A avaliação interna de risco (AIR) é um dos principais elementos do Programa de PLD/FTP de uma instituição autorizada pelo Banco Central do Brasil (BACEN). No entanto, muitas vezes, a sua importância não é tão percebida pelas instituições, nem bem compreendida por outras. Uma AIR pouco sólida ou defasada é um indício de que a instituição não tem identificado diligentemente os riscos de LD/FTP de sua operação.
O que é a AIR
É o documento onde são identificados os riscos de LD/FTP e a metodologia usada para a sua classificação. É o estudo e o diagnóstico de risco inerente de LD/FTP. De forma simples, a AIR deverá responder a uma simples questão: quais são os riscos inerentes de LD/FTP a que essa instituição está exposta? Ao se analisar a AIR, deverá ser possível identificar os riscos inerentes de LD/FTP aplicáveis à instituição.
Objetivo da AIR
O objetivo da AIR é que a instituição identifique e avalie os riscos de os seus produtos e serviços passarem a ser utilizados para a prática de lavagem de dinheiro. Diante disso, cabe às instituições a avaliação periódica de quais são as possíveis “portas de entrada” em suas atividades para a lavagem de dinheiro. Assim, é lógico pensar que quando mais complexas e mais amplas forem as suas atividades, mais diligente deverá ser a instituição na elaboração de sua AIR.
Conteúdo mínimo da AIR, conforme exigência do BACEN
A norma do BACEN (Circular nº 3.978/20) que regula a AIR não é exaustiva em relação ao tema. Ao contrário, fornece elementos mínimos que deverão ser observados pelas instituições reguladas. Esses elementos mínimos poderão e deverão ser incrementados pelas instituições a depender da complexidade e da amplitude de suas atividades.
Por exemplo, sobre os perfis de riscos descritos na norma do Bacen, há no mínimo as seguintes hipóteses: (i) clientes, (ii) a própria instituição, (iii) as operações, transações, produtos e serviços, (iv) os canais de distribuição, (v) a utilização de novas tecnologias, (vi) as atividades exercidas por funcionários, parceiros e prestadores de serviços.
Diferentemente de normas anteriores, o BACEN, na norma vigente, não é prescritivo nos seus requisitos regulatórios sobre os elementos de PLD/FTP. No entanto, em relação à AIR, a instituição deverá fazer um trabalho metodológico detalhado (“razoavelmente robusto”), no sentido de conseguir demonstrar os seus fundamentos para a gestão de riscos de LD/FTP. Dessa forma, a instituição deverá elaborar e descrever minuciosamente a metodologia que utilizou para identificar os riscos inerentes de LD/FTP em relação a, no mínimo, os perfis de risco previstos na norma (poderão ter outros, se assim for necessário).
Apenas um exemplo: sobre os clientes da instituição, deverão ser respondidas questões do seguinte tipo: (i) Qual a metodologia utilizada para a sua classificação em termos de riscos de LD/FTP, em alto, médio ou baixo? (ii) Quais são os elementos que levam a instituição a classificar um cliente como de alto risco? (iii) Qual é a metodologia para isso? (iv) Quais são os fatores que somados conduzem a instituição para essa classificação? Cabe lembrar que a expectativa do BACEN em relação à demonstração de riscos dos clientes da instituição na AIR não é a avaliação individual de cada cliente (não se espera na AIR a divulgação da lista de clientes e a sua respectiva classificação), porque essa análise será feita no dia a dia das atividades da instituição, por meio de procedimentos como o KYC.
A metodologia de classificação de riscos deverá ser sólida, não podendo ser apenas uma elucubração teórica sem aplicação prática, nem mesmo alguma coisa sem sentido (“que não pare em pé”), até mesmo porque há um outro elemento do programa de PLD/FTP também exigido pelo BACEN que é a avaliação anual de efetividade do sistema de PLD/FT, a ser discutido em próxima oportunidade.
A AIR dá o tom para os procedimentos de PLD/FTP da instituição
O resultado do estudo de riscos de LD/FTP na instituição deverá servir de base para a elaboração, revisão ou ajustes nos procedimentos operacionais de PLD/FTP, por exemplo: Knowing Your Customer (KYC); Knowing Your Employee (KYE); Knowing Your Partner (KYP); Knowing Your Supplier (KYS); Monitoramente, Seleção, Análise e Comunicação de operações ou situações suspeitas (MSAC).
Isso ressalta ainda mais a importância de uma AIR bem-feita, vez que os pontos a serem endereçados nos referidos procedimentos devem ser uma reação da instituição ao resultado dos riscos identificados na AIR. Dessa forma, o sistema de PLD/FTP da instituição tem maior possibilidade de ser efetivo na prática.
Periodicidade de revisão da AIR
De acordo com a norma do BACEN, as instituições deverão revisar a sua AIR no mínimo a cada 2 (dois) anos. Isso significa que, pelo menos nesse espaço de tempo, a instituição deverá renovar o seu estudo de risco, o seu diagnóstico de riscos, aplicando e demostrando metodologia robusta para esse trabalho.
Regulação do BACEN e da CVM sobre AIR
Para as instituições que são reguladas tanto pelo BACEN quanto pela CVM, há pelo menos duas normas a serem cumpridas: (i) a Circular nº 3.978/20, do BACEN e (ii) a Resolução nº 50/21, da CVM. Ambas as normas possuem o mesmo objetivo em relação à AIR, com algumas diferenças práticas. Apenas como exemplo: uma dessas diferenças é o prazo em que a AIR deverá ser revisada, sendo que, de acordo com a norma da CVM, o relatório relativo à AIR deverá ser elaborado anualmente, não a cada 2 (dois) anos tal como previsto na norma do BACEN.
