistema de KYC/Cadastro já tem um sistema diário de screening contemplando todas[6] as ocorrências esperadas pelo regulador, logo é dispensável – a não ser que a discricionariedade do analista/supervisor requeira uma pesquisa adicional – realizar nova pesquisa de background-check como requisito para todo alerta gerado. 

Virtude: outro ponto importante é a ação estratégica, sênior. Seja na alçada à diretoria sobre uma recomendação de comunicação de atividade suspeita ou no feito-conferido submetido a uma supervisão, uma ação coerente com os riscos relacionados é esperada em benefício da tempestividade. Na minha experiência, sempre afirmei que aquilo que é geralmente suspeito e/ou atípico o é – ou não é – no início ou logo após. Explico: poucas vezes presenciei uma situação objeto de investigação que teve a sua suspeição crescendo ao longo do tempo. O que aumenta é o número de insumos coletados pela área investigadora, a atividade suspeita – mais uma vez, em geral – é um modo de atuação cíclico. Logo, um case submetido para um supervisor ou a proposta de comunicação ao COAF devem estar de tal forma maduros (com todas as informações possíveis obtidas) que – idealmente – apenas o OK para encerrar o alerta ou o OK para prosseguir com a comunicação sejam o próximo entregável.

Outro vício clássico: no que compete ao que entra no escopo de monitoramento, a regra é clara. Não se pode cortar população, produtos e operações. O Risk-Based Approach em grandes instituições serve para determinar o mínimo e o máximo, mas não a ausência (guardem este mantra na memória). Também em linha com a visão integrada acima, não aceitem um modelo onde a sua instituição não consiga – de forma sistêmica e majoritária[7] – identificar o beneficiário final das operações: o princípio maior de qualquer doutrina / melhores práticas no mundo de PLDFT é o follow the money.

Respeitando quem pensa de forma diversa, de onde vem e para onde vai deveria ser o primeiro parâmetro de monitoramento de qualquer entidade. Para sustentar este Mindset, corretamente, as normas dão grande importância à necessidade de identificar operações de ou para regiões de risco, fronteira, países com deficiência, PEPs, dentre outras tipologias, oferecendo aqui grande destaque para as situações listadas na Carta-Circular BCB 4.001/20.

Missão: foco no resultado alcançável, tempestivo e certeiro – não nos rendamos à burocracia irracional. Processos existem para servir a instituição e não o contrário.

Ressalvadas as especificidades de cada casa, geralmente um alerta nasce como um outlier objetivo, isto é, algo que saiu da fila comum, mas não necessariamente já será flagrante, como por exemplo, o cliente “Danilo Pereira Wanderley que estava operando média de 100, mas no mês base operou 180 em virtude de bônus de participação anualmente pagos nesta época igual ao alerta do ano passado“. Este é um exemplo que pode – desde que devidamente documentado e referenciado – ser fechado. Por vezes, perde-se tempo em pesquisas adicionais para fundamentar aquilo que é claro, utilizando o exemplo acima: se as informações estão no sistema, não é razoável exigir que o alerta (ou um pdf cópia) do ano passado seja anexado ao alerta ora analisado, pois o perfil de monitoramento do cliente tem todos os alertas, correto? Ou, em outro exemplo, um caso de hit PEP para subsidiárias de uma empresa com PEP controlador já identificado e mitigado (aprovações, monitoramento especial, etc.) deve-se aproveitar ao máximo o que já foi feito, devendo rechaçar ações repetitivas (e.g. uma aprovação nova, com um dossiê separado para cada subsidiária que apresenta exatamente o mesmo nível de governança, atividades econômicas e produtos recebidos).

Existem muito mais pontos que poderíamos abordar aqui, mas questões de tipologia (exemplos de operações e situações suspeitas e/ou atípicas que necessitam de ações por parte das pessoas sujeitas à Lei 9.613/98) merecem um artigo inteiro que virá no futuro.

Por enquanto, espero ter compartilhado questões com as quais você e sua instituição se identifiquem.

Curtiu? Tem outro ponto importante? Comente, curta, compartilhe.

Dúvidas, entre em contato. Saudações e sucesso sempre.

Imagem de Pixabay.

[1] Por vezes, a Instituição também pode decidir por encerrar o relacionamento comercial. Isso dependerá da natureza da suspeição/atipicidade aliada ao apetite de risco transacional e reputacional da entidade.

[2] https://www.gov.br/coaf/pt-br

[3] Circular BCB 3.978/20, Instrução CVM 617/19, Circular Susep 612/20 e Resolução COAF 36).

[4] Art. 1º, III, a – Carta-Circular BCB 4001/20.

[5] Know Your Customer.

[6] Exemplos: Pessoa Exposta Politicamente, Neg News, Pessoas Sancionadas, Socioambiental.

[7] Em casos excepcionalíssimos, a regulação prevê situações de exceção, para as quais, a correspondente diligência deve ser aplicada.

Da mesma forma que um projeto de construção, a implementação do programa de Compliance vai exigir o máximo da equipe de conformidade envolvida, seja no valor agregado, isto é, no conhecimento técnico, bem como nos soft skills essenciais para a interação com as áreas da instituição. Afirmo sem receio de errar que a implementação está, no mínimo, no top3[1] do ranking de atividades mais gratificantes para quem trabalha com Compliance.

Neste artigo compartilharei pontos importantes a levar em consideração que possam auxiliar a sua entidade.

Conformidade com o quê? Para quem? A agenda normativa.

Toda empresa tem sua missão, visão e valores intimamente ligados com o objeto social a que se destina. Logo, a agenda normativa da entidade deve ser pautada na legislação, na regulamentação e nas melhores práticas de mercado do segmento em que atua. Aliado com tais normas, as políticas e procedimentos internos.

Aqui temos a importância da AGENDA NORMATIVA. Seja o departamento jurídico, um escritório contratado, ou o próprio time de Compliance, voltando à analogia da construção, as regras às quais sua empresa se submete são como as “normas de construção do seu município”, você precisa saber as medidas de recuo, número de andares, condições de atuação, enfim, o 5W1H[2] de “como eu vou conduzir” a atividade pretendida.

Importantíssimo destacar que isso é contínuo, dinâmico e precisa ser efetivo. Contínuo, porque não bastará colocar a sua casa “em pé e seguir feliz”, você precisa manter o acervo atualizado (e várias novas regras serão publicadas daqui para frente…). Dinâmico, porque não basta coletar uma lei ou regulação, ler e interpretá-la sozinho(a); você e seu time precisam de todos os stakeholders, principalmente as áreas gestoras do processo alcançado pela norma, o que é possível quando se tem um comitê[3] que conta com a presença de departamentos como o jurídico, a área de recursos humanos, o operacional, os times de controles internos[4], e sem chance alguma de faltar: a área de negócio[5].

Efetivo, pelo fato de que um fórum regulatório não se resume a coletar normas, apresentar resumos para as áreas e documentar no seu inventário; de jeito nenhum. É vital controlar os feedbacks e acompanhar as ações. Costumo dizer que todo colega de Compliance tem a gestão de projetos no seu DNA. O uso de um sistema ou pelo menos um dashboard no formato “farol” tem a relevância indiscutível pelos aspectos de (i) radar de entregáveis, bem como (ii) evidência de documentação e (iii) reporte à governança para futuros questionamentos.

Execução da estrutura – ação e comprometimento.

Aqui entramos na estruturação. A área de Compliance lidera as ações que dependem dela mesma como segunda linha de defesa, bem como engaja as áreas da primeira linha que atuam em pontos específicos do programa. Notem o caráter contributivo de que deve estar revestido um programa de compliance – da mesma forma que atua, necessita da contribuição dos demais membros numa construção.

Ilustremos melhor: não basta ao Compliance Officer ler o estatuto social, mapear um processo (entrevistas, walkthrough, risk assessment) e escrever um manual, política ou código de conduta e publicar. Trata-se de um trabalho de, no mínimo(e tenho visto um número de integrantes cada vez maior) “quatro mãos”. A área gestora do processo, que detém o risco da atividade, tem que estar presente durante todo o processo de avaliação dos riscos, validação e estabelecimento dos controles e na reflexão em governança e controle.

Em outras palavras, como qualquer gestão de projetos, principalmente a metodologia ágil nos dias atuais, é preciso que as áreas impactadas estejam envolvidas em todas as fases de implementação, pois a “foto correta” dos objetivos (e dos riscos que potencialmente os impactem) depende da validação de quem conduz a atividade. Tentando resumir o que é complexo: a área de conformidade precisa engajar com maestria as áreas impactadas para assegurar o comprometimento e a Alta Administração é diretamente responsável por isso (top-down approach).

Manutenção – disseminação contínua e “de valor”.

A casa está de pé. Todos que constroem uma morada buscam fazer uso dela, a isto chamamos no mundo corporativo de “entregável”. Em última instância, o entregável de um programa de conformidade tem dois principais momentos: (i) estar em conformidade com normas internas e externas e (ii) manter esta condição – “é para sempre”.

Isso consiste em 100% de cumprimento de todo e qualquer dispositivo de toda e qualquer norma mapeada no início ? Não existe a total conformidade. Quem disser isso, não está familiarizado(a) com o modelo de gestão de riscos.

Na realidade, deve-se demonstrar que há governança sobre as informações da instituição, com o acompanhamento contínuo por parte de quem toma as decisões estratégicas e as respectivas ações, de modo a mitigar eventuais falhas e/ou exposições. É o termômetro de que a “casa” não apresenta falhas de estrutura.

Outra missão não menos importante da governança (alta administração + líder de compliance) é assegurar a inclusão da conformidade na cultura organizacional. Não somente as áreas-chave impactadas pelo projeto no início, mas agora todas as áreas devem estar sujeitas à disseminação do valor do programa. Treinamentos, jornadas didáticas e descontraídas, resumos didáticos em murais eletrônicos e físicos, tudo de forma constante, explicitando um caráter de fluidez desta cultura na empresa.

Não atuar  – ou atuar de forma insuficiente –  nesta frente de disseminação contínua, é como construir uma casa, mas não proceder com uma ligação na concessionária elétrica, na companhia de água, no gás, na internet (“nossa, internet, pegou pesado hein, quem fica sem”?😂). Enfim, sem constante atuação, não se torna sistêmico.

Finalizando, pensemos que quanto mais consolidado estiver o programa de compliance, quanto mais a impressão de um caráter orgânico, no sentido de que as pessoas agem e buscam a conformidade como o único meio coerente de atingir resultados, mais a administração da casa flui e o esforço nem parece esforço. Se não for contínuo, daí a analogia sai da construção e entra no apagar de incêndios, inclusive o que acontece na maioria dos casos, infelizmente.

Vamos atuar com efetividade?

Gostou? Curta, comente, compartilhe.

Saudações e sucesso sempre.

---

[1] No meu caso é TOP1 😉

[2] What, Why, Who, When, Where, How.

[3] Podemos chamar de fórum, não precisa ser um órgão estatutário, a depender do porte, natureza e complexidade da instituição.

[4] Nos casos em que for segregado da área de compliance.

[5] Na existência de área de business management, esta também deverá fazer parte da audiência do fórum.     

Imagem de pixabay.

Evento frequente em um programa de prevenção à lavagem de dinheiro e combate ao financiamento do terrorismo é a constatação de notícias negativas sobre clientes, fornecedores, funcionários e/ou candidatos em processos seletivos. Neste cenário, por mais que procedimentos e manuais escritos descrevam as diligências de resposta ao risco esperadas, nunca será uma ação(ou conjunto de ações) binária, um checklist, uma receita de bolo.

E isso é ótimo. Não se está defendendo a inexistência de procedimentos, de forma alguma, pois  sou ferrenho defensor dos controles internos e tudo aquilo que é procedimento, precisa ser verificável. O “ótimo” vai para o fato de que se a pura obediência sequencial aos comandos de controles bastasse ao processo, não precisaríamos de brainstorming. Ou ainda, mesmo havendo profissionais gerentes do processo, não havendo espaço para avaliação sobre a melhor tomada de decisão, seria muito entediante, não? Penso que sim.

Pois bem. Buscarei explorar os principais pontos que sempre considerei vitais em questões sensíveis envolvendo notícias negativas. O foco será nos crimes financeiros, mas tais dicas também tem aplicabilidade em questões de conduta e/ou reputacional, providenciando assim, passos para auxiliar você na sua instituição. Ainda, tratarei todas as pessoas acima apenas como “clientes[1]” para o bem da leitura objetiva.

Passo 1 | Nível Básico[2] | operacional.

Consolidar todas as informações disponíveis.

Quem é o objeto de pesquisa? Uma pessoa física (cliente, consultor, funcionário, candidato, representante de um cliente pessoa jurídica, beneficiário final de pessoa jurídica)?  Uma pessoa jurídica (cliente, fornecedor, parceiro, entidade terceira na qual estamos investindo)?

O que[3] está sendo constatado? É uma notícia negativa pelo viés criminal geral, criminal financeiro? Escopo administrativo? Checar a natureza da notícia negativa.

Quando houve esta implicação? E não menos importante, qual o status atual? Desdobramento aqui é questão-chave, pois há diferentes medidas – principalmente a abordagem do tema – a depender do momento. Uma pessoa objeto de pesquisa pode estar sendo investigada, pode estar sofrendo uma denúncia, pode já ter sido sentenciada, pode inclusive já ter cumprido a sanção (multa, prisão, publicação do caso, etc.).

Passo 2 | Nível Básico a intermediário[4] | Operacional

O quanto isso se conecta conosco?

No aspecto do relacionamento, estamos falando (no caso de clientes vigentes[5] ou passados) do batimento dos insumos coletados na notícia com os nossos serviços e produtos prestados. Trata-se de cliente? Com quanto tempo de relacionamento? Deve-se avaliar no aspecto qualitativo: “alguma das pessoas implicadas além do nosso cliente também já teve algum relacionamento conosco”? Por vezes, pode ter sido um fornecedor, um beneficiário de uma transação, ou até mesmo um representante de outro cliente.

Outro aspecto muito importante é o temporal. Se a notícia aponta que o cliente “Danilo Pereira Wanderley” foi condenado por operações ilícitas conduzidas de 2010 a 2012, mas só tem relacionamento com a sua empresa desde 2014, restará o reputacional. Quanto a este mitigante, qual seja, a ausência de risco transacional, não esqueçamos que é com relação à notícia. Explico: isso não quer dizer que uma questão reputacional não enseje uma revisão de um período mais longo, pois o Danilo Pereira Wanderley pode estar cometendo outras irregularidades; esta notícia serve como gatilho para uma avaliação mais apurada. Qual o risk rating do cliente? É alto risco? O que o procedimento prevê quando surgem notícias negativas para clientes de baixo, médio e alto risco? Percebam a importância do Risk Based Approach.

Passo 3 |Nível Intermediário[6] a avançado | Interação

Verificar com a área “dona” do cliente o nível de acesso à informação e eventual necessidade de esclarecimentos com o cliente.

Reunidas as informações, a interação com a área comercial[7] “dona do cliente” permitirá medir “o quanto nós sabemos” sobre esta implicação no nível institucional.

Dica aos(às) profissionais jovens, não se precipitem em formar convicção. Esta etapa é vital, na medida em que permite medir o nível de transparência e diligência da sua área comercial. Por vezes, o(a) gerente de relacionamento já sabia da questão e inclusive endereçou o tema com o cliente que proativamente abordou o tema, oferecendo mitigantes (e.g. “sim, eu fui sentenciado, mas recorri e fui absolvido, isso ainda não foi publicado”). Esta parte é muito sensível, pois é crucial uma sinergia positiva com a área de negócio, demonstrando que não estamos com uma opinião formada, pelo contrário, queremos apenas insumos para formar uma conclusão objetiva sobre o risco ou não de implicação de crime financeiro.

Mas e se a área comercial nem sabia? Agora é o momento de explicar objetivamente o processo, tranquilizar a sua área parceira de que se trata de uma análise procedimental e que nenhuma conclusão está sendo tomada. Lembremos, a governança de PLDFT é gerir riscos e não “ser polícia”. O momento é de avaliar se há espaço para interagir com o cliente.

Mas e se a área comercial não se sente confortável em falar com o cliente? Este é o tipo de situação que requer um nível avançado de experiência.

Inclusive, porque estamos em transição para uma conversa com o cliente. Destaque-se que a Lei Anti-Lavagem[8] e seus regulamentos vedam o tipping off, conhecido como deixar o investigado ou terceiros cientes de que são/serão objetos de uma comunicação, o que requer cuidado extraordinário no nível de informação explorada com a área de negócio e o cliente.

Eu sempre destaquei o caráter de protocolo – que não deixa de ser verdade – no qual que se insere a interação com o cliente. Neste momento, cabe ao(à) profissional sênior de Compliance avaliar se:

1. o(a) colega da área comercial tem uma visão de risco madura que permite interagir com o cliente compartilhando apenas o que foi alinhado com a área de PLDFT; ou
2. propor um call, acompanhando a linha de negócio, num formato due diligence, explorando inclusive a governança do cliente, pois “quebra o gelo” muito bem e afasta a natureza interpretada como “pé na porta”, bem como o risco de compartilhamento inapropriado.

Sempre gostei da segunda opção. Assegura que todos estão alinhados(as) e evita também o famoso “back and forth” [9]com o cliente, quando o João entendeu que o Danilo Pereira Wanderley disse A, mas a Maria entendeu B. Adicionalmente, e se o coitado do Danilo na verdade é inocente?? Percebe o client experience indo por água abaixo? De novo, a abordagem precisa respeitar o nível de maturidade de cultura de risco da sua empresa, da sua área de negócio e do nível de abertura com o cliente.

E quando não há esta abertura? Quando a área não se sente confortável em falar com o cliente de uma questão inegavelmente sensível? Daí a resposta é proporcional ao risco. Risk Based Approach estratégico, que é o próximo passo.  

Passo 3 | Nível “fluente[10]” | executivo.

Tomada de decisão

Dentre as várias responsabilidades da governança de PLDFT, a diretoria deve tomar a decisão sobre principalmente (i) eventual comunicação às autoridades, (ii) do estabelecimento ou da continuidade do relacionamento como um todo.

Quando um cliente implicado numa notícia negativa, tem o seu relacionamento revisado (KYC e histórico de transações), houve a interação e confirma-se de que há insumos suficientes para concluir pela existência de atividade atípica e/ou suspeita, chegamos ao famoso “relatório final”, “ao dossiê”, enfim, ao panorama que fundamentará a decisão da Diretoria de PLDFT.

Da mesma forma, pode a Diretoria[11] – com base em mitigantes sólidos, oferecer o feedback seguinte: “pelas razões A, B e C, entendo haver mitigantes suficientes para afastar a possibilidade de concluir pela comunicação, pois o cliente respondeu a todos os questionamentos e comprovou ter pago a multa no âmbito administrativo, informação que anteriormente não havíamos tido acesso”.

Todo este esforço ilustrativo para demonstrar que, com a informação suficiente para os dois lados, se pode tomar inclusive a decisão de não comunicar, bem como continuar ou não o relacionamento, destacando aqui a importância da primeira linha de defesa (o negócio) como protagonista desta última decisão.

Agora, quando não temos todas as informações, porque não foi possível esclarecer com o cliente, não temos um panorama. E numa avaliação fria, isso aumenta ou diminui o risco? Penso que, no mínimo, diminui o apetite de risco, bem como o conforto em continuar “às cegas”. Não é apenas a comunicação e a revisão do relacionamento que precisam ser avaliados, mas também a categoria de risco. Neste exemplo, onde falta informação, se era um cliente de baixo risco, tenho a convicção que deveria ser modificado. Notem o nível de senioridade esperada para tomar uma decisão em casos como este. Logo, não havendo possibilidade de interação, aumenta-se a exposição.

Uma simples notícia negativa vai tomando corpo de complexidade, não? Sim, não existe tédio em PLDFT, e é o que faz a função apaixonante.

Fecho este artigo com as seguintes premissas-chave: primeiro, buscar proativamente o maior detalhamento possível do status e abrangência da neg news; segundo, sintetizar num formato executivo e objetivo para a posterior análise sênior. Terceiro, interagir com a área dona do cliente e medir a maturidade de conhecimento sobre o caso prático e a respectiva disponibilidade de interação. Quarto, sendo possível, interagir, sempre no aspecto protocolar e friendly com a pessoa objeto de avaliação[12]. Quinto e último, tomar a decisão ou escalar para quem deve tomá-la.

Espero que tenha gostado! Gostou? Curta, compartilhe, comente.

Saudações e sucesso sempre.

---

[1] Exemplo: clientes, fornecedores, funcionários e/ou candidatos em processos seletivos.

[2] Passível de condução no nível estagiário a analista.

[3] Em programas voltados para conduta, pode-se estender o escopo para questões sociais, ambientais e de governança. Vide artigo: https://dwatlaw.com/2021/04/12/background-check-qual-o-foco-depende/

[4] Passível de condução no nível estagiário a analista, mas é recomendável a supervisão no caso do nível estágio.

[5] Conceito de acompanhamento “Ongoing KYC”.

[6] Recomendável a atuação de especialista ou analista sênior sob supervisão.

[7] (se estivermos abordando como exemplo uma pesquisa sobre funcionários, daí seria um exemplo de interação com a área de ombudsman, ética e RH).

[8] Lei 9.613/98, Art. 11, II – deverão comunicar ao Coaf, abstendo-se de dar ciência de tal ato a qualquer pessoa, inclusive àquela à qual se refira a informação, no prazo de 24 (vinte e quatro) horas, a proposta ou realização:   

[9] Vai e volta contraproducente.

[10] A depender da natureza, porte e complexidade das operações da instituição, geralmente Alta Administração e Diretoria de PLDFT, respeitado o que está no respectivo programa (manuais e políticas).

[11] Idem nota 10 acima.

[12] Não esquecer do tipping off.

Imagem de Pixabay.

Todos nós, que interagimos de forma privada e socialmente, buscamos estabelecer relacionamentos baseados na confiança. Para as pessoas com os mais altos requisitos de ética até aqueles que vivem à margem da legalidade e dos padrões de conduta existentes na sociedade, relações de confiança são uma meta. Mesmo quando vivemos sob a égide “trust, but verify”, ainda assim, é necessário confiar a alguém uma função, um dever, uma responsabilidade.

Nas relações comerciais e profissionais, para auxiliar no início e manutenção de contratos, parcerias, as pessoas naturais e jurídicas fazem uso de fontes públicas e privadas para verificar a “vida pregressa” de potenciais clientes, parceiros e também funcionários nas relações trabalhistas.

Mas o que é importante filtrar? Levar em consideração? Existem riscos nesta atividade? Este artigo busca explorar de forma preponderante o segmento das instituições sujeitas à Lei 9.613/98[1], mas serve para todas as entidades que conduzam algum tipo de checagem (background-check ou “BGC”) sobre terceiros.

Primeiro, é importante definir o escopo. A depender da estrutura e da divisão da sua instituição, pode ser necessário separar o foco das pesquisas em questões criminais, onde aspectos reputacionais ficariam de lado. Exemplo: uma área de PLDFT ou Anti-Fraude não necessariamente terá um entregável quando o seu filtro de pesquisas contemplar multas administrativas por questões ambientais, falhas em segurança do trabalho, questões de ordem sócio-ambiental.

“Mas Danilo, essa é a sua visão?” Em um mundo ideal, não. O exemplo acima serve para o caso de uma instituição com distribuição de atribuições fixas, o que é compreensível, se estivermos falando de uma grande instituição financeira ou empresa listada em bolsa, onde provavelmente haverá áreas segregadas de gestão de risco, logo, cabendo à área de risco de crédito, ou demais áreas com acesso à Alta Administração a análise de questões sócio-ambientais. Estas, por sinal, extremamente importantes no momento atual (ESG). Contudo, havendo possibilidade, sou um eterno defensor da visão holística. Aliás, um desastre ambiental poderia, por exemplo, estar ocorrendo porque alguém pagou propina para liberar um relatório de impacto, não? Percebam o quão importante é ter uma visão estratégica do risco relacionado.

No final do dia, toda entidade busca gerir de maneira eficiente os riscos aos quais está sujeita. Seguindo este modelo, quanto mais integrada a informação levada para quem tomas as decisões, melhor. Idealmente, embora sabedores de que “o bom é inimigo do ótimo”, um fórum para a tomada de decisões sobre iniciar ou continuar um relacionamento com um cliente, fornecedor ou parceiro, deve ser capaz de avaliar todas as implicações – crimes financeiros e questões reputacionais – pois também são sensíveis. Em tempos de preocupação com a inclusão e diversidade, poder identificar previamente parceiros, clientes, colaboradores que não violem padrões de respeito e dignidade é crucial.

Resumindo, a definição do escopo é a base para tratar os resultados de forma eficiente. O tempo é um amigo que pode se tornar inimigo na análise de notícias negativas – “o cliente quer abrir a conta”, “este fornecedor precisa estar onboarded até o fim desta semana”, “o gestor ligou perguntando se já analisamos o perfil daquele candidato à vaga…”. Quanto mais claro o que se busca constatar em um filtro de pesquisa, melhor.

Segundo passo, procedimento. Delineado o escopo, é importante ter um procedimento prévio e escrito com os critérios de definições de ação e respectivos entregáveis. Exemplos de pontos a contemplar:

1. Quais as fontes utilizadas (google, tribunais, sites governamentais, relatórios privados, fornecedores);

2. O que é sensível e deve ser reportado versus o que pode ser documentado?;

> natureza da implicação – citação, crítica de blogs politizados, eventos judiciais[1]

> quem está implicado – é a pessoa objeto de pesquisa ou uma pessoa relacionada? Empresa, parceiro, procurador, parente, PEP[2]?

> confirmado ser um match?

> status – qual o último desdobramento verificado?

3. Gatilhos de reporte – assegurado que está contemplado no procedimento escrito, pode-se elencar situações onde não será necessário escalar o resultado, bastando a sua documentação no arquivo da pessoa objeto de pesquisa, como por exemplo, quando se confirma ser um homônimo. Nos casos de reporte, quem é(são) as pessoas que devem analisar e tomar decisão?

4. Transparência – quando e como, podemos e/ou devemos interagir com o cliente[3], seus representantes, com o fornecedor, com o candidato/funcionário (este caso aqui, extremamente sensível, aguardem um artigo inteiramente dedicado… risco de discriminação, vazamento de dados…)

Terceiro passo, a resposta ao risco. Na sequência da ação 3 acima, a tomada de decisão deve envolver uma alçada superior e/ou divergente daquela que conduz as pesquisas. Preferencialmente, da primeira linha de defesa, (área de negócio) ou área gestora do processo (e.g. RH e gestor responsável pela contratação). Por ser estratégica, esta parte do processo deve estar alinhada com o apetite de risco devidamente estruturado e verificável na avaliação baseada em risco conduzida pela instituição.

Não podemos deixar de destacar também casos onde não cabe a avaliação baseada em risco, dada a severidade da questão: a Lei 13.810/19[4] determina a sanção (indisponibilidade) decorrente de sanções do Conselho de Segurança das Nações Unidas e temos exemplos expressos em normas locais[5], bem como reiterados feedbacks dos reguladores, que deixam claro não haver espaço para a condução das etapas acima, pois a ação tem que ser imediata. Percebam a importância de ter boas ferramentas de screening, pois constatada uma pessoa ou entidade, pouco importará, por exemplo, o status da sua implicação, mas sim sua condição de pessoa sancionada.

Por mais que a checagem de notícias negativas traga um inegável peso operacional, ela é uma das principais estratégias de um programa de Compliance, principalmente os de PLDFT[6]. Esta medida, velha conhecida dos profissionais no mercado financeiro e mais recentemente em expansão para outros setores da economia, protege a instituição de agentes maliciosos e demonstra solidez nos seus sistemas de controles internos perante reguladores e stakeholders.

Concluo retomando o título, o escopo dos seus procedimentos de checagem depende. O que você quer “atacar”? Use e abuse do conhecimento da sua área de Compliance ou procure um especialista 😉.

Faz sentido? Curta, Comente, compartilhe.

Saudações e sucesso sempre.

---

[1] Importantíssimo critério – o objeto de pesquisa está sendo investigado? Foi indiciado? Sentenciado? Condenado? Fechou delação ou leniência?

[2] Pessoa Politicamente Exposta.

[3]  Art. 11. As pessoas referidas no art. 9º: […]

II – deverão comunicar ao Coaf, abstendo-se de dar ciência de tal ato a qualquer pessoa, inclusive àquela à qual se refira a informação, no prazo de 24 (vinte e quatro) horas, a proposta ou realização: [..] (Grifei).

[4] https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13810.htm

[5] Art. 27, § 5º, ICVM 617: O cumprimento das obrigações de que trata o Capítulo VII não devem se submeter aos parâmetros da abordagem baseada em risco de LDFT.

[6] Prevenção à Lavagem de Dinheiro e ao financiamento do terrorismo.

Imagem de Pixabay.

Em tempos onde a regulamentação de atividades nos mais variados segmentos da sociedade (novas normas de PLDFT[1], nova lei de licitações[2], LGPD[3]) ganha mais força, fica cada vez mais claro um norte para todas as disposições técnicas: se estas não se traduzirem em cultura, não terá efeito. No final do dia, resta a conduta.

Para ilustrar este mindset, contarei uma história do meu início de carreira lá atrás. Uma das minhas tarefas, à época como analista de compliance e controles internos, era de conduzir o famoso processo de “mesa limpa”. Para aqueles(as) não familiarizados(as), trata-se de um procedimento de checagem sobre as estações de trabalho de colaboradores para identificar informações (material nonpublic information) desprotegidas e, em consequência, em desacordo com a política e os procedimentos de segurança da informação da instituição. Os possíveis exemplos clássicos de “escorregadas” são as gavetas abertas com contratos, drafts de prospectos de ofertas públicas, políticas internas, bem como até o “post-it” colado na tela do computador com um nome e telefone de um cliente (by the way, isso é um exemplo de vulnerabilidade no tratamento de dados pessoais hein 🙊 , olhem como está atual a temática…) ou a senha de acesso ao computador.

Com a compreensível maturidade de quem está iniciando na carreira, eu me perguntava: “uai, mesmo se a pessoa trancar a gaveta, não colocar nenhum post-it, ainda assim, ela pode mandar um e-mail, faltar com a discrição esperada numa conversa de bar ou elevador e falar assuntos proibidos, até passar sua senha pessoal para outra pessoa” (vocês acreditam que este tipo de coisa acontece na sociedade? 🤭).

Certamente tudo isso pode e sempre poderá ocorrer, mas é aqui que mora o divisor de águas na importância de um programa voltado para a integridade: o impacto na cultura organizacional.

Pensemos a partir de um exemplo do dia-a-dia, para depois voltarmos ao caso ilustrativo anterior. Quando estamos dirigindo na rodovia e vemos uma placa de velocidade máxima de 120Km/h e, mais à frente, um painel eletrônico com a mensagem “respeite a velocidade, salve vidas”, tais medidas obviamente não eliminam o risco de acidentes fatais. Inclusive, podem ocorrer acidentes a 80Km/h, bem como podem não ocorrer acidentes a 150km/h (por mais reprovável que seja a violação à regra).

Mas as diligências de sinalização buscam dois impactos. Primeiro, a reflexão, no ser humano de mínimo/médio discernimento, sobre a importância de proteger a si mesmo(a) e aqueles(as) que ama; e segundo, a ciência de que infrações, trazem consequências, “depois não reclame e assuma a responsabilidade”. Esta máxima também tem aplicabilidade na questão da conduta.

Voltemos para o exemplo do mesa limpa. Quando todos tem consciência da existência efetiva de controles de segurança da informação, as pessoas tendem a ter ações em diferentes etapas do seu dia que condizem, direta ou indiretamente, com o cuidado requerido. Explico: quem nunca, eu me incluo neste grupo, após um “puxãozinho de orelha” do mesa limpa, antes de deixar o trabalho pensou “opa, deixa eu trancar aqui senão o pessoal do mesa limpa vai vir na minha orelha”, ou mesmo “deixa eu ler direitinho o endereço de e-mail para não vasar erroneamente uma informação para quem não deve”? Até mesmo em outras situações que não tenham uma regra prévia que a contemple, como “acabei de enviar um documento na impressora do outro andar, neste intervalo alguém não autorizado, não consegue ver a informação? Vou perguntar ao time de Compliance / Seg Info…”

Percebam que a mensagem e/ou controles efetivos, permaneceu na mente de quem tem consciência e maturidade e, por vezes, até aflora outras reflexões de segurança. E você leitor(a), pode se perguntar, mas e as pessoas que simplesmente não se importam?

Pois bem.

A importância das políticas, procedimentos e controles, com grande destaque para a sua disseminação (e.g. treinamentos, educação em “pílulas” nos painéis eletrônicos e/ou mural de parede , jornadas educativas num contexto descontraído de semana, jornada, jogos e gincana) nas empresas reside em:

1. provocação sadia da reflexão no stakeholder (todos, da Alta Administração aos funcionários, fornecedores, comunidade impactada) sobre o agir corretamente, pois quando eu não me importo com a regra – que tenha sentido – eu não faço a coisa certa;
2. responsabilização (taking responsibility).

O item 2 esclarece a pergunta sobre as pessoas que não se importam – sim elas existem. Para o próprio resguardo da instituição, da alta administração, do Chief Compliance Officer, do(a) encarregado(a) pelo respectivo departamento, é importante evidenciar a existência de uma cultura organizacional, de um programa de Compliance eficiente, de modo que fique claro ao regulador, às autoridades, enfim, a qualquer questionamento e/ou auditoria, de que tudo que está ao alcance da liderança foi e é feito e, por vezes, um pessoa (ou grupo de pessoas) pode violar os valores éticos da instituição, mesmo com todos os controles possíveis in place.

E isso vale para todos os modelos de programa de Compliance exemplificados no início deste artigo, da prevenção à lavagem de dinheiro à proteção de dados.

Deixemos a mensagem clara nas suas devidas proporções: não é um evento isolado de gaveta aberta que deve prever uma sanção, mas sim a importância da respectiva orientação. Situações reiteradas que apontem para uma desconsideração deliberada pelas regras da empresa são efetivamente os exemplos que requerem uma ação com base nos critérios do código de conduta, pois a pessoa ou grupo de pessoas pode(m) não estar alinhada(as) com a missão e os valores da empresa.

No final do dia, com o perdão da reiteração, o que vale é o compromisso mútuo, a conduta. A conduta por parte da instituição em manter um programa efetivo, coerente[4] e a conduta por parte dos colaboradores, que devem compreender o que a instituição busca, ter voz ativa para se expressar e proteger a “segunda casa” de toda pessoa com o sentimento de pertencimento.

Faz sentido? Se sim, curta, comente, compartilhe.

Saudações e sucesso sempre 🤓.

---

[1] Prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

[2] Lei 14.133/21 – Lei de Licitações e Contratos Administrativos.

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14133.htm

[3] Lei 13.709/18 – Lei Geral de Proteção de Dados Pessoais

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

[4] Daí a importância do top-down da Alta Administração.

Imagem de Pixabay.

A Lei 13.709/18[1], Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece requisitos para o tratamento de dados pessoais (DPs) aos controladores responsáveis perante a referida lei. Tais requisitos recebem a denominação de bases legais de tratamento, as quais devem sustentar o tratamento de DPs, seguindo sempre os princípios elencados no seu artigo 6º. Este artigo oferecerá minhas impressões sobre esta modalidade de tratamento frente às disposições da LGPD e antecipo aqui minha opinião: desde que utilizado em conformidade com a lei e colocando o titular de DPs no centro da gestão de privacidade, o legítimo interesse é “do bem”, não “vilão”.

A primeira premissa digna de destaque é a ausência de hierarquia entre bases legais. A definição da finalidade de tratamento, embora uma prerrogativa do controlador, tem que ser sustentada pelos princípios de tratamento de DPs, com foco na proteção do titular de dados. Vale dizer, o legítimo interesse dever ser a melhor opção do ponto de vista (i) do ideal enquadramento e (ii) da situação de equilíbrio dos interesses do controlador e da manutenção das garantias dos titulares de dados. Trata-se de uma escolha fundamentada e objetiva, não um teste de sorte para conseguir atingir objetivos comerciais de publicidade e/ou monitoramento de comportamento.

A LGPD inaugura o legítimo interesse em seu art. 7º, inciso IX:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

[…]

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou […]

O dispositivo acima condiciona a possibilidade de utilização do legítimo interesse pelo controlador somente quando o seu interesse não ofenda os direitos e garantias fundamentais do titular de dados. Neste sentido, quando o tratamento de dados pessoais com base no legítimo interesse for desproporcional às expectativas de salvaguarda dos direitos fundamentais do titular de dados, esta base legal não deve ser o fundamento escolhido. Ainda, nos parece que o legislador buscou na verdade reforçar o compromisso com o titular de dados em situações que não contemplem o seu consentimento, pois entende-se que os direitos e garantias deste devem ser sempre priorizados em todas as demais bases legais.

Diante disso, como equilibrar esta questão e fundamentar corretamente o legítimo interesse? Iniciando esta reflexão de maneira simples, pode-se constatar como legítimo o tratamento quando há uma expectativa aceitável pelo titular de que seus dados pessoais estão sendo coletados pelo controlador. O exercício prático consistiria no seguinte: “o titular ficaria surpreso, indignado, desconfortável ao saber que dados a, b, e c foram coletados e estão sendo tratados sem o seu consentimento? Ou é esperado que, por exemplo, eu (controlador), colete e-mail, nome e número de telefone para oferecer um produto ou serviço?”

Reforçando o que já entendemos ser intrínseco ao tratamento de dados pessoais, conforme os princípios listados no artigo 6, o artigo 10 prescreve:

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Com estes comandos, o controlador deve dispensar ainda mais atenção aos fundamentos – e à respectiva documentação no seu sistema de gestão de proteção de dados – que sustentarão o tratamento de DPs com base no seu legítimo interesse. Um verdadeiro checklist objetivo deve ser elaborado com questões-chave como:

1. O tratamento é legítimo e não fere os direitos do titular frente às minhas necessidades comerciais/institucionais?
2. É uma expectativa de que seja esperado por parte do titular que eu trate tais dados? Neste momento, vale a pena fazer uso de indicadores históricos, nos casos de programas em andamento, para avaliar o nível de aceitação / expectativa, como por exemplo, números de oposição e interações realizadas com titulares de dados em dado período.
3. São estritamente necessários os dados coletados? Com o perdão da repetição, percebam aqui que isso vale para todas as bases legais, ou seja, ousamos dizer que há um reforço de que tem que ser muito bem fundamentada a necessidade de tratamento com base no legítimo interesse.
4. Nossa política de privacidade deixa claro e transparente ao titular de que (i) nos importamos com a segurança de seus dados, bem como seus interesses e (ii) ele(a) pode se opor? Transparência.

Última questão e não menos importante, por isso retirada deliberadamente da lista para ser explorada com a atenção merecida. A avaliação (relatório) de impacto à proteção de dados pessoais (AIPD).

Embora tratada como uma possibilidade no §3º artigo 10, corro o risco de afirmar ser um consenso entre os profissionais – desde os segmentos de tecnologia até o jurídico – de que para chegar à conclusão de que um dado tratamento não daria gatilho a uma AIPD, deve-se, por excelência, conduzir uma avaliação sobre o risco para os titulares de dados, sendo no mínimo, baixo, médio ou alto. Ora, chegamos ao dilema existencial da galinha ou do ovo, não? Para poder determinar que um tratamento é de baixo risco e não precisa de uma avaliação de impacto, é primordial avaliar este impacto.

Em outras palavras, é altamente recomendável que seja realizada uma avaliação de impacto sobre os dados pessoais dos titulares anteriormente ao tratamento.

Vamos além, se todas as ações em um sistema de gestão da proteção de dados devem colocar a privacidade em evidência desde a implementação e também por toda a vida útil dos dados na instituição, não menos diligente – ou ainda mais diligente – deve ser o tratamento de dados pessoais com base no legítimo interesse.

Em conclusão, espero ter compartilhado um panorama otimista para os controladores à luz da LGPD, pois as legislações local e internacional reconhecem o desenvolvimento econômico e a possibilidade de pessoas físicas e jurídicas fomentarem suas atividades comerciais. Não é proibido, nem temerário coletar dados pessoais, desde que os direitos e garantias fundamentais dos titulares sejam respeitados. Embora seja sensível e objeto de diligências mais aprofundadas (situações concretas e claramente documentadas na AIPD), a base legal do legítimo interesse do controlador é uma estratégia, não uma cilada.

Faz sentido? Opine, compartilhe.

Saudações e sucesso.

---

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Imagem de Pixabay.

Todas as pessoas familiarizadas com o mercado financeiro ou mesmo aquelas que tem uma noção básica de economia sabem da importância de um país atrair investimentos externos para a sua economia. Com isso, medidas para facilitar a entrada de investidores não residentes (INRs) são sempre bem-vindas.

Sabidamente, a comissão de valores mobiliários (CVM) traz na instrução CVM 617/19[1] em seu anexo 11-B as permissões e requisitos para utilização do modelo de cadastro simplificado de modo a auxiliar os participantes locais (pessoas sujeitas a esta instrução, conforme o seu artigo 3º) a facilitar o investimento por parte de INRs no mercado de valores mobiliários.

Serão explorados neste artigo os cuidados importantes a tomar com o objetivo de não colocar a sua instituição local (e.g. corretora, custodiante) em exposição regulatória e utilizar este importantíssimo modelo de atuação entre participantes locais e estrangeiros.

Começando de maneira simples, o cadastro simplificado é um modelo de cadastro de clientes INR onde se faculta[2] ao participante local a celebração de um contrato com instituição estrangeira sujeita às normas equivalentes de PLDFT[3] em seu país de origem para que o processo integral de cadastro e KYC realizado “lá fora” permita que o processo “aqui no Brasil” seja simplificado no sentido de coleta de um menor rol de informações e respectivos mecanismos de validação. Pontos importantes: (i) o quanto – rol de informações – será feito aqui, bem como o quão confortável sua instituição local estará com o modelo lá fora, deve ser sustentado pela sua avaliação baseada em risco de PLDFT; (ii) não se confunda o contrato mencionado acima com o contrato (relação jurídica) do INR com a sua instituição local, pois o seu cliente é o INR final[4].

Introduzida a noção inicial, passemos para o primeiro passo da implementação do modelo. É crucial que o intermediário local conduza uma avaliação da maturidade dos controles de PLDFT da instituição estrangeira e do ambiente normativo ao qual ela e, quando possível mensurar, os seus clientes se sujeitam. Estas condições consistem em comandos expressos da regulação, pois esses dois pontos (controles de PLDFT e cenário normativo do país de origem) devem ser capazes de satisfazer os requerimentos de PLDFT aplicados em um modelo padrão de políticas, procedimentos e controles internos de PLDFT. A maneira ideal de colher estes insumos é uma Due Diligence na instituição financeira com foco nos controles de PLDFT.

Formado o entendimento de que a entidade estrangeira tem um modelo robusto e aplica as regras de PLDFT do seu país de origem, sendo capaz de fornecer os insumos necessários para o “Oversight” do participante local, o contrato de Reliance Agreement – por vezes, também chamado de Service Level Agreement quando as empresas pertencem a um mesmo conglomerado – pode ser celebrado. Devem ser cumpridos os requisitos do art. 2º do Anexo 11-B da ICVM 617, com destaque para a obrigação da instituição estrangeira “apresentar, sempre que solicitadas, todas as informações relativas ao investidor decorrentes do processo de sua identificação”[5]. Válido ressaltar também que o contrato de cadastro simplificado deve ser aprovado pela CVM previamente ao início da sua vigência.

Pois bem. Chegado o momento de por a máquina para andar, o que deve ser feito em um programa de PLDFT quanto ao cadastro simplificado? Aplicam-se todos os pilares? Apenas KYC e Cadastro? Por certo que não[6]. Conforme a abordagem feita acima, se a Due Diligence revelou que a instituição financeira tem processos de PLDFT equivalentes, agora o momento é de estabelecer uma governança de cadastro simplificado, isto é, um canal de comunicação contínuo entre o participante local e a instituição financeira.

Embora sempre tenha sido a expectativa do regulador[7], a ICVM 617/19 e a orientação ao mercado da BSM – Supervisão de Mercados deixam ainda mais claro que o modelo de reliance agreement nunca foi uma “literal confiança de que a instituição estrangeira conduzirá os controles de PLDFT e quando formos solicitados, daí eles tem que apresentar”. Este mindset perdurou erroneamente na mente de muitos profissionais do mundo de PLDFT em Markets ao longo dos anos e felizmente as novas disposições das normas e guias, resultados de uma louvável sinergia estabelecida entre regulador e regulados, desmistificam qualquer pensamento naquele sentido.

Assim, é vital para um sólido modelo de cadastro simplificado que sejam estabelecidas “frentes” no âmbito operacional, bem como no estratégico.

No âmbito operacional, a partir do momento em que uma transação é realizada permitindo a identificação interna do seu cliente INR, deve-se verificar informações mínimas, quais sejam: (i) qualificação do INR, (ii) validade do seu KYC/Cadastro contemplando a categoria de risco e, sem prejuízo das outras medidas estabelecidas sob o Risk Based Approach da avaliação interna de risco, (iii) identificação, no mínimo, do beneficiário final e da situação/capacidade financeira do INR. A partir daí, as respostas ao risco devem ser proporcionais e na medida do acesso à informação. Vale dizer, quanto maior a transparência e capacidade de diligenciar perante informações faltantes – a própria CVM e a BSM reconhecem que haverá situações excepcionais nas quais não será possível encontrar o beneficiário final – e para isso deve haver medidas de tratamento, como por exemplo, buscar informações em fontes públicas, interagir com o intermediário estrangeiro, colher justificativa para a falta de informação. Todos estes insumos sustentarão a decisão do membro sênior sobre a pertinência ou não de aprofundar um Case (investigação), submeter à diretoria de PLDFT para eventual comunicação ou documentar a ausência de suspeição de forma fundamentada. Importante: medidas como restringir ou encerrar o cadastro, bem como comunicar um INR à unidade de inteligência financeira (COAF) são a última instância, o último entregável deste caminho operacional, o que deve ser precedido de insumos suficientes. Em outras palavras, a simples ausência de informação não é, por si, um gatilho para medidas restritivas ou comunicação. Daí a importância de uma política clara e criteriosa no que compete à avaliação baseada no risco de LDFT.

No plano estratégico, não diria somente que é importante, mas sim uma obrigação ter de forma contínua uma governança – específica, dentro da já existente governança de PLDFT – de acompanhamento do(s) contrato(os) de Reliance Agreement com as instituições financeiras estrangeiras. A ICVM 617/19 deixa claro que o participante local deve ter critérios para avaliar a solidez dos controles de PLDFT do intermediário estrangeiro e a Due Diligence citada no processo de realização do contrato não deve parar, deve ser periódica.

A depender do porte, natureza e complexidade das partes (participante local e intermediário estrangeiro) deve haver periodicidade na verificação da conformidade dos processos sob as perspectivas regulatórias locais e do país de origem. Exemplo: “e se houver uma mudança regulatória no país de origem que exclua um requisito equivalente na regulação brasileira que seja requisito mínimo sob a perspectiva local?” Percebam a importância de uma agenda normativa. Segundo exemplo: e se o INR que teve gatilhos de alerta no monitoramento local e, após questionamento do participante local para obter o KYC, descobre-se estar numa população de clientes do intermediário estrangeiro com cadastros desatualizados há mais de um ano? Aliado a isso, ainda foram constatadas notícias negativas. Percebam a importância de ações de Due Diligence periódicas para detectar eventuais deficiências no programa de PLDFT. Todas estas ações devem decorrer de uma visão estratégica sênior e de planejamento por parte do intermediário local. Vale dizer, idealmente, devem ser constatadas de plano e não no dia-a-dia, como no exemplo do monitoramento.

O modelo de cadastro simplificado é demasiado complexo para tentar resumi-lo, mas a mensagem que se buscou transmitir ao longo do presente artigo foi: o cadastro simplificado traz enorme ganho operacional na diligência resumida de informações cadastrais, mas o oversight, o monitoramento, a resposta ao risco e a documentação de todas estas medidas são requeridas na mesma medida de um modelo completo. A responsabilidade continua sendo das pessoas sujeitas ao artigo 3º da ICVM 617. Com um bom planejamento, organização, e CONSTANTE comunicação, o cadastro simplificado permitido pelo anexo 11-B da ICVM 617/19 é um ganho que deve prosperar no mercado de valores mobiliários e demonstra ser um incentivo – não um obstáculo – aos investidores estrangeiros que busquem operar com legitimidade e licitude em nosso país.

---

[1] http://conteudo.cvm.gov.br/export/sites/cvm/legislacao/instrucoes/anexos/600/inst617.pdf

[2] Lembrando que, a critério do participante local, sempre se pode utilizar o modelo padrão (full KYC / Cadastro).

[3] Prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

[4] Item 8, Anexo – Orientação ao Mercado BSM.

https://www.bsmsupervisao.com.br/Noticias/orientacoes-sobre-abordagem-baseada-em-risco-e-cadastro-simplificado-de-investidor-nao-residente-no-ambito-da-instrucao-CVM-61719

“A cadeia de relacionamento que se estabelece entre o Participante e os Clientes INR poderá ser composta por representantes destes (instituições, gestores, ou outras entidades), mas a relação jurídica de prestação de serviço de intermediação de valores mobiliários não se estabelecerá com tais representantes, e sim com o Cliente INR.”

[5] Art.1º, I, Anexo 11-B, ICVM 617/19.

[6] Art. 1º, § 4, Anexo 11-B, ICVM 617/19: § 4 § 4º Sem prejuízo das diligências previstas nos §§ 2º e 3º do art. 1º do Anexo 11-B, deve-se observar, no que couber, as demais obrigações previstas nos arts. 17, 18, 20, 21, 22, 27 e 28.

[7] Item 5 OC SIN SMI 03/18: “Tais diligências devem ser permanentemente conduzidas durante o relacionamento comercial do intermediário brasileiro com o investidor não residente, e independem de prévia demanda da CVM ou de órgão autorregulador para serem implementadas.”

http://conteudo.cvm.gov.br/export/sites/cvm/legislacao/oficios-circulares/smi-sin/anexos/oc-sin-smi-0318.pdf

Imagem de Pixabay.