Login
Ajuda
Seja verificadoDiretrizes de Prevenção à Lavagem de Dinheiro: Requisitos, Riscos e Melhores Práticas
Uma estrutura eficaz de prevenção à lavagem de dinheiro é essencial para prevenir, detectar e reportar atividades financeiras ilícitas. À medida que instituições financeiras e outras entidades reguladas operam em um ambiente cada vez mais digital e transfronteiriço, as expectativas regulatórias continuam a evoluir. Esses requisitos e obrigações regulatórios são traduzidos em controles institucionais práticos principalmente por meio de diretrizes de PLD. Elas traduzem políticas de PLD em procedimentos operacionais padrão (SOPs), instruções de trabalho e pontos de verificação de controle que garantem que os controles de PLD sejam aplicados de forma consistente em atividades de onboarding, monitoramento, investigação e reporte.
Este artigo apresenta as dez principais melhores práticas para projetar e manter uma estrutura de PLD eficaz. Ele se concentra em como as instituições podem traduzir requisitos regulatórios em controles operacionais, conduzir monitoramento baseado em risco, fortalecer a governança e manter documentação preparada para auditoria. Essas práticas estão alinhadas com os padrões do Grupo de Ação Financeira (GAFI), que enfatizam controles proporcionais com base na exposição ao risco.
Resumo das dez principais melhores práticas para construir uma estrutura de prevenção à lavagem de dinheiro
| Melhor prática | Descrição |
|---|---|
| Traduzir diretrizes de PLD em controles operacionais exigíveis | Converter diretrizes ou requisitos regulatórios e de política em processos de sistema, incluindo validações e pontos de verificação de aprovação, que sejam aplicados de forma consistente. |
| Implementar uma arquitetura coesa e baseada em risco | Estabelecer uma estrutura de risco unificada que conduza a pontuação de risco do cliente, o direcionamento de due diligence do cliente (CDD) e due diligence aprimorada (EDD) e controles de ciclo de vida entre sistemas. |
| Projetar o monitoramento com base em risco, tipologias e avaliação de risco corporativa | Alinhar cenários e limites de monitoramento com a exposição ao risco da instituição e com tipologias reais de lavagem de dinheiro. |
| Estabelecer governança clara de PLD e responsabilidade por decisões | Definir responsabilidade, caminhos de escalonamento e autoridade de aprovação para garantir supervisão eficaz de PLD e tomada de decisão eficiente. |
| Detectar e verificar estruturas complexas de beneficiários finais | Implementar controles de onboarding e de due diligence periódica que identifiquem e verifiquem estruturas de propriedade em camadas e beneficiários finais últimos. |
| Separar claramente o monitoramento de transações e a triagem de sanções | Manter objetivos, fluxos de trabalho e processos de escalonamento distintos para atividades de monitoramento de transações e triagem de sanções. |
| Priorizar a qualidade dos alertas por meio de ajustes estruturados | Aprimorar continuamente limites e lógica de monitoramento para melhorar a relação sinal-ruído e a eficácia investigativa. |
| Padronizar os processos de decisão de investigação e reporte | Aplicar padrões analíticos consistentes e justificativas documentadas a investigações e decisões de reporte relacionadas a relatórios de atividade suspeita (SARs) ou relatórios de transação suspeita (STRs). |
| Preservar documentação e evidências preparadas para auditoria | Manter registros centralizados de verificação de identidade, ações investigativas, decisões de reporte e trilhas de auditoria. |
| Validar e melhorar continuamente a eficácia da PLD | Usar testes, revisões Above-the-Line (ATL) e Below-the-Line (BTL) e indicadores de desempenho para avaliar e fortalecer os controles de PLD ao longo do tempo. |
-
Obtenha uma visão abrangente dos seus usuários e atenda aos requisitos de prevenção à lavagem de dinheiro e de medidas antiterrorismo
-
Verifique em relação a milhares de sanções e listas de observação, incluindo OFAC, ONU, HMT, UE e DFAT
-
Analise uma base de dados com mais de 8 milhões de perfis de mídia adversa com atenção midiática negativa
Traduzir diretrizes de PLD em controles operacionais exigíveis
Diretrizes de PLD que existem apenas em documentos de política, mas não são traduzidas em controles operacionais, criam uma lacuna de conformidade. Políticas e expectativas regulatórias devem ser incorporadas em fluxos de trabalho de sistema, lógica de decisão e pontos de verificação de aprovação, e precisam ser aplicadas de forma consistente em toda a organização, em vez de depender apenas de interpretação manual.
Um exemplo é integrar o requisito de política de coletar informações sobre a origem dos recursos para clientes de alto risco como um campo imposto pelo sistema que não pode ser ignorado durante o onboarding. Da mesma forma, um requisito de realizar due diligence aprimorada (EDD) antes da abertura da conta precisa se tornar um ponto de verificação de aprovação no fluxo de trabalho de onboarding. Um desafio comum na prática é a implementação inconsistente desses controles entre sistemas ou unidades de negócio, levando a lacunas na execução dos controles.
Os processos de PLD devem ser apoiados por regras de sistema definidas e requisitos de aprovação que garantam que políticas e requisitos ou controles regulatórios sejam aplicados de forma consistente em todas as atividades operacionais. Isso é particularmente importante durante o onboarding de clientes e a due diligence contínua, em que a execução dos controles precisa ser padronizada e passível de auditoria. Por exemplo, sob a ótica dos controles de onboarding, os resultados da verificação de identidade — incluindo resultados de verificação, documentos de suporte e trilhas de auditoria — devem ser mantidos como evidência da execução do controle. Uma plataforma moderna de verificação de identidade pode apoiar esse processo ao fornecer resultados de verificação estruturados que podem ser mantidos como evidências preparadas para auditoria.
A imagem abaixo ilustra como expectativas regulatórias e políticas de PLD são traduzidas em procedimentos operacionais, controles de sistema e pontos de verificação de fluxos de trabalho com base no exemplo discutido acima. Ela destaca como diretrizes de PLD são operacionalizadas em controles exigíveis e auditáveis.
Da política de PLD ao controle operacional: fechando a lacuna de conformidade
Ao traduzir diretrizes de PLD em controles operacionais, as organizações precisam garantir que esses controles sejam guiados por uma estrutura bem definida e baseada em risco.
Implementar uma arquitetura coesa e baseada em risco
Uma estrutura coesa e baseada em risco, alinhada ao apetite de risco da organização, é essencial para um programa de PLD eficaz. Ela garante que avaliações de risco sejam aplicadas de forma consistente em processos de onboarding, monitoramento e due diligence contínua.
Na prática, avaliações de risco consideram fatores centrais de risco de PLD, como risco do cliente, risco do produto, risco geográfico e risco do canal. O status de PPE e os resultados de triagem de mídia adversa são insumos fundamentais para a classificação de risco do cliente, devem ser estendidos a partes relacionadas, se houver, e devem ser monitorados de forma contínua, com achados que disparem due diligence aprimorada, quando cabível. Modelos de risco também devem considerar sinais relevantes de onboarding, incluindo resultados de verificação de identidade e atributos do perfil do cliente, para apoiar uma estratificação de risco precisa. Quando as organizações enfrentam desafios para capturar e integrar de forma consistente dados de verificação entre sistemas, plataformas de verificação de identidade e proteção contra fraude podem fornecer resultados estruturados para apoiar decisões de onboarding, classificação de risco do cliente e auditabilidade por meio das evidências de verificação mantidas.
Como mostrado no gráfico abaixo, a classificação de risco do cliente deve orientar decisões consistentes de controle de PLD em processos de due diligence, monitoramento e revisões periódicas. Isso inclui determinar níveis de due diligence (SDD/CDD/EDD), definir limites de monitoramento, estabelecer a frequência das revisões e disparar revisões com base em mudanças em indicadores de risco.
Classificação de risco e seu impacto nas decisões de controle de PLD
Os resultados da classificação de risco devem determinar o nível de due diligence do cliente (simplificada, padrão ou aprimorada), limites de monitoramento, frequência de revisão e a necessidade de revisões baseadas em gatilhos. Eles devem ser aplicados de forma uniforme em todos os sistemas e revisados periodicamente em função de mudanças no comportamento do cliente, uso de produtos e outros indicadores de risco.
Uma fraqueza comum de programas de PLD é a aplicação de lógicas de risco inconsistentes em funções de onboarding, monitoramento e outras funções de conformidade. Espera-se que uma estrutura bem definida e baseada em risco apoie o desenho do monitoramento de transações para garantir alinhamento com a exposição ao risco da organização.
Projetar o monitoramento com base em risco, tipologias e avaliação de risco corporativa
A estrutura de monitoramento de transações deve estar alinhada aos resultados da avaliação de risco em nível corporativo (EWRA), que indicam quais segmentos de clientes, produtos, canais e geografias exigem cobertura de monitoramento priorizada, e precisa ser projetada para refletir a exposição real ao risco da organização. Ela deve se concentrar em detectar padrões de atividade suspeita com base em tipologias de lavagem de dinheiro e financiamento do terrorismo (ML/TF) e indicadores comportamentais.
Na prática, os cenários de monitoramento devem ser mapeados para identificar padrões transacionais associados às principais etapas da lavagem de dinheiro, ou seja, colocação, layering e integração. Tipologias conhecidas devem ser traduzidas em lógica de cenário e regras de monitoramento. Os cenários de monitoramento podem se concentrar em padrões como:
- Movimentação rápida de recursos (entradas e saídas) em contas recém-abertas sem propósito econômico claro.
- Atividade transacional incomumente elevada em contas inativas recentemente reativadas.
- Transações frequentes logo abaixo dos limites de reporte (padrões de fracionamento).
- Mudanças no comportamento transacional inconsistentes com a atividade histórica do cliente.
Incorporar essas tipologias no desenho dos cenários ajuda a garantir que o monitoramento esteja alinhado aos riscos de crimes financeiros em evolução.
As regras de monitoramento devem ser revisadas e calibradas periodicamente com base na evolução dos riscos e das tipologias. Confiar em cenários genéricos sem alinhamento com a exposição ao risco da organização frequentemente gera fadiga de alertas e aumenta o ônus operacional, podendo resultar em falhas na detecção de possíveis padrões de ML/TF. Além disso, a execução eficaz dos controles e do monitoramento de PLD precisa ser apoiada por uma governança robusta para garantir responsabilidade e tomada de decisões consistente.
Estabelecer governança clara de PLD e responsabilidade por decisões
Uma governança eficaz de PLD estabelece responsabilidade clara por decisões de conformidade e define a titularidade ao longo das etapas do fluxo de trabalho de PLD, incluindo tratamento de alertas, investigação de casos, escalonamento e reporte. Limites de escalonamento e hierarquias de aprovação devem ser claramente definidos para garantir que casos de maior risco sejam revisados nos níveis adequados dentro da função de conformidade. Por exemplo, um caso potencial de reporte de SAR ou decisões sobre um relacionamento com cliente PPE normalmente exigem aprovação de conformidade em nível sênior e justificativa documentada. Decisões tomadas em cada etapa do fluxo de trabalho de PLD devem ser registradas, incluindo o responsável pela decisão, carimbos de data e hora, justificativa das conclusões e a documentação considerada, o que cria uma trilha de auditoria confiável e defensável.
A execução operacional também deve ser separada da função de supervisão para garantir revisão independente. Por exemplo, enquanto analistas realizam revisões de alertas e investigações de casos, uma função de conformidade de segunda linha é normalmente responsável por revisões de garantia de qualidade, treinamento e conformidade com políticas. As organizações devem adotar o modelo das três linhas de defesa para definir claramente as funções:
- Primeira linha: Operações de negócios – Executa controles de PLD, incluindo monitoramento de transações e due diligence do cliente (CDD/EDD).
- Segunda linha: Conformidade e risco – Fornece supervisão por meio de garantia de qualidade, orientação de políticas e suporte consultivo.
- Terceira linha: Auditoria interna – Fornece auditoria e garantia independentes ao avaliar a eficácia dos controles de PLD.
As três linhas de defesa na governança de PLD
Treinamento periódico em PLD também deve ser oferecido aos colaboradores relevantes para garantir que os controles sejam aplicados de forma consistente.
Detectar e verificar estruturas complexas de beneficiários finais
Identificar os beneficiários finais e as pessoas controladoras de um cliente pessoa jurídica é fundamental para avaliar o risco e garantir transparência. Isso exige verificar estruturas de propriedade e de controle, identificar beneficiários finais últimos (UBOs) e distinguir a propriedade formal de indivíduos que exercem controle efetivo. Algumas entidades podem ter múltiplas camadas de propriedade em várias jurisdições ou possuir acordos de nomeação que podem ocultar a verdadeira propriedade.
A verificação de beneficiários finais e pessoas controladoras deve fazer parte do processo de onboarding e da due diligence contínua. Dados confiáveis de verificação de identidade e documentação de suporte ajudam a estabelecer estruturas de propriedade e de controle e fortalecem a capacidade da instituição de avaliar o risco do cliente. Esses resultados de verificação podem disparar checagens adicionais e escalonamento se forem identificadas inconsistências, informações incompletas ou outros indicadores de risco.
As organizações são obrigadas a aplicar due diligence aprimorada se forem identificadas estruturas de propriedade complexas ou opacas, com controles projetados para avaliar as estruturas e os riscos associados não apenas no onboarding, mas também por meio de monitoramento contínuo para identificar quaisquer mudanças na propriedade ou riscos emergentes.
Separar claramente o monitoramento de transações e a triagem de sanções
Na maioria dos cenários, a triagem de sanções atua como um controle preventivo que ajuda a identificar relacionamentos e transações proibidos ou de alto risco antes que ocorram. Em contraste, o monitoramento de transações (TM) atua como um controle detectivo que identifica padrões incomuns na atividade de conta do cliente que podem indicar possíveis preocupações de ML/TF.
O gráfico abaixo resume as principais diferenças entre monitoramento de transações e triagem de sanções, incluindo objetivos, fluxos de trabalho e caminhos de escalonamento.
Monitoramento de transações vs. triagem de sanções
As organizações devem manter fluxos de trabalho e caminhos de escalonamento claramente definidos para cada processo. Alertas de TM normalmente levam a investigações de casos e ao envio de relatórios de atividade ou transação suspeita (SARs/STRs), e correspondências de triagem de sanções podem exigir revisão de sanções, potencial bloqueio ou rejeição e reporte regulatório. Esses processos devem operar como medidas de controle distintas, com procedimentos de tratamento e escalonamento claramente definidos.
Por exemplo, uma transação de cliente pode gerar um alerta de monitoramento de transações devido ao volume incomum que requer uma análise de risco comportamental dentro dos prazos definidos pela política. No entanto, um resultado de triagem de sanções sobre o nome do cliente exige revisão imediata e possível rejeição, pois trata de uma proibição regulatória que requer ação imediata.
Limites claros de responsabilidade entre monitoramento de transações e triagem de sanções também devem ser definidos. Embora ambas as funções operem dentro de uma estrutura mais ampla de conformidade com crimes financeiros, responsabilidades e processos de revisão separados garantem que cada controle opere de forma eficaz, sem sobreposição operacional ou confusão.
Priorizar a qualidade dos alertas por meio de ajustes estruturados
A calibração estruturada e periódica dos sistemas de PLD é importante para a eficácia geral do monitoramento. As organizações devem avaliar as taxas de conversão de alertas em casos e os resultados das investigações para medir a qualidade dos alertas gerados. A relação sinal-ruído também pode ser usada como medida da eficiência dos alertas.
Sistemas mal calibrados podem gerar um alto volume de alertas de baixa qualidade que criam fadiga de alertas, sobrecarregam as equipes de investigação e reduzem a qualidade das investigações e a eficiência geral do programa.
Calibrar e ajustar finamente limites de monitoramento e lógica de cenários com base na exposição ao risco da organização, nas tipologias em evolução e na relação sinal-ruído ajuda a melhorar a qualidade dos alertas e a garantir que as equipes de investigação se concentrem nos indicadores de risco reais. Por exemplo, um cenário que gera alertas frequentes sobre transações rotineiras abaixo dos limites de risco esperados pode ser recalibrado para reduzir o ruído e melhorar a relevância dos alertas. As decisões de ajuste devem ser documentadas com a justificativa e as aprovações adequadas. Os alertas gerados precisam seguir um processo de investigação e reporte claramente definido e padronizado.
Padronizar os processos de decisão de investigação e reporte
As organizações devem definir claramente o processo de investigação e reporte regulatório, incluindo os padrões mínimos esperados de investigação e reporte. Esses padrões orientam os analistas na avaliação de alertas, na coleta de informações e documentos relevantes e na documentação das etapas de investigação, da justificativa das decisões e da conclusão alcançada.
Os limites de reporte precisam ser claramente estabelecidos e aplicados de forma consistente para garantir que as decisões de envio não sejam tomadas apenas com base no julgamento individual do analista, mas sim na política de PLD e apoiadas por indicadores de risco definidos, critérios de escalonamento e requisitos de aprovação. Prazos internos devem proporcionar tempo suficiente para investigação, revisão e aprovação e garantir que os prazos regulatórios sejam cumpridos de forma consistente.
As conclusões das investigações devem apoiar diretamente os resultados de reporte, e a narrativa dos relatórios de atividade ou transação suspeita (SAR/STR) deve ser precisa e completa para refletir os achados. A justificativa seguida precisa ser claramente documentada para todos os casos, independentemente de o reporte ter sido feito ou não. Documentar motivos claros para não enviar um SAR/STR é igualmente importante para demonstrar que o alerta foi avaliado e encerrado de forma adequada. Quando um SAR/STR é enviado ou uma investigação está em andamento, os analistas devem garantir que os sujeitos não sejam alertados sobre a investigação ou atividade de reporte. Tipping off é crime na maioria das jurisdições.
Preservar documentação e evidências preparadas para auditoria
As organizações precisam manter registros centralizados e recuperáveis em todas as etapas do fluxo de trabalho de PLD, incluindo notas de encerramento de alertas, notas de investigação, arquivos de casos, decisões de envio e não envio de SAR/STR e todas as aprovações relacionadas. Resultados de verificação de identidade, registros de decisão de onboarding e documentação de suporte devem ser mantidos como parte do dossiê de risco do cliente.
Todas as ações e decisões do fluxo de trabalho devem manter uma trilha de auditoria que identifique claramente a responsabilidade pela decisão, e os carimbos de data e hora precisam ser precisos, consistentes e evidentes contra adulteração em todos os sistemas. Se as decisões envolverem vários sistemas, a rastreabilidade entre sistemas deve ser mantida. Isso garantirá um registro completo e auditável das ações tomadas.
O período de retenção deve estar alinhado aos requisitos regulatórios aplicáveis na jurisdição e incorporado na política de gestão de registros. As organizações também devem garantir que as práticas de coleta e retenção de dados estejam em conformidade com os requisitos de proteção de dados aplicáveis. Na prática, documentação inconsistente ou trilhas de auditoria ausentes são achados comuns durante revisões regulatórias. Isso destaca a importância de manter registros completos e acessíveis.
Validar e melhorar continuamente a eficácia da PLD
Os controles de PLD precisam ser testados e validados periodicamente para garantir que permaneçam eficazes à medida que riscos de crimes financeiros, comportamento dos clientes e expectativas regulatórias continuam evoluindo.
Cenários de monitoramento, lógica de detecção e métricas de qualidade de alertas devem ser revisados regularmente e os limites devem ser ajustados com base nas desvios observados e após atualizações da avaliação de risco em nível corporativo ou mudanças significativas no negócio. As decisões de ajuste e suas justificativas devem ser registradas.
Ciclo contínuo de melhoria da PLD
Além disso, as organizações devem estabelecer indicadores de desempenho e de risco para medir o desempenho dos controles e a exposição ao risco residual. Métricas como indicadores-chave de risco (KRIs), indicadores-chave de controle (KCIs), testes de autoavaliação de controles (CSTs) e indicadores de desempenho operacional fornecem insights sobre a eficiência do programa de PLD e ajudam a identificar áreas que exigem melhorias.
Métodos de teste estruturados, como revisões above-the-line (ATL) e below-the-line (BTL), podem fornecer segurança quanto à eficácia dos controles:
- Os testes ATL avaliam alertas que foram gerados pelo sistema de monitoramento e analisam a qualidade dos alertas e os resultados das investigações.
- Os testes BTL revisam transações não alertadas para identificar possível atividade suspeita perdida e lacunas de detecção.
Na prática, uma combinação dessas abordagens ajuda a validar tanto a eficácia da detecção quanto a cobertura dos controles.
A garantia de qualidade (QA) e os testes de controle também devem incluir amostragem dos controles de onboarding para confirmar que as evidências de verificação são capturadas de forma consistente e que os procedimentos de escalonamento são aplicados corretamente.
Conclusão
Diretrizes de PLD eficazes traduzem expectativas regulatórias e políticas de conformidade em controles práticos que podem ser aplicados de forma consistente em fluxos de trabalho de PLD, incluindo as fases de prevenção, detecção e reporte. As organizações podem construir programas robustos de PLD ao converter políticas em controles de sistema operacionais, implementar arquiteturas baseadas em risco, projetar monitoramento com base em tipologias e avaliações de risco em nível corporativo, fortalecer a governança e os padrões de investigação, validar continuamente os controles e manter documentação preparada para auditoria em todas as etapas do ciclo de vida da PLD. Isso também inclui garantir a identificação eficaz dos beneficiários finais de clientes pessoa jurídica, separar as revisões de monitoramento de transações da triagem de sanções e melhorar continuamente a qualidade dos alertas por meio de ajustes estruturados.
Plataformas de verificação de identidade e proteção contra fraude, como a Veriff, podem apoiar a implementação de diretrizes de PLD ao fortalecer controles de onboarding e de due diligence contínua. A Veriff pode ajudar as equipes a capturar e manter resultados de verificação de identidade e evidências de suporte, incorporar sinais de verificação em decisões de onboarding baseadas em risco e manter registros preparados para auditoria que possam ser consultados durante revisões e exames regulatórios.
Inscreva-se para obter insights
