MONITORAMENTO. Vícios e Virtudes.

O grande entregável de um programa de PLDFT é a sua efetividade no combate à lavagem de dinheiro e ao financiamento do terrorismo; sobre isso não há controvérsia. Contudo, no aspecto operacional não é incorreto afirmar que a grande saída de um procedimento de acompanhamento de operações ou situações é a comunicação[1] de uma atividade suspeita em virtude da sua atipicidade e/ou de sua suspeição à unidade de inteligência financeira[2]. Compartilharei neste artigo o que, na minha visão, são os maiores vícios e virtudes de um pilar de monitoramento de transações.

Inicialmente, cumpre esclarecer o caráter de acompanhamento sobre operações e situações suspeitas.

Por que acompanhamento? Conforme podemos depreender das principais[3] normas de PLDFT no sistema financeiro nacional, o pilar de monitoramento não abrange somente o aspecto transacional, mas sim o acompanhamento de outras situações (inclusive a tentativa), como por exemplo, o pilar de cadastro de clientes (e.g. “resistência ao fornecimento de informações necessárias para o início de relacionamento ou para a atualização cadastral”[4]).

Vale dizer, o pilar de monitoramento pode ter dois principais sentidos. Primeiro, o monitoramento no sentido estrito de acompanhamento sistêmico: uma data-base com parâmetros previamente estabelecidos de forma a gerar alertas para análise através de uma interface disponível ao usuário. Segundo, no aspecto procedimental, onde o acompanhamento se faz através de ações e/ou interações, buscando identificar tipologias de comportamento (resistência, burla, ocultação) ou de natureza (capacidade financeira, PEP, ocupação profissional, região com deficiências em PLDFT, atividades de alto risco, dentre outros aspectos). Importante destacar que estes aspectos se relacionam e se complementam.

Com isso, passemos aos pontos.

VISÃO INTEGRADA

O seu pilar de monitoramento de transações deve proporcionar à pessoa que analisa transações todas as informações necessárias para a análise dos alertas, para a busca de informações complementares de KYC e cadastro, para a identificação da pessoa responsável pelo cliente, para o acesso ao histórico amplo de movimentações e dos demais produtos e serviços oferecidos ao cliente na instituição.

Virtude: ter um sistema de monitoramento 100% integrado com os sistemas transacionais legados e com a sua plataforma de KYC[5]/Cadastro. Determinadas informações devem estar disponíveis no ato da análise, como por exemplo, a qualificação do cliente, sua categoria de risco, bem como uma visão holística dos produtos – não apenas do que alertou no seu sistema – operados.

Vício: ressalvados os casos onde o porte e a complexidade da sua instituição não permitem este modelo, se o seu sistema de monitoramento tem apenas uma visão do específico alerta gerado, onde para buscar informações sobre o tipo de cliente e/ou detalhes da operação (por exemplo, o beneficiário final de uma transferência), seu time necessita acessar outros sistemas ou mesmo solicitar extração de relatórios para outros times, é altamente provável que (1) o seu tempo de análise seja prejudicado, logo a eficiência do seu procedimento também e (2) o risco operacional de falhas no procedimento tenha a sua materialização potencializada.

INTEGRIDADE E DISPONIBILIDADE

Para poder conduzir o pilar, precisamos de disponibilidade das informações, isto é, uma base de operações (sistemas transacionais) e informações de cadastro (KYC + Cadastro) com processo contínuo e consistente pelas áreas gestoras de tais sistemas. Percebemos aqui a grande dependência “sofrida” pelo monitoramento de transações do pilar de registro de transações, o qual é comando expresso de toda norma de PLDFT. Este comando não tem apenas o condão de assegurar o acesso aos reguladores das informações gerenciadas pelas instituições, mas também serve à entidade na reflexão destes registros como base para o escopo do monitoramento. Aquilo que é disponível, precisar ser inteiro, ou seja, não apenas a existência, mas a totalidade das informações – que serão escolhidas no escopo do que se deve monitorar – deve auxiliar o seu procedimento.

Virtude: ter um processo sólido e tempestivo (real time/diário/semanal a depender do volume de dados) de reconciliação das operações que fluem para a sua plataforma de monitoramento. Idealmente, este processo deve ser específico e liderado pelas áreas operacionais, em vez da área de PLDFT, por serem aquelas as gestoras do processo (primeira linha).

Vício: esse processo é muito importante, pois a ausência de planejamento e oversight não são perdoáveis. Não deixe para verificar como anda o processo de integridade das informações transacionais e cadastrais quando a auditoria e ou regulador em campo “baterem na sua porta”. Ao agir assim, surpresas desagradáveis são quase uma promessa do destino (🤣 temos aqui um ar de novela mexicana). A brincadeira, na verdade, revela a seriedade do impacto: imaginem descobrir em auditoria que mais de 50% de determinados dados relevantes para a condução do seu pilar estão faltando? O impacto operacional pode custar a efetividade do seu programa inteiro de PLDFT.

Adicionalmente, perante o regulador a sua entidade é uma só, havendo pouca – ou nenhuma – relevância no argumento de que este problema não foi ocasionado pela gestão da sua área como segunda linha. O programa de PLDFT é da organização inteira.

COERÊNCIA E PRATICIDADE

Assumindo que toda a sua estrutura anda bem e os pontos anteriores não são um problema, temos todas as informações, a máquina está rodando perfeitamente. Ou seja, o aspecto de ferramentas e sistemas não é um obstáculo, restando o âmbito procedimental. Este, em nenhuma instância, se faz menos importante. Aliás, se torna mais sensível, dado o caráter subjetivo das avaliações que norteiam as suas atividades.

Virtude: a avaliação baseada em risco (ou avaliação interna de risco) terá papel fundamental na determinação dos graus de risco dos clientes, produtos, serviços, canais e demais componentes objeto de análise. Aos componentes de alto risco, daremos maior ou mais aprofundada ação; aos de menor risco, ações mais simplificadas. No monitoramento de transações, de forma geral e exemplificativa, isso pode resultar em maior nível de informações-suporte à análise e documentação de alertas, maiores alçadas, bem como menores (mais restritos) limites operacionais e/ou periodicidade de revisão. Estes são exemplos que devem respeitar o porte, a complexidade e a natureza da instituição, mais uma vez, respaldados pelo Risk-Based Approach.  

Embora a missão apresentada acima seja complexa e trabalhosa, é importante ter praticidade nas ações. As normas de PLDFT contemplam o esperado em termos de avaliação baseada em risco e as suas respectivas diligências. Vale dizer, quem está diariamente no ramo e interage com os reguladores sabe o que deve e não deve constar do escopo de monitoramento.

Vício: da mesma forma que não deve faltar informação no pilar de monitoramento, não deve haver ações, etapas, parâmetros que extrapolem a necessidade. Por exemplo: se o seu sistema de KYC/Cadastro já tem um sistema diário de screening contemplando todas[6] as ocorrências esperadas pelo regulador, logo é dispensável – a não ser que a discricionariedade do analista/supervisor requeira uma pesquisa adicional – realizar nova pesquisa de background-check como requisito para todo alerta gerado. 

Virtude: outro ponto importante é a ação estratégica, sênior. Seja na alçada à diretoria sobre uma recomendação de comunicação de atividade suspeita ou no feito-conferido submetido a uma supervisão, uma ação coerente com os riscos relacionados é esperada em benefício da tempestividade. Na minha experiência, sempre afirmei que aquilo que é geralmente suspeito e/ou atípico o é – ou não é – no início ou logo após. Explico: poucas vezes presenciei uma situação objeto de investigação que teve a sua suspeição crescendo ao longo do tempo. O que aumenta é o número de insumos coletados pela área investigadora, a atividade suspeita – mais uma vez, em geral – é um modo de atuação cíclico. Logo, um case submetido para um supervisor ou a proposta de comunicação ao COAF devem estar de tal forma maduros (com todas as informações possíveis obtidas) que – idealmente – apenas o OK para encerrar o alerta ou o OK para prosseguir com a comunicação sejam o próximo entregável.

Outro vício clássico: no que compete ao que entra no escopo de monitoramento, a regra é clara. Não se pode cortar população, produtos e operações. O Risk-Based Approach em grandes instituições serve para determinar o mínimo e o máximo, mas não a ausência (guardem este mantra na memória). Também em linha com a visão integrada acima, não aceitem um modelo onde a sua instituição não consiga – de forma sistêmica e majoritária[7] – identificar o beneficiário final das operações: o princípio maior de qualquer doutrina / melhores práticas no mundo de PLDFT é o follow the money.

Respeitando quem pensa de forma diversa, de onde vem e para onde vai deveria ser o primeiro parâmetro de monitoramento de qualquer entidade. Para sustentar este Mindset, corretamente, as normas dão grande importância à necessidade de identificar operações de ou para regiões de risco, fronteira, países com deficiência, PEPs, dentre outras tipologias, oferecendo aqui grande destaque para as situações listadas na Carta-Circular BCB 4.001/20.

Missão: foco no resultado alcançável, tempestivo e certeiro – não nos rendamos à burocracia irracional. Processos existem para servir a instituição e não o contrário.

Ressalvadas as especificidades de cada casa, geralmente um alerta nasce como um outlier objetivo, isto é, algo que saiu da fila comum, mas não necessariamente já será flagrante, como por exemplo, o cliente “Danilo Pereira Wanderley que estava operando média de 100, mas no mês base operou 180 em virtude de bônus de participação anualmente pagos nesta época igual ao alerta do ano passado“. Este é um exemplo que pode – desde que devidamente documentado e referenciado – ser fechado. Por vezes, perde-se tempo em pesquisas adicionais para fundamentar aquilo que é claro, utilizando o exemplo acima: se as informações estão no sistema, não é razoável exigir que o alerta (ou um pdf cópia) do ano passado seja anexado ao alerta ora analisado, pois o perfil de monitoramento do cliente tem todos os alertas, correto? Ou, em outro exemplo, um caso de hit PEP para subsidiárias de uma empresa com PEP controlador já identificado e mitigado (aprovações, monitoramento especial, etc.) deve-se aproveitar ao máximo o que já foi feito, devendo rechaçar ações repetitivas (e.g. uma aprovação nova, com um dossiê separado para cada subsidiária que apresenta exatamente o mesmo nível de governança, atividades econômicas e produtos recebidos).

Existem muito mais pontos que poderíamos abordar aqui, mas questões de tipologia (exemplos de operações e situações suspeitas e/ou atípicas que necessitam de ações por parte das pessoas sujeitas à Lei 9.613/98) merecem um artigo inteiro que virá no futuro.

Por enquanto, espero ter compartilhado questões com as quais você e sua instituição se identifiquem.

Curtiu? Tem outro ponto importante? Comente, curta, compartilhe.

Dúvidas, entre em contato. Saudações e sucesso sempre.

Imagem de Pixabay.

[1] Por vezes, a Instituição também pode decidir por encerrar o relacionamento comercial. Isso dependerá da natureza da suspeição/atipicidade aliada ao apetite de risco transacional e reputacional da entidade.

[2] https://www.gov.br/coaf/pt-br

[3] Circular BCB 3.978/20, Instrução CVM 617/19, Circular Susep 612/20 e Resolução COAF 36).

[4] Art. 1º, III, a – Carta-Circular BCB 4001/20.

[5] Know Your Customer.

[6] Exemplos: Pessoa Exposta Politicamente, Neg News, Pessoas Sancionadas, Socioambiental.

[7] Em casos excepcionalíssimos, a regulação prevê situações de exceção, para as quais, a correspondente diligência deve ser aplicada.