A nova regra de prevenção à lavagem de dinheiro no Sistema Financeiro Nacional

Diante dos riscos encetados por atividades ilícitas e criminosas que se valem de mecanismos de lavagem de dinheiro, bens e direitos em busca de legitimação de tais ativos espúrios, o Sistema Financeiro Nacional requer o estabelecimento de salvaguardas e proteções jurídicas adequadas. Por isso, o Brasil conta hoje não só com uma legislação que tipifica a conduta delituosa nessa seara, mas com agentes e órgãos de Estado cuja função é zelar pela higidez e isolamento do sistema financeiro em relação a tais exposições a risco.

No plano internacional, o Brasil integra foros específicos dedicados ao tema, entre os quais ocupa posição proeminente o Grupo de Ações Financeiras (Gafi), criado em 1989 por iniciativa dos países integrantes do G-7, cuja função é criar e promover padrões e políticas internacionais de proteção e combate a ações criminosas no interior do sistema financeiro global.

Assim, mais recentemente, o Banco Central — seguindo diretrizes e recomendações emanadas do Gafi desde 2012 — promoveu alterações significativas e relevantes na regulamentação interna do SFN sobre a matéria. O BC realizou, em verdade, uma ampla e profunda revisão das normas regulamentares sobre o tema, tendo editado a Circular 3.978, em janeiro deste ano, que entrou em vigor no último 1º de outubro.

A nova circular vem em lugar e atualiza a Circular 3.461, que estava em vigor desde 2009, e busca aprimorar todos os trabalhos e atividades em torno da inteligência financeira com vistas a proteger o SFN contra acessões e tentativas de uso indevido das instituições financeiras em esquemas delituosos.

Além da nova Circular 3.978, o Banco Central editou a Carta-Circular 4.001 divulgando operações e situações que podem configurar indícios de crimes de "lavagem" e de financiamento ao terrorismo, passíveis de comunicação ao Conselho de Controle de Atividades Financeiras.

Passa agora a ser de alta importância que as instituições autorizadas a funcionar pelo BC façam uma avaliação de 360 graus, em caráter preventivo, com análise, revisão e, mais relevante ainda, atualizem políticas e procedimentos, de acordo com uma abordagem baseada em risco, realizando uma avaliação interna que perpassará, além da própria instituição, seus produtos e serviços (atuais e futuros), seus clientes, funcionários, parceiros de negócios (canais de distribuição — internet e mobile banking, Corbans) e prestadores de serviços.

Abordagem baseada em risco (avaliação interna de risco)
Esse novo conceito de abordagem da questão da lavagem de dinheiro e do financiamento do terrorismo no mercado financeiro, mediante emprego de uma visão de risco foi introduzida pelo Banco Central com base na Recomendação #1 do GAFI de 2012 e sua nota interpretativa.

Ela é resultado de críticas e sugestões quanto à formulação de políticas de PLD que tinham caráter linear e que por isso não levavam em conta particularidades de clientes, operações e situações cujos riscos poderiam levar a um posicionamento mais assertivo da instituição, sempre de forma proporcional e compatível com cada situação presente.

Um efeito direto da aplicação da abordagem baseada em risco é a geração de uma visão mais adequada de alocação de recursos e esforços por parte das instituições em função da gradação de risco aferida em cada situação específica. O resultado que se espera que essa abordagem gere é justamente o aperfeiçoamento e a eficiência dos sistemas e políticas de prevenção.

Importante destacar que a abordagem baseada em risco é apenas uma metodologia cuja aplicação pelas instituições doravante passa a ser obrigatória e, portanto, não é um fim em si mesma. Isso significa que, ainda que as instituições criem políticas, procedimentos e controles internos na busca de cumprir a nova obrigação regulatória, será imperioso que tenham efetividade no cumprimento de todas as rotinas ponderadas e ajustadas em função das características do modelo de negócios da própria instituição, de cada de seus clientes, e dos produtos e serviços que oferece no mercado.

A abordagem baseada em risco representa na verdade uma mudança de filosofia nos esforços que as instituições devem empreender para criar mecanismos de prevenção e combate à lavagem de dinheiro e financiamento do terrorismo. Daqui para frente, as instituições devem sair de uma posição de mero cumprimento de normas (de conformidade, de compliance, enfim) para adotar uma postura de instauração de políticas e procedimentos efetivos de gestão da PLD, levando em conta a matriz de risco de seus produtos e serviços e o seu apetite de risco.

Fica mais nítida a função de "agente ativo" que as instituições vão assumir no contexto do sistema de proteção de todo o sistema financeiro em face dos riscos contínuos decorrentes de tentativas de uso dos bancos e demais instituições como meio e ambiente para legitimação de recursos de origem maculada por ações criminosas.

Admitindo-se que a abordagem baseada em risco representa uma nova filosofia de ação das instituições nesse campo, podemos sistematizas as suas premissas básicas em um painel de gestão dos vários perfis de risco a que exposta potencialmente a instituição.

Um painel em que se inserem cinco elementos essenciais: 1) governança (com o efetivo comprometimento da alta administração); 2) processo de on-boarding (de clientes e início de relacionamento); 3) monitoramento e seleção; 4) análise e comunicação; e 5) uso de dashboard (painel de controle de efetividade de todo o sistema).

Em suma, a abordagem baseada em risco deve existir como o resultado do funcionamento de uma estrutura normativa interna da instituição (com políticas e procedimentos), programas de capacitação (não apenas de treinamento) contínuos e difusos (penetrantes) ao longo de toda a organização das instituições, abrangendo funcionários, prestadores e parceiros.

Acima de tudo, passa a ser vital que as instituições passem a contar com ferramentas e soluções tecnológicas alinhadas com a modernidade das relações cursadas no mercado financeiro, que lhes permita reações e tomadas de decisão no mesmo padrão de velocidade em que ocorrem as inovações no sistema atual.

Portanto, a avaliação interna de risco deverá consolidar o perfil de risco: 1) de clientes; 2) da própria instituição; 3) das operações, produtos, serviços e seus canais e tecnologia empregada; e 4) das atividades de funcionários, parceiros e prestadores.

A instituição deverá realizar continuamente a avaliação interna de risco em relação a todas as possíveis manifestações de risco em que inserida. Identificados eventuais pontos e situações de risco, a instituição deverá avaliar a probabilidade de sua materialização e magnitude impactos de natureza financeira, jurídica, reputacional e socioambiental sobre a própria instituição.

Nessa tarefa, a instituição deverá criar uma categorização de riscos usando controles para gerenciar e mitigar o risco em diferentes perfis e graus e, em função disso, adotar padrões mais ou menos rígidos de verificação de cenários.

A nova circular impõe às instituições a obrigação de documentar suas avaliações internas de risco, dando ciência expressa à sua estrutura de governança, ou seja, ao comitê de risco (previsto no artigo 45 da Resolução 4557), ao comitê de auditoria e ao Conselho de Administração ou diretoria, no caso de inexistência daquele. A cada dois anos, a avaliação interna de risco deverá ser revisada ou, antes disso, se e quando houver mudança nos perfis de risco.

Procedimentos de know your client
Um pilar essencial é o que trata dos procedimentos que permitam que cada instituição conheça a fundo os seus clientes e, assim, module os seus procedimentos em função do perfil de risco que cada um seja capaz de induzir quanto ao uso da instituição para o cometimento de crimes de lavagem e de financiamento de terrorismo. Esses procedimentos deverão assegurar que a instituição identifique, qualifique e classifique os seus clientes em função de seu perfil de risco e esses dados e informações deverão ser utilizados de modo constante pela instituição, particularmente em relação a situações de operações suspeitas.

Sem a conclusão de procedimentos de identificação e qualificação, a instituição não deverá iniciar relacionamento com cliente algum. Ou se forem insuficientes as informações sobre a qualificação, a instituição poderá manter o relacionamento iniciado por 30 dias. Isso se a falta das informações não prejudicar o monitoramento e seleção de situações e operações que possam indicar suspeita de lavagem de dinheiro e de financiamento do terrorismo.

Deverão ser criados e aplicados procedimentos de identificação, qualificação e classificação não só dos clientes, mas de seus representantes e administradores. Isso, porém, de modo ponderado, ou seja, em função das funções exercidas pelo administrador e extensão e abrangência do representante.

Os procedimentos de identificação deverão ser de tal modo aplicados que garantam à instituição obter, verificar e validar a autenticidade das informações não só já armazenadas pela instituição, mas também as que forem pesquisadas em bancos de dados. Em termos básicos, devem ser coletados o nome ou a denominação do cliente, seu endereço, identidade fiscal ou documento de viagem internacional (passaporte).

O procedimento de KYC também deve abordar a qualificação dos clientes segundo uma avaliação que leve em conta o status do cliente (perfil de qualificação) e a sua capacidade financeira frente às características da relação estabelecida com a instituição (quanto à magnitude da operação inclusive) contemplando basicamente elementos como renda, faturamento e patrimônio.

A qualificação, segundo a capacidade financeira do cliente, deve ser verificada e validada de acordo com o perfil de risco do cliente e da operação que estiver sendo realizada. E essa avaliação de capacidade financeira deve estar prevista na política da instituição como devendo ser aplicada constantemente em função da evolução do relacionamento entre instituição e cliente.

Quanto à qualificação em razão do status do cliente, a instituição deverá considerar em seus procedimentos a verificação da condição do cliente como pessoa exposta politicamente. Além do próprio cliente, os procedimentos deverão ser aplicados também a seus representantes, familiares e a pessoas que seja consideradas "estreito colaborador".

A norma considera estreito colaborador a pessoa física que mantenha estreito relacionamento da PEP em razão de: participação conjunta em sociedade; ser mandatária da PEP; participação conjunta com a PEP em arranjos sem personalidade jurídica (já consta desde 2017 da Resolução Coaf 29); e controle de PJ ou arranjo criados em benefício da PEP.

Por último, os procedimentos de KYC devem levar em conta a classificação dos clientes em função de matriz de risco criada conforme as categorias de risco definidas na avaliação interna de risco da instituição que estiver em vigor.

Identificação e qualificação do benefício final
Os procedimentos de identificação e qualificação de pessoa jurídica devem prever a análise da cadeia de participação societária até a identificação da pessoa natural que se caracterizar como beneficiário final. Deverão também ser analisados os representantes, procuradores e prepostos, como beneficiários finais, que exerçam o comando de fato da pessoa jurídica. Essa regra não se aplica nos casos de companhias abertas, cooperativas e entidades sem fins lucrativos. Porém, permanecem aplicáveis as regras de captura de informações das pessoas que forem representantes, controladoras, administradores e diretores.

Para identificar o beneficiário final, a instituição deverá estabelecer um valor mínimo de participação societária com base no risco e não poderá ser um porcentual maior que 25%. O critério para se determinar esse valor mínimo deve ser fundamentado e documentado pela administração da instituição em manual de procedimentos.

Ponto importante sobre isso é que se o cliente for residente no exterior e também seja cliente do mesmo grupo da instituição no exterior, sendo a entidade lá fora fiscalizada por autoridade com a qual o BC mantenha convênio para troca de informações, é possível que a instituição brasileira obtenha informações diretamente junto à instituição estrangeira. A instituição deverá dar acesso ao BC relativamente às informações e procedimentos adotados.

Qualificação de cliente como pessoa politicamente exposta
Consideram-se pessoas expostas politicamente no Brasil as pessoas que forem qualificadas pelos procedimentos da instituição conforme se tratar de, entre outros:

— Eleitos para mandatos do Poder Executivo e do Legislativo da UF;
— Ministros de Estado e equiparados;
— Presidentes, vices e diretores de entidade da AP indireta;
— Membros do CNJ, do STF, tribunais superiores, TRFs, TRTs, TREs, Conselho Superior da Justiça do Trabalho e do Conselho da Justiça Federal;
— Membros do Conselho Nacional do MP, PGR, vice-PGR, PG do Trabalho, PG da Justiça Militar, subprocuradores-gerais da República e procuradores-gerais de Justiça estaduais e DF;
— Membros do TCU;
— Presidentes e tesoureiros de partidos políticos; e
— Governadores e secretários de Estado, presidentes de TJs estaduais, prefeitos e vereadores.

São PEPs no exterior:

— Chefes de Estado ou de governo;
— Políticos de escalões superiores;
— Ocupantes de cargos governamentais de escalões superiores;
— Oficiais-generais e membros de escalões superiores do PJ;
— Executivos de escalões superiores de empresas públicas; e
— Dirigentes de partidos políticos.

Sempre que estiver se relacionando com clientes residentes no exterior, a instituição deverá adotar pelo menos duas destas providências:

— Solicitar declaração expressa do cliente quanto a tal qualificação;
— Consultar informações públicas; e
— Consultar bases de dados sobre PEP.

Importantíssimo que se mantenham os procedimentos de PLD em relação a PEP que deixarem de ostentar essa condição pelos cinco anos que se seguirem à data de alteração de tal status.

Como se vê, são complexas e exigem plena atenção por parte das instituições as alterações introduzidas pela nova Circular 3.978, tornando as normas regulatórias relativas à prevenção e combate à lavagem de dinheiro e financiamento do terrorismo um verdadeiro instrumental que tem na avaliação interna de risco a sua força motriz.