BC edita regra para prevenir lavagem de dinheiro e financiamento do terrorismo
Assuntos
Na última quinta-feira, o Banco Central do Brasil (“Banco Central”) publicou a nova regulamentação sobre política de prevenção à prática de crimes de lavagem de dinheiro e de financiamento do terrorismo (“PLDFT”), que estabelece os principais procedimentos e os controles internos a serem adotados pelas instituições reguladas sobre o tema.
A Circular nº 3.978, de 23 de janeiro de 2020 (“Circular 3.978”) estabelece um modelo menos prescritivo do que o previsto na norma anterior e traz como principal inovação a adoção da abordagem baseada em risco. A partir de sua entrada em vigor, as instituições reguladas passarão a ter discricionariedade para determinar os procedimentos a serem adotados para cada cliente a partir da avaliação interna de riscos em relação à prática de crimes de lavagem de dinheiro e de financiamento do terrorismo inerentes aos seus negócios.
Nesse sentido, a política de PLDFT da instituição deve ser compatível com os perfis de risco de dos clientes, da instituição, das operações, transações, produtos e serviços ofertados e de seus funcionários, parceiros e prestadores de serviços terceirizados. Além disso, a política de PLDFT deve contemplar a avaliação interna de riscos e sua efetividade, bem como procedimentos voltados à avaliação e à análise prévia de novos produtos e serviços, incluindo a utilização de novas tecnologias. Diretrizes sob aspectos já mencionados na norma anterior, como a definição de papéis e responsabilidades, a verificação do cumprimento da política, dos procedimentos e controles internos e a promoção de cultura organizacional de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, também continua sendo necessários.
A política de PLDFT deve ser documentada, aprovada pelo conselho de administração da instituição (ou, na ausência deste último, da diretoria) e mantida constantemente atualizada. Outra novidade trazida pela norma é a determinação de que a capacitação em relação à política contemple não apenas os funcionários da própria instituição, como também os funcionários dos correspondentes no País que prestem atendimento em nome da instituição.
Assim como a política, a avaliação interna de risco deve ser documentada e aprovada (neste caso, pelo diretor de PLDFT) e revisada a cada dois anos ou sempre que ocorrerem alterações significativas nos perfis de risco mensurados. A avaliação deve ser encaminhada para ciência dos comitês de risco e auditoria e do conselho de administração das instituições (ou da diretoria).
Importante notar que a Circular 3.978 estabelece uma vertente qualitativa e outra quantitativa acerca da análise interna de risco, ao determinar que o risco deve ser avaliado quanto à sua probabilidade de ocorrência e à magnitude dos impactos financeiro, jurídico, reputacional e socioambiental para a instituição. Adicionalmente, as categorias de risco definidas devem possibilitar a adoção de controles de gerenciamento e de mitigação reforçados para as situações de maior risco e a adoção de controles simplificados nas situações de menor risco.
As diretrizes para o procedimento de “conheça seu cliente” (know your client ou “KYC”) também foram aprimoradas. A nova norma indica que processos de KYC devem abranger a identificação, a qualificação, bem como a classificação de risco dos clientes, sendo que estas informações devem ser mensuradas através de métodos de coleta, verificação e validação devidamente estabelecidos por meio de manuais.
Um dos aspectos mais sensíveis do processo de KYC diz respeito à identificação e à qualificação da pessoa natural caracterizada como beneficiário final do cliente pessoa jurídica, que deve passar pelos mesmos procedimentos definidos para a categoria de risco do cliente pessoa jurídica a que estiver relacionada. As instituições reguladas podem estabelecer um valor mínimo de referência de participação societária para a identificação de beneficiário final, desde que este valor não supere 25% (vinte cinco por cento) da participação societária, seja de forma direta ou indireta.
Companhias abertas, cooperativas e entidades sem fins lucrativos são excetuadas da necessidade da identificação do beneficiário final, bastando, nestas hipóteses, a identificação de representantes, controladores e diretores (que também devem ser identificados, qualificados e classificados nos processos de KYC de pessoas jurídicas dos demais tipos). Importante notar que a norma não faz menção expressa ao tratamento a ser dado a fundos de investimento.
No mais, as informações mínimas necessárias ao procedimento de KYC passam a ser apenas o nome ou a denominação social, o endereço e o CPF ou o CNPJ dos clientes. Além disso, fica expresso que no processo de validação da identidade dos clientes podem ser utilizados bancos de dados públicos ou privados. Já em relação ao processo de qualificação, devem ser coletadas informações que permitam avaliar a capacidade financeira do cliente (incluindo renda ou faturamento, conforme o caso), bem como suas condições específicas, como por exemplo, a de pessoas politicamente expostas (“PEPs”).
Vale notar que a nova regra, além de manter a lista anteriormente existente, passa a incluir vereadores, prefeitos e deputados estaduais no rol de PEPs, e estende essa classificação a representantes, estreitos colaboradores e familiares até o segundo grau.
Além do processo de KYC, a Circular 3.978 indica a necessidade de implementação de procedimentos de “conheça seus funcionários, parceiros e prestadores de serviços terceirizados”. As informações relativas aos processos de KYC e de conhecimento de funcionários, parceiros e prestadores de serviços devem ser arquivadas e mantidas pela instituição por 10 (dez) anos, contados a partir do ano seguinte ao encerramento do relacionamento ou vínculo de trabalho, conforme o caso.
A Circular 3.978 estabelece a obrigatoriedade de registro de operações de forma a abranger todo o rol de produtos e serviços oferecidos pelas instituições reguladas, contemplando informações como a identificação das partes, tipo, valor e data da operação e canal utilizado. Não obstante, para as operações de pagamento, recebimento e transferência de recursos, deve haver a identificação da origem e do destino de recursos (considerando tanto as instituições quanto os clientes envolvidos).
Vale ressaltar que o registro de operações em espécie acima de R$2.000,00 deve incluir nome e CPF do portador. Para as operações de depósito ou aporte em espécie acima de R$50.000,00, além das informações sobre o portador, também deve ser registrado o nome e CPF ou CNPJ do proprietário dos recursos e a origem deles. Já as operações de saque em cheque ou ordem de pagamento acima deste valor devem incluir nome e CPF ou CNPJ do destinatário dos recursos e do portador, bem como a finalidade e número de protocolo de operação. Além disso, o pagamento de boletos em espécie deve ser objeto de registro específico. A Circular 3.978 determina expressamente que a recusa em fornecer informações deve ser considerada para fins de monitoramento.
A Circular 3.978 estabelece, ainda, que as instituições devem adotar procedimentos de monitoramento, seleção e análise de operações e situações suspeitas descritos em manual específico, aprovado pela diretoria das entidades reguladas. As etapas de monitoramento e seleção devem ser concluídas no prazo máximo de 45 dias, contados a partir da data de ocorrência da operação ou da situação.
Já os procedimentos de análise, que têm como objetivo caracterizar ou não as operações ou situações como suspeitas de lavagem de dinheiro e de financiamento do terrorismo, deverão ser concluídos em até 45 dias da data da seleção da respectiva operação ou situação, sendo vedada a contratação de terceiro a realização da análise no exterior. Nos casos suspeitos, a decisão de comunicação ao Conselho de Controle de Atividades Financeiras (“Coaf”) deve ocorrer até o último dia do prazo de análise e a efetiva comunicação até um dia útil após a decisão interna de comunicar. As entidades que não tiverem efetuado comunicações de situações suspeitas ao Coaf durante ano civil, por sua vez, devem prestar declaração negativa após dez dias úteis do encerramento do referido ano.
A nova regra prevê a necessidade de avaliação de efetividade da política, procedimentos e controles internos inerentes à PLDFT por meio da adoção de mecanismos de acompanhamento, os quais devem ser submetidos a testes periódicos. Os resultados dessa avaliação devem ser documentados em um relatório anual de avaliação, que deve ser encaminhado ao comitê de auditoria e ao conselho de administração (ou diretoria), e embasar a elaboração de um plano de ação para solucionar possíveis deficiências e pontos de melhoria.
Vale notar que, para instituições que façam parte de conglomerados, a Circular 3.978 indica a possibilidade da implementação de uma única política de PLDFT e análise interna de risco, desde que cada instituição do grupo tenha sua própria estrutura de governança. Além disso, os procedimentos de monitoramento, seleção e análise de operações e situações suspeitas, bem como comunicação ao Coaf, podem ser realizados de forma centralizada por instituição do conglomerado e os resultados da avaliação de efetividade descritos em relatório único.
Deve-se ressaltar que a Circular 3.978, na mesma corrente da recém editada Instrução CVM 617 de 5 de dezembro de 2019 (“Instrução CVM 617”) (cujo resumo se encontra disponível neste link), regra que estabelece diretrizes de PLDFT para o mercado de valores mobiliários, busca abranger as recomendações do Grupo de Ação Financeira contra a Lavagem de Dinheiro e o Financiamento do Terrorismo (GAFI/FATF) de forma a agregar as melhores práticas globais aplicadas no mercado financeiro por meio da aplicação da abordagem baseada em risco como instrumento de governança.
Assim como a Instrução CVM 617, a Circular 3.978 entrará em vigor no dia 1º de julho de 2020.