Teste de Efetividade no Monitoramento
por Roger Miura
Em janeiro de 2020, foi publicada a carta circular 3.978 do Banco Central, revogando assim a carta circular 3.461 de 24 de julho de 2009, e trazendo à luz novos desafios e oportunidades de melhorias nos controles de Prevenção à Lavagem de Dinheiro e Combate ao Financiamento do Terrorismo (PLD/CFT).
A nova circular é resultado do Edital de Consulta Pública 70/19, de 17 de janeiro de 2019, por meio do qual o Banco Central disponibilizou minuta de ato normativo sobre o tema para comentários, seguindo-se de ampla discussão das sugestões recebidas que durou quase um ano, e que estabelece um novo arcabouço regulatório aplicável as políticas, procedimentos e controles que as instituições financeiras precisam executar, sendo este um tema muito debatido, uma vez que novos itens de controles estão sendo solicitados pelo Banco Central.
Sobre as grandes mudanças na nova circular em relação as políticas e procedimentos, temos a abordagem baseada em riscos (ABR), que é uma metodologia de análise individual que leva em consideração os riscos que podem estar envolvidos, bem com os respectivos controles que devem ser aplicados. Com a implantação da ABR as instituições terão melhor controle e gerenciamento sobre as situações de maior risco, e principalmente em qual direção seus esforços e recursos devem focar.
No quesito controle, uma das obrigatoriedades as quais as instituições reguladas estão se adequando, é a criação do relatório de Avaliação de Efetividade, o qual cita o capítulo XI, artigo 62. “As instituições referidas no art. 1º devem avaliar a efetividade da política, dos procedimentos e dos controles internos de que trata esta Circular”.
- A avaliação da efetividade será feita anualmente devendo ser relatado no mínimo, as seguintes informações:
- A metodologia adotada na avaliação da efetividade;
- A avaliação sobre a governança, políticas, procedimentos e controles implementados;
- Os testes aplicados seguindo a metodologia definida;
- Os procedimentos de identificação, qualificação e conhecimento dos clientes,
funcionários e prestadores de serviços; - Os procedimentos de monitoramento, seleção, análise de operações suspeitas para
comunicação ao COAF; - Os programas de capacitação periódicos ou treinamentos internos sobre PLD/CFT;
- As ações de regularização dos apontamentos de auditoria interna ou externa;
- As deficiências identificadas nos testes de efetividade e respectivo plano de ação.
Seguindo o cronograma deste ano para o relatório de teste de efetividade, temos: - Data base de 31.12.2020 – Emissão do Relatório/Avaliação da efetividade;
- Até 31.03.2021 – Envio do Relatório/Avaliação da efetividade a Diretoria da instituição e Comitê de Auditoria/ Conselho de Administração, se houver;
- Até 30.06.2021 – Envio do Plano de Ação a Diretoria da instituição e Comitê de Auditoria/Conselho de administração, se houver.
Neste artigo, será abordado os passos primordiais para construção do teste de efetividade nos procedimentos de monitoramento, seleção, análise de operações suspeitas para comunicação ao COAF.
Os testes de efetividade do monitoramento devem englobar:
- Teste conceitual baseado no regulatório;
- Adequação na geração de alertas das operações definidas como suspeitas;
- Qualidade das análises em relação as operações suspeitas;
- Assertividade das regras de monitoramento;
- Assertividade em relação aos processos de KYC;
- Qualidade das comunicações enviadas ao COAF.
Este teste deve levar em consideração a revisão das circulares que tratam do monitoramento e seleção de operações suspeitas, sendo a circular 4.001 do Banco Central, a Instrução 617 da Comissão de Valores Mobiliários, e a nova 612 da Superintendência de Seguros Privados, no intuito de identificar quais incisos e situações estão cobertas ou não pela instituição.
Este item é um dos pilares para construção de um monitoramento sólido, então é importante verificar quais produtos e serviços que a instituição dispõe e quais situações devem ou não ser cobertas no monitoramento. Cabe ressaltar que o mapeamento dos produtos e serviços é obrigatório para a matriz de Classificação de Risco.
1. Teste conceitual baseado no regulatório
Este teste deve levar em consideração a revisão das circulares que tratam do monitoramento e seleção de operações suspeitas, sendo a circular 4.001 do Banco Central, a Instrução 617 da Comissão de Valores Mobiliários, e a nova 612 da Superintendência de Seguros Privados, no intuito de identificar quais incisos e situações estão cobertas ou não pela instituição.
Este item é um dos pilares para construção de um monitoramento sólido, então é importante verificar quais produtos e serviços que a instituição dispõe e quais situações devem ou não ser cobertas no monitoramento. Cabe ressaltar que o mapeamento dos produtos e serviços é obrigatório para a matriz de Classificação de Risco.
2. Adequação na geração de alertas das operações definidas como suspeitas
A geração de alertas é a base para construção do monitoramento na instituição, logo o intuito deste teste é identificar se os alertas gerados através das regras do monitoramento foram gerados corretamente, ou seja, se os parâmetros definidos foram aplicados e respeitados com os dados recebidos corretamente.
Os dados para geração de alertas devem respeitar a Confidencialidade, Integridade e
Disponibilidade.
Seguindo os preceitos da Lei Geral de Proteção de Dados (Lei 13.709 de 14 de agosto de 2018), a confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais, principalmente as informações relacionadas as investigações de situações suspeitas.
A integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida, sendo este um item de supra importância para geração correta dos alertas. O recebimento dos dados corretos ou diferente de “nulos” diminuirá a geração de alertas falso-positivos e o respectivo trabalho de análise manual ou automática. O recebimento e utilização dos dados é um tema latente na atualidade, uma vez que os mecanismos de defesa estão sendo aprimorados com ferramentas de inteligência de dados.
O prazo regulamentar para geração do alerta após a realização da operação é de 45 dias, sendo que após esta disponibilização do alerta ao time de análises, há mais 45 dias para dar o devido tratamento, logo a disponibilidade que está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa é essencial.
Após os três pilares acima atendidos, é hora de certificar que os dados estão sendo recebidos e processados corretamente pelo sistema de monitoramento da instituição. Neste teste deve ser avaliado se os parâmetros das regras foram respeitados, considerando o conjunto de dados recebidos nas integrações com os sistemas de origem. Fica a cargo da instituição a forma de validação, sendo ela por regra, amostral ou em grandes frentes de monitoramento (conjunto de regras), como também a criação dos indicadores para gerenciamento das deficiências encontradas e a respectiva porcentagem de risco que elas representam.
3. Qualidade das análises em relação as operações suspeitas
Seguindo os conceitos do “done and checked” que algumas instituições já adotam, a ideia é validar se o que está sendo analisado e finalizado está compatível com o alerta gerado, e que a situação alertada realmente não apresenta risco para instituição e para o sistema financeiro.]
Este teste está relacionado ao Quality Assurance dos alertas finalizados, onde será medido a qualidade dos pareceres dado pelos analistas, levando em consideração as informações coletadas, a justificativa atribuída para baixa do alerta, o prazo regulamentar entre geração do alerta e análise, e o status final do alerta (positivo / falso-positivo).
A ideia é que esta avaliação seja realizada em períodos menores do que um ano, para avaliar de forma tempestiva as melhorias que possam ser adotadas no processo de análise de um alerta, bem como a melhoria nos processos de captura das informações e no registro dos dossiês que subsidiam as análises.
4. Assertividade das regras de monitoramento
À medida que o mundo digital vem se consolidando, é cada vez mais nítido que os sistemas de monitoramento devam atuar com maior inteligência e assertividade nos alertas gerados, pois considerando o aumento do número de pessoas “bancarizadas” é natural que o volume de transações aumente, os perfis de clientes e movimentações se alterem e se misturem, e o modus operandi dos lavadores fique mais difícil de se identificar.
Para que esta assertividade ocorra muitas instituições estão buscando apoio nas novas tecnologias que possuem uma abordagem mais eficiente com o uso de modelos, machine learnings, mineração e tratamento de dados, o qual atribuímos o nome de analytics. Cabe ressaltar também o papel fundamental da disseminação da classificação de riscos, abordada fortemente na circular 3.978.
Este teste deve considerar todos os alertas gerados pelo sistema de monitoramento e quais se concretizaram em uma comunicação ao COAF, gerando assim um fator de efetividade da regra. A instituição pode melhorar a assertividade com o uso de analytics ou até mesmo por uma revisão simples de parâmetros definidos na regra, após uma análise amostral do que foi gerado e comunicado ou até mesmo não comunicado. Cabe ressaltar que um baixo resultado de assertividade em uma regra, não implica que a mesma deva ser excluída do programa de PLD/CFT da instituição, e sim melhorada ou agregada a outros fatores de risco.
5. Assertividade em relação aos processos de KYC
Em um programa de Prevenção à Lavagem de Dinheiro e Combate ao Terrorismo é essencial a revisão de todos os processos que compõe o arcabouço regulatório, logo este teste visa identificar possíveis gaps em relação ao processo de “Conheça Seu Cliente” da instituição considerando as comunicações de operações suspeitas de lavagem de dinheiro já realizadas.
Tomando por base as informações consideradas suspeitas de lavagem de dinheiro e comunicadas ao COAF, é importante “refazer” o caminho de entrada do cliente, ou seja, analisar os dados de entrada e as informações de “Conheça Seu Cliente”, no intuito de verificar se estes clientes passaram pela mesa de análise da área de Prevenção à Lavagem de Dinheiro e se possuem fatores de riscos que foram ou deveriam ser apontados no ciclo de vida do cliente anterior ao alerta.
Um item extremamente importante que também deve ser escopo deste teste, é a revisão da matriz de Classificação de Riscos, onde as operações alertadas ou comunicadas devem ser analisadas no intuito de verificar se foi atribuído um peso maior de risco ao cliente, ou se é necessário o refinamento dos parâmetros que ponderam o risco das operações em relação ao cliente.
A execução deste teste é um caminho bilateral onde as informações de situações suspeitas agregaram valor na matriz de entrada e classificação de risco do cliente, bem como os dados de entrada poderão agregar valor na identificação e seleção das operações suspeitas.
6. Qualidade das comunicações enviadas ao COAF
Uma das principais atribuições do Conselho de Controle de Atividades Financeiras – COAF, criado pelo artigo 14 da Lei 9.613/1998, é o recebimento e análise das ocorrências suspeitas de atividades de “lavagem” ou ocultação de bens, direitos e valores.
Todas as operações atípicas enviadas têm papel fundamental no sistema financeiro, pois através destas comunicações os grandes esquemas de lavagem de dinheiro e corrupção no país são desvendados.
Para que estas comunicações sejam utilizadas de forma assertiva pelo COAF, oito quesitos devem ser atendidos, sendo eles:
FONTE: SISCOAF.FAZENDA.GOV.BR/SISCOAF-INTERNET/PAGES/SISCOAFINICIAL.JSF
É necessário a avaliação das comunicações realizadas pela instituição, se elas atendem ou não o crivo regulatório, se estão aderentes e se possuem os fatores determinantes para que esta comunicação possa agregar aos relatórios de inteligência financeira do COAF (RIFs).
Um bom balizador de qualidade das comunicações, é a nota atribuída ao participante pelo próprio COAF, onde nela é possível averiguar quais critérios a instituição atendeu plenamente ou que deveria atender, porém cabe ressaltar a necessidade de estender o teste de efetividade para todas as comunicações realizadas, e não somente as que foram avaliadas pelo COAF, garantindo assim uma melhor efetividade do processo.
Dependendo do volume de comunicações o uso de ferramentas de dados será essencial para
execução desta validação, sendo que pequenos controles podem ser automatizados na criação da comunicação para checagem de alguns dos quesitos solicitados antes do envio ao COAF.
Conclusão final
O relatório de avaliação de efetividade do monitoramento abarca diversas vertentes, as quais juntas estruturam e solidificam o processo de monitoramento, seleção, análise de operações suspeitas para comunicação ao COAF. O acompanhamento dos gaps e melhorias identificadas devem ser controladas e compartilhadas com outras linhas de defesa, para que elas possam validar estes controles periodicamente e de forma independente.
Todo processo bem estruturado e com avaliação contínua tende a agregar valor mitigando riscos e aumentando a eficiência dos processos e utilização dos recursos, sejam eles humanos outecnológicos.
Autor: Roger Miura
Profissional com mais de 15 anos de experiência na área de prevenção à lavagem de dinheiro e projetos tecnológicos voltados para este tema. Atuação em grandes instituições financeiras nacionais e internacionais. Integra a Diretoria Executiva do ACAMS Brasil Chapter, possui o Certified Anti-Money Laundering Specialist (CAMS) e PQO BM&Fbovespa. Bacharel em Ciências da Computação, pós-graduado em Administração Internacional de Empresas pela Fundação Getúlio Vargas e pós-graduado em empreendedorismo pela University of California San Diego.