Quiz-summary
0 of 30 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 30 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- Answered
- Review
-
Question 1 of 30
1. Question
Uma instituição financeira que oferece serviços de custódia de criptoativos identifica, por meio de seu sistema de monitoramento de transações, que um cliente de alto patrimônio realizou diversas transferências utilizando técnicas de peeling chains com origem em um serviço de mixagem sancionado. O gerente de relacionamento argumenta que o cliente é legítimo e possui uma fonte de riqueza documentada. Diante da estrutura de governança do programa de Inteligência de Crimes Financeiros (FCI) e da capacidade de avaliar ações de relacionamento, qual deve ser o procedimento do oficial de conformidade?
Correct
Correto: De acordo com os princípios de governança do programa FCI, decisões sobre relacionamentos de alto risco que envolvem atividades suspeitas complexas devem ser baseadas em uma investigação detalhada e submetidas aos órgãos de governança, como o Comitê de Risco ou o Conselho. Isso garante que a instituição avalie o risco em relação ao seu apetite de risco e documente formalmente a justificativa para manter ou encerrar o cliente, equilibrando a conformidade regulatória com a estratégia institucional.
Incorreto: Encerrar a conta imediatamente sem uma investigação completa ou escalonamento ignora os processos de governança interna e a necessidade de documentar o processo de tomada de decisão. Ajustar o sistema de monitoramento para ignorar riscos específicos (tuning inadequado) representa uma falha grave de controle e eleva o risco de sanções. Delegar a decisão ao gerente de relacionamento cria um conflito de interesses inaceitável, pois a função de conformidade e a governança de risco devem ser independentes da linha de frente comercial.
Conclusão: Decisões de saída ou manutenção de clientes de alto risco devem ser fundamentadas em investigações detalhadas e aprovadas pela estrutura de governança formal da instituição.
Incorrect
Correto: De acordo com os princípios de governança do programa FCI, decisões sobre relacionamentos de alto risco que envolvem atividades suspeitas complexas devem ser baseadas em uma investigação detalhada e submetidas aos órgãos de governança, como o Comitê de Risco ou o Conselho. Isso garante que a instituição avalie o risco em relação ao seu apetite de risco e documente formalmente a justificativa para manter ou encerrar o cliente, equilibrando a conformidade regulatória com a estratégia institucional.
Incorreto: Encerrar a conta imediatamente sem uma investigação completa ou escalonamento ignora os processos de governança interna e a necessidade de documentar o processo de tomada de decisão. Ajustar o sistema de monitoramento para ignorar riscos específicos (tuning inadequado) representa uma falha grave de controle e eleva o risco de sanções. Delegar a decisão ao gerente de relacionamento cria um conflito de interesses inaceitável, pois a função de conformidade e a governança de risco devem ser independentes da linha de frente comercial.
Conclusão: Decisões de saída ou manutenção de clientes de alto risco devem ser fundamentadas em investigações detalhadas e aprovadas pela estrutura de governança formal da instituição.
-
Question 2 of 30
2. Question
Um especialista em investigação de crimes financeiros em uma corretora de ativos virtuais (VASP) identifica que um cliente, classificado anteriormente como de risco médio, realizou uma série de transferências totalizando 150.000 USD em stablecoins nos últimos 45 dias. As transações envolvem o uso frequente de serviços de mixagem e a conversão imediata para moedas de privacidade antes da retirada para carteiras externas não custodiadas. Após uma revisão detalhada, o investigador conclui que a atividade não possui propósito econômico claro e apresenta indicadores significativos de lavagem de dinheiro. Qual é a ação mais apropriada a ser recomendada ao comitê de risco, considerando a governança institucional e as obrigações regulatórias?
Correct
Correto: A ação correta envolve o cumprimento das obrigações de reporte e a gestão interna de riscos. Ao identificar atividades suspeitas sem fundamento econômico, a instituição deve reportar à UIF (SAR/STR) conforme exigido por lei. Simultaneamente, a atualização da classificação de risco e a escalação para o comitê de governança para decidir sobre o encerramento da conta garantem que a instituição mitigue riscos operacionais e reputacionais de forma estruturada.
Incorreto: Bloquear ativos sem uma ordem judicial ou base legal específica pode expor a instituição a litígios e excede a responsabilidade da FI, que é identificar e reportar suspeitas. Aguardar 90 dias para provar um crime antecedente viola o princípio de reporte tempestivo de atividades suspeitas. Notificar o cliente sobre a investigação ou suspeita constitui ‘tipping-off’ (revelação indevida), o que é uma infração legal grave na maioria das jurisdições de prevenção à lavagem de dinheiro.
Conclusão: A gestão de riscos eficaz exige o reporte imediato de suspeitas às autoridades e a escalação de decisões de continuidade de relacionamento para a governança sênior, evitando a revelação indevida ao cliente.
Incorrect
Correto: A ação correta envolve o cumprimento das obrigações de reporte e a gestão interna de riscos. Ao identificar atividades suspeitas sem fundamento econômico, a instituição deve reportar à UIF (SAR/STR) conforme exigido por lei. Simultaneamente, a atualização da classificação de risco e a escalação para o comitê de governança para decidir sobre o encerramento da conta garantem que a instituição mitigue riscos operacionais e reputacionais de forma estruturada.
Incorreto: Bloquear ativos sem uma ordem judicial ou base legal específica pode expor a instituição a litígios e excede a responsabilidade da FI, que é identificar e reportar suspeitas. Aguardar 90 dias para provar um crime antecedente viola o princípio de reporte tempestivo de atividades suspeitas. Notificar o cliente sobre a investigação ou suspeita constitui ‘tipping-off’ (revelação indevida), o que é uma infração legal grave na maioria das jurisdições de prevenção à lavagem de dinheiro.
Conclusão: A gestão de riscos eficaz exige o reporte imediato de suspeitas às autoridades e a escalação de decisões de continuidade de relacionamento para a governança sênior, evitando a revelação indevida ao cliente.
-
Question 3 of 30
3. Question
Uma corretora de ativos virtuais (VASP) de médio porte está revisando sua estrutura de governança do programa de Investigações de Crimes Financeiros (FCI) após uma auditoria interna identificar falhas na integração entre o monitoramento de transações e o comitê de risco. Atualmente, os investigadores encerram casos de alta complexidade sem um fluxo formal de feedback para a alta gestão sobre mudanças nas tipologias de risco observadas em novos ativos digitais. Para alinhar o programa às melhores práticas de governança e garantir que as decisões de manutenção ou saída de clientes sejam estrategicamente fundamentadas, qual deve ser o procedimento prioritário a ser implementado na política da instituição?
Correct
Correto: A governança eficaz de um programa de FCI exige que os resultados das investigações não fiquem isolados no nível operacional. Ao reportar tendências e casos complexos ao Comitê de Risco, a instituição garante que o apetite a risco seja atualizado com base em ameaças reais e emergentes. Isso permite que a alta gestão tome decisões informadas sobre a manutenção de relacionamentos de alto risco e o ajuste necessário nos controles de monitoramento e processos de KYC/CDD.
Incorreto: Delegar decisões críticas apenas ao nível operacional sem supervisão estratégica ignora a responsabilidade da alta gestão sobre o risco residual. A automação total sem revisão humana em casos complexos de criptoativos é ineficaz para identificar tipologias sofisticadas e pode gerar riscos jurídicos. Restringir informações apenas ao compliance ou focar apenas em arquivamento impede que a governança corporativa avalie o impacto sistêmico dos riscos identificados durante o processo investigativo.
Conclusão: A integração entre os resultados das investigações e a governança estratégica é fundamental para a calibração contínua do apetite a risco e a eficácia do programa de combate ao crime financeiro.
Incorrect
Correto: A governança eficaz de um programa de FCI exige que os resultados das investigações não fiquem isolados no nível operacional. Ao reportar tendências e casos complexos ao Comitê de Risco, a instituição garante que o apetite a risco seja atualizado com base em ameaças reais e emergentes. Isso permite que a alta gestão tome decisões informadas sobre a manutenção de relacionamentos de alto risco e o ajuste necessário nos controles de monitoramento e processos de KYC/CDD.
Incorreto: Delegar decisões críticas apenas ao nível operacional sem supervisão estratégica ignora a responsabilidade da alta gestão sobre o risco residual. A automação total sem revisão humana em casos complexos de criptoativos é ineficaz para identificar tipologias sofisticadas e pode gerar riscos jurídicos. Restringir informações apenas ao compliance ou focar apenas em arquivamento impede que a governança corporativa avalie o impacto sistêmico dos riscos identificados durante o processo investigativo.
Conclusão: A integração entre os resultados das investigações e a governança estratégica é fundamental para a calibração contínua do apetite a risco e a eficácia do programa de combate ao crime financeiro.
-
Question 4 of 30
4. Question
Como Gerente de Investigações de Crimes Financeiros em uma corretora de ativos virtuais (VASP), você identifica que um grupo de clientes está realizando transferências frequentes de stablecoins para carteiras externas vinculadas a uma jurisdição de alto risco. Embora as transações individuais estejam abaixo do limite de monitoramento automático de US$ 10.000, o volume agregado em um período de 30 dias ultrapassa US$ 500.000 por cliente. O sistema de monitoramento atual não sinalizou essas atividades como suspeitas devido à configuração baseada em limites fixos por transação. Qual deve ser a sua prioridade imediata para mitigar o risco institucional e melhorar a eficácia do programa de FCI?
Correct
Correto: A abordagem baseada em risco exige que a instituição identifique lacunas nos controles de monitoramento, como a falha em detectar padrões de estruturação ou fracionamento. O ajuste (tuning) dos sistemas para refletir riscos geográficos e comportamentais, aliado à comunicação das falhas à governança (Comitê de Risco), é fundamental para a manutenção da integridade do programa de FCI.
Incorreto: Encerrar contas sem uma investigação prévia (de-risking) pode impedir a coleta de inteligência financeira crucial e não resolve a falha sistêmica no monitoramento. Aumentar os limites de monitoramento para reduzir alertas ignora o risco de transações estruturadas e enfraquece os controles. Aguardar a ação de autoridades policiais é uma postura reativa que viola a obrigação da instituição de monitorar e reportar atividades suspeitas de forma proativa.
Conclusão: A eficácia do programa de FCI depende da identificação proativa de lacunas nos controles e do ajuste contínuo dos sistemas de monitoramento para mitigar riscos emergentes.
Incorrect
Correto: A abordagem baseada em risco exige que a instituição identifique lacunas nos controles de monitoramento, como a falha em detectar padrões de estruturação ou fracionamento. O ajuste (tuning) dos sistemas para refletir riscos geográficos e comportamentais, aliado à comunicação das falhas à governança (Comitê de Risco), é fundamental para a manutenção da integridade do programa de FCI.
Incorreto: Encerrar contas sem uma investigação prévia (de-risking) pode impedir a coleta de inteligência financeira crucial e não resolve a falha sistêmica no monitoramento. Aumentar os limites de monitoramento para reduzir alertas ignora o risco de transações estruturadas e enfraquece os controles. Aguardar a ação de autoridades policiais é uma postura reativa que viola a obrigação da instituição de monitorar e reportar atividades suspeitas de forma proativa.
Conclusão: A eficácia do programa de FCI depende da identificação proativa de lacunas nos controles e do ajuste contínuo dos sistemas de monitoramento para mitigar riscos emergentes.
-
Question 5 of 30
5. Question
Trecho de Relatório de Auditoria Interna: Durante a revisão anual do programa de Inteligência em Crimes Financeiros (FCI) de uma corretora de ativos virtuais, os auditores identificaram que os limites de monitoramento de transações para jurisdições classificadas como de alto risco não eram atualizados há 18 meses. Recentemente, o GAFI atualizou sua lista de jurisdições sob monitoramento intensificado, incluindo países onde a instituição possui uma base crescente de clientes de balcão (OTC). O relatório aponta que o sistema atual não gerou alertas para fluxos de fundos significativos originados nessas novas áreas de risco. Considerando a necessidade de uma decisão baseada em risco e a estrutura de governança da instituição, qual deve ser a ação prioritária do oficial de conformidade?
Correct
Correto: A ação correta envolve a atualização técnica dos sistemas (tuning) e a reavaliação do risco do cliente com base em novas ameaças geográficas. Além disso, em uma estrutura de governança robusta, mudanças significativas no perfil de risco e nos controles devem ser comunicadas e validadas pelas instâncias superiores, como o comitê de risco, para garantir o alinhamento com o apetite ao risco da instituição.
Incorreto: Bloquear contas sem uma análise individualizada viola a abordagem baseada em risco e pode causar danos operacionais desnecessários. Manter parâmetros defasados para evitar alertas ignora a obrigação de detectar atividades suspeitas em áreas de alto risco. Delegar o monitoramento técnico exclusivamente aos gerentes de relacionamento compromete a independência da função de conformidade e a eficácia do monitoramento automatizado.
Conclusão: A eficácia do programa de FCI exige a calibração contínua de ferramentas de monitoramento e a integração de novas ameaças geográficas à governança de risco da instituição.
Incorrect
Correto: A ação correta envolve a atualização técnica dos sistemas (tuning) e a reavaliação do risco do cliente com base em novas ameaças geográficas. Além disso, em uma estrutura de governança robusta, mudanças significativas no perfil de risco e nos controles devem ser comunicadas e validadas pelas instâncias superiores, como o comitê de risco, para garantir o alinhamento com o apetite ao risco da instituição.
Incorreto: Bloquear contas sem uma análise individualizada viola a abordagem baseada em risco e pode causar danos operacionais desnecessários. Manter parâmetros defasados para evitar alertas ignora a obrigação de detectar atividades suspeitas em áreas de alto risco. Delegar o monitoramento técnico exclusivamente aos gerentes de relacionamento compromete a independência da função de conformidade e a eficácia do monitoramento automatizado.
Conclusão: A eficácia do programa de FCI exige a calibração contínua de ferramentas de monitoramento e a integração de novas ameaças geográficas à governança de risco da instituição.
-
Question 6 of 30
6. Question
Trecho do Relatório de Auditoria Interna (2023): A análise da metodologia de avaliação de risco revelou que a instituição não atualizou seus parâmetros de monitoramento após a publicação da nova Avaliação Nacional de Risco (ANR), que destacou o setor de ativos virtuais como de alto risco para financiamento ao terrorismo. Embora o volume de transações de balcão (OTC) tenha crescido 60% no último ano, os limites de alerta permanecem estáticos e baseados em dados de 2021. Com base nos princípios de governança do programa de FCI e na capacidade de tomar decisões baseadas em riscos, qual ação o Oficial de Compliance deve priorizar?
Correct
Correto: A governança de um programa de FCI exige que a instituição alinhe sua avaliação de risco com as prioridades nacionais (ANR) e mudanças significativas no perfil de negócios (aumento de 60% no OTC). O Oficial de Compliance deve levar essas informações ao Conselho ou Comitê de Risco para que o apetite ao risco seja formalmente revisado e os controles de monitoramento sejam ajustados para mitigar as ameaças identificadas.
Incorreto: Bloquear contas indiscriminadamente sem uma análise individualizada viola a abordagem baseada em risco e pode resultar em de-risking indevido. Realizar o tuning técnico sem revisar a governança e o apetite ao risco ignora a responsabilidade da alta gestão na supervisão do programa. Focar apenas em limites históricos e produtividade falha em capturar novas tipologias de risco e negligencia a necessidade de atualizar os controles conforme o cenário de ameaças evolui.
Conclusão: A governança eficaz exige a atualização dinâmica da avaliação de risco e do apetite institucional frente a novas ameaças nacionais e mudanças no volume operacional.
Incorrect
Correto: A governança de um programa de FCI exige que a instituição alinhe sua avaliação de risco com as prioridades nacionais (ANR) e mudanças significativas no perfil de negócios (aumento de 60% no OTC). O Oficial de Compliance deve levar essas informações ao Conselho ou Comitê de Risco para que o apetite ao risco seja formalmente revisado e os controles de monitoramento sejam ajustados para mitigar as ameaças identificadas.
Incorreto: Bloquear contas indiscriminadamente sem uma análise individualizada viola a abordagem baseada em risco e pode resultar em de-risking indevido. Realizar o tuning técnico sem revisar a governança e o apetite ao risco ignora a responsabilidade da alta gestão na supervisão do programa. Focar apenas em limites históricos e produtividade falha em capturar novas tipologias de risco e negligencia a necessidade de atualizar os controles conforme o cenário de ameaças evolui.
Conclusão: A governança eficaz exige a atualização dinâmica da avaliação de risco e do apetite institucional frente a novas ameaças nacionais e mudanças no volume operacional.
-
Question 7 of 30
7. Question
Durante uma auditoria interna no departamento de Inteligência de Crimes Financeiros (FCI) de uma corretora de criptoativos, observou-se que um cliente institucional de alto risco teve cinco Relatórios de Atividades Suspeitas (SARs) protocolados nos últimos 18 meses. Apesar dos alertas contínuos relacionados ao uso de mixers e transações com jurisdições de alto risco, a conta permanece ativa sem uma revisão formal de governança sobre a continuidade do relacionamento. Qual é a ação mais adequada que o investigador sênior deve tomar para alinhar o caso à estrutura de governança de risco da instituição?
Correct
Correto: De acordo com os princípios de governança do programa FCI, decisões críticas sobre relacionamentos que apresentam riscos elevados e recorrentes devem ser escaladas para instâncias superiores, como o Comitê de Risco ou o Conselho. Cabe ao investigador apresentar os fatos e análises para que a instituição tome uma decisão fundamentada no seu apetite de risco, garantindo que a responsabilidade seja compartilhada e documentada adequadamente.
Incorreto: Encerrar a conta automaticamente sem passar pela governança ignora a necessidade de uma avaliação estratégica e pode violar procedimentos internos de escalonamento. Aumentar o monitoramento sem abordar a viabilidade do relacionamento falha em mitigar o risco residual já identificado. Aguardar uma carta de não objeção da UIF é um equívoco comum, pois a responsabilidade de gerir o risco e decidir sobre a manutenção de clientes é exclusivamente da instituição financeira.
Conclusão: Decisões sobre a continuidade de relacionamentos com clientes de alto risco devem ser escaladas para os comitês de governança para garantir o alinhamento com o apetite de risco da instituição.
Incorrect
Correto: De acordo com os princípios de governança do programa FCI, decisões críticas sobre relacionamentos que apresentam riscos elevados e recorrentes devem ser escaladas para instâncias superiores, como o Comitê de Risco ou o Conselho. Cabe ao investigador apresentar os fatos e análises para que a instituição tome uma decisão fundamentada no seu apetite de risco, garantindo que a responsabilidade seja compartilhada e documentada adequadamente.
Incorreto: Encerrar a conta automaticamente sem passar pela governança ignora a necessidade de uma avaliação estratégica e pode violar procedimentos internos de escalonamento. Aumentar o monitoramento sem abordar a viabilidade do relacionamento falha em mitigar o risco residual já identificado. Aguardar uma carta de não objeção da UIF é um equívoco comum, pois a responsabilidade de gerir o risco e decidir sobre a manutenção de clientes é exclusivamente da instituição financeira.
Conclusão: Decisões sobre a continuidade de relacionamentos com clientes de alto risco devem ser escaladas para os comitês de governança para garantir o alinhamento com o apetite de risco da instituição.
-
Question 8 of 30
8. Question
Uma instituição financeira que opera com ativos virtuais identifica, por meio de seu programa de Inteligência em Crimes Financeiros (FCI), um cliente corporativo cujas transações apresentam um nexo significativo com serviços de mixagem (mixers) sem justificativa econômica clara. Após uma investigação detalhada, conclui-se que o risco residual do cliente excede o apetite de risco da instituição. Qual é o procedimento mais adequado para o oficial de conformidade (AML Officer) ao tratar este caso perante a governança da instituição?
Correct
Correto: A decisão de encerrar um relacionamento com um cliente que excede o apetite de risco da instituição deve ser fundamentada em uma análise técnica e submetida à estrutura de governança estabelecida. O oficial de conformidade deve apresentar os fatos, os riscos identificados (como o uso de mixers) e como isso viola as políticas internas, permitindo que o Conselho ou o comitê de risco tome uma decisão informada e documentada, garantindo a conformidade com os processos de escalonamento.
Incorreto: O congelamento imediato e encerramento sem seguir os processos internos pode expor a instituição a riscos jurídicos e operacionais desnecessários. Manter o relacionamento apenas aumentando a frequência do monitoramento é insuficiente se o risco já foi identificado como superior ao apetite de risco aceitável. Delegar a decisão ao gerente de relacionamento é inadequado, pois cria um conflito de interesses direto entre as metas comerciais e as obrigações de mitigação de crimes financeiros.
Conclusão: Decisões de saída de clientes por risco de crime financeiro devem ser validadas pela governança institucional e baseadas em uma avaliação clara do impacto no apetite de risco da organização.
Incorrect
Correto: A decisão de encerrar um relacionamento com um cliente que excede o apetite de risco da instituição deve ser fundamentada em uma análise técnica e submetida à estrutura de governança estabelecida. O oficial de conformidade deve apresentar os fatos, os riscos identificados (como o uso de mixers) e como isso viola as políticas internas, permitindo que o Conselho ou o comitê de risco tome uma decisão informada e documentada, garantindo a conformidade com os processos de escalonamento.
Incorreto: O congelamento imediato e encerramento sem seguir os processos internos pode expor a instituição a riscos jurídicos e operacionais desnecessários. Manter o relacionamento apenas aumentando a frequência do monitoramento é insuficiente se o risco já foi identificado como superior ao apetite de risco aceitável. Delegar a decisão ao gerente de relacionamento é inadequado, pois cria um conflito de interesses direto entre as metas comerciais e as obrigações de mitigação de crimes financeiros.
Conclusão: Decisões de saída de clientes por risco de crime financeiro devem ser validadas pela governança institucional e baseadas em uma avaliação clara do impacto no apetite de risco da organização.
-
Question 9 of 30
9. Question
Uma corretora de ativos virtuais (VASP) identificou, por meio de seu sistema de monitoramento, que um cliente de varejo, anteriormente classificado como de baixo risco, recebeu múltiplas transferências de uma carteira não hospedada (unhosted wallet) associada a um serviço de mixagem de moedas nos últimos 30 dias. O volume total transacionado excede em cinco vezes o perfil de renda declarado no processo de KYC. Após uma investigação interna preliminar, o analista de crimes financeiros confirmou que os fundos foram convertidos em moeda fiduciária e transferidos para uma conta bancária em uma jurisdição de alto risco. Qual é a ação mais apropriada a ser recomendada pelo oficial de conformidade (CCO) ao Comitê de Risco, considerando a governança do programa de FCI?
Correct
Correto: A ação recomendada segue os princípios de governança e a abordagem baseada em risco (RBA). A suspensão de transações e a atualização da classificação de risco mitigam a exposição imediata da instituição. O preenchimento do SAR/STR cumpre a obrigação legal perante a Unidade de Inteligência Financeira. De acordo com os padrões de governança de FCI, decisões críticas sobre a manutenção ou saída de clientes de alto risco devem ser escaladas para comitês seniores ou para o Conselho para garantir que a decisão esteja alinhada ao apetite de risco institucional.
Incorreto: Encerrar a conta imediatamente sem passar pelo processo de governança interna pode violar procedimentos de conformidade e não garante o reporte adequado às autoridades. Manter apenas o monitoramento por 90 dias sem tomar medidas mitigadoras ou reportar a suspeita constitui uma falha grave de controle e atrasa a comunicação de crimes financeiros. Aceitar novos documentos sem reavaliar o risco ignora indicadores claros de lavagem de dinheiro, como o uso de mixers e a desconexão com o perfil financeiro declarado, falhando na aplicação da devida diligência reforçada.
Conclusão: Decisões sobre o encerramento de relacionamentos de alto risco devem ser fundamentadas em investigações técnicas e validadas pela estrutura de governança da instituição para mitigar riscos regulatórios e reputacionais.
Incorrect
Correto: A ação recomendada segue os princípios de governança e a abordagem baseada em risco (RBA). A suspensão de transações e a atualização da classificação de risco mitigam a exposição imediata da instituição. O preenchimento do SAR/STR cumpre a obrigação legal perante a Unidade de Inteligência Financeira. De acordo com os padrões de governança de FCI, decisões críticas sobre a manutenção ou saída de clientes de alto risco devem ser escaladas para comitês seniores ou para o Conselho para garantir que a decisão esteja alinhada ao apetite de risco institucional.
Incorreto: Encerrar a conta imediatamente sem passar pelo processo de governança interna pode violar procedimentos de conformidade e não garante o reporte adequado às autoridades. Manter apenas o monitoramento por 90 dias sem tomar medidas mitigadoras ou reportar a suspeita constitui uma falha grave de controle e atrasa a comunicação de crimes financeiros. Aceitar novos documentos sem reavaliar o risco ignora indicadores claros de lavagem de dinheiro, como o uso de mixers e a desconexão com o perfil financeiro declarado, falhando na aplicação da devida diligência reforçada.
Conclusão: Decisões sobre o encerramento de relacionamentos de alto risco devem ser fundamentadas em investigações técnicas e validadas pela estrutura de governança da instituição para mitigar riscos regulatórios e reputacionais.
-
Question 10 of 30
10. Question
Um especialista em conformidade de uma corretora de ativos virtuais (VASP) identifica que um cliente institucional, cujos fundos eram originalmente provenientes de mineração legítima, passou a receber transferências volumosas de endereços associados a serviços de mistura (mixers) sem justificativa comercial aparente. Após uma investigação interna detalhada que confirmou a suspeita, o especialista deve recomendar uma ação de relacionamento. Qual procedimento reflete a aplicação correta da governança de risco de crimes financeiros ao apresentar o caso para decisão?
Correct
Correto: A governança institucional em programas de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT) exige que casos de alto risco, especialmente aqueles que envolvem atividades suspeitas confirmadas, sejam escalados para comitês seniores ou para a alta gestão. Isso garante que a decisão de manter ou encerrar o relacionamento seja baseada no apetite de risco da instituição, devidamente documentada e tomada por uma instância com autoridade para aceitar riscos residuais elevados.
Incorreto: Delegar a decisão ao setor comercial gera um conflito de interesses inaceitável, pois a prioridade deve ser a mitigação de riscos de crimes financeiros, não a receita. Manter a conta apenas aguardando uma resposta da UIF é um erro comum, pois a responsabilidade de gerir o risco e decidir sobre a manutenção do cliente é da própria instituição financeira. Monitorar isoladamente sem escalonamento ignora a necessidade de uma resposta tempestiva a um risco já identificado, o que pode resultar em falhas de controle e sanções regulatórias.
Conclusão: Decisões críticas sobre o encerramento de relacionamentos com clientes de alto risco devem ser ratificadas pela estrutura de governança para garantir o alinhamento com o apetite de risco da instituição.
Incorrect
Correto: A governança institucional em programas de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT) exige que casos de alto risco, especialmente aqueles que envolvem atividades suspeitas confirmadas, sejam escalados para comitês seniores ou para a alta gestão. Isso garante que a decisão de manter ou encerrar o relacionamento seja baseada no apetite de risco da instituição, devidamente documentada e tomada por uma instância com autoridade para aceitar riscos residuais elevados.
Incorreto: Delegar a decisão ao setor comercial gera um conflito de interesses inaceitável, pois a prioridade deve ser a mitigação de riscos de crimes financeiros, não a receita. Manter a conta apenas aguardando uma resposta da UIF é um erro comum, pois a responsabilidade de gerir o risco e decidir sobre a manutenção do cliente é da própria instituição financeira. Monitorar isoladamente sem escalonamento ignora a necessidade de uma resposta tempestiva a um risco já identificado, o que pode resultar em falhas de controle e sanções regulatórias.
Conclusão: Decisões críticas sobre o encerramento de relacionamentos com clientes de alto risco devem ser ratificadas pela estrutura de governança para garantir o alinhamento com o apetite de risco da instituição.
-
Question 11 of 30
11. Question
Uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) está expandindo suas operações para incluir a custódia de ativos virtuais e transferências transfronteiriças. O MLRO (Money Laundering Reporting Officer) identifica que a estrutura atual de monitoramento de transações foi desenhada apenas para pagamentos domésticos de baixo valor. De acordo com os princípios de governança e a Abordagem Baseada em Risco (RBA), qual é o passo mais crítico a ser tomado antes do lançamento dos novos serviços?
Correct
Correto: A Abordagem Baseada em Risco (RBA) exige que a instituição entenda seus riscos antes de aplicar controles. Ao introduzir novos produtos (ativos virtuais) e novos canais (transfronteiriços), a avaliação de risco institucional deve ser revisada para identificar novas tipologias de crimes financeiros e garantir que a estrutura de governança e os controles de monitoramento sejam adequados ao novo perfil de risco.
Incorreto: Aumentar a equipe para revisão manual sem uma estratégia de risco definida é ineficiente e não aborda a governança de forma estrutural. O sandbox regulatório serve para fomentar a inovação sob supervisão, mas não isenta a instituição de obrigações fundamentais de CDD e AML. Transferir a responsabilidade de triagem de sanções para bancos correspondentes é uma falha de governança, pois a FinTech mantém a responsabilidade primária sobre suas próprias operações e clientes.
Conclusão: Qualquer alteração significativa no modelo de negócios de uma FinTech exige uma reavaliação proativa dos riscos institucionais para alinhar os controles ao novo cenário de ameaças.
Incorrect
Correto: A Abordagem Baseada em Risco (RBA) exige que a instituição entenda seus riscos antes de aplicar controles. Ao introduzir novos produtos (ativos virtuais) e novos canais (transfronteiriços), a avaliação de risco institucional deve ser revisada para identificar novas tipologias de crimes financeiros e garantir que a estrutura de governança e os controles de monitoramento sejam adequados ao novo perfil de risco.
Incorreto: Aumentar a equipe para revisão manual sem uma estratégia de risco definida é ineficiente e não aborda a governança de forma estrutural. O sandbox regulatório serve para fomentar a inovação sob supervisão, mas não isenta a instituição de obrigações fundamentais de CDD e AML. Transferir a responsabilidade de triagem de sanções para bancos correspondentes é uma falha de governança, pois a FinTech mantém a responsabilidade primária sobre suas próprias operações e clientes.
Conclusão: Qualquer alteração significativa no modelo de negócios de uma FinTech exige uma reavaliação proativa dos riscos institucionais para alinhar os controles ao novo cenário de ameaças.
-
Question 12 of 30
12. Question
Uma FinTech de pagamentos instantâneos está planejando expandir suas operações para incluir transferências transfronteiriças para jurisdições de alto risco identificadas pelo GAFI. Durante a fase de desenho do produto, a avaliação de risco inicial indicou que o risco inerente desta nova funcionalidade excede o apetite de risco atualmente aprovado pelo conselho de administração. O Diretor de Conformidade (CCO) foi solicitado a redigir uma atualização na política de gerenciamento de riscos para abordar essa discrepância antes do lançamento. Qual ação deve ser priorizada na redação desta política para garantir a conformidade com uma abordagem baseada em risco (RBA)?
Correct
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), quando o risco inerente de uma nova atividade excede o apetite de risco definido, a instituição deve aplicar controles mitigatórios robustos (como Due Diligence Aprimorada – EDD) para reduzir o risco residual. Se, após a mitigação, o risco ainda estiver fora dos limites, a governança corporativa exige que o conselho de administração revise e aprove formalmente qualquer expansão do apetite de risco antes da implementação.
Incorreto: Reclassificar jurisdições de alto risco sem justificativa técnica é uma falha grave de conformidade e distorce a realidade do risco. Delegar a aceitação de riscos para áreas comerciais ignora a segregação de funções e a estrutura de linhas de defesa, criando conflitos de interesse. Suspender o produto indefinidamente não é uma exigência regulatória, pois o apetite de risco é um documento dinâmico que pode ser atualizado através de processos formais de governança e gestão de riscos.
Conclusão: A gestão de riscos eficaz exige que o risco residual seja mantido dentro do apetite de risco aprovado por meio de controles mitigatórios ou revisões formais de governança.
Incorrect
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), quando o risco inerente de uma nova atividade excede o apetite de risco definido, a instituição deve aplicar controles mitigatórios robustos (como Due Diligence Aprimorada – EDD) para reduzir o risco residual. Se, após a mitigação, o risco ainda estiver fora dos limites, a governança corporativa exige que o conselho de administração revise e aprove formalmente qualquer expansão do apetite de risco antes da implementação.
Incorreto: Reclassificar jurisdições de alto risco sem justificativa técnica é uma falha grave de conformidade e distorce a realidade do risco. Delegar a aceitação de riscos para áreas comerciais ignora a segregação de funções e a estrutura de linhas de defesa, criando conflitos de interesse. Suspender o produto indefinidamente não é uma exigência regulatória, pois o apetite de risco é um documento dinâmico que pode ser atualizado através de processos formais de governança e gestão de riscos.
Conclusão: A gestão de riscos eficaz exige que o risco residual seja mantido dentro do apetite de risco aprovado por meio de controles mitigatórios ou revisões formais de governança.
-
Question 13 of 30
13. Question
Uma FinTech de rápido crescimento que atua como Provedora de Serviços de Pagamento (PSP) está revisando sua estrutura de governança após uma auditoria interna identificar lacunas na segregação de funções. O Diretor de Conformidade (CCO) precisa garantir que a segunda linha de defesa opere de forma independente e eficaz, especialmente no que diz respeito ao monitoramento de transações e reporte de atividades suspeitas. De acordo com os princípios de gestão de risco e a estrutura das Três Linhas de Defesa, qual das seguintes ações melhor define a responsabilidade da segunda linha de defesa em relação ao monitoramento de transações?
Correct
Correto: A segunda linha de defesa é responsável por estabelecer a estrutura de conformidade (AML/CFT), monitorar a adesão às políticas e fornecer orientação técnica. O MLRO (Money Laundering Reporting Officer), que geralmente faz parte desta linha, coordena a análise final e o reporte de atividades suspeitas às autoridades competentes, garantindo que a supervisão seja independente da execução operacional.
Incorreto: A execução direta de controles diários, como o monitoramento em tempo real e o KYC no onboarding, é responsabilidade da primeira linha de defesa (unidades de negócio). A realização de testes independentes e auditorias periódicas é a função principal da terceira linha de defesa. A definição de apetite de risco comercial sem a devida supervisão ou a aprovação de exceções sem revisão de conformidade compromete a integridade do programa de gestão de riscos e viola os princípios de governança.
Conclusão: A segunda linha de defesa deve manter independência para supervisionar e apoiar a primeira linha, garantindo que o programa de AML seja implementado conforme as políticas e regulamentações estabelecidas.
Incorrect
Correto: A segunda linha de defesa é responsável por estabelecer a estrutura de conformidade (AML/CFT), monitorar a adesão às políticas e fornecer orientação técnica. O MLRO (Money Laundering Reporting Officer), que geralmente faz parte desta linha, coordena a análise final e o reporte de atividades suspeitas às autoridades competentes, garantindo que a supervisão seja independente da execução operacional.
Incorreto: A execução direta de controles diários, como o monitoramento em tempo real e o KYC no onboarding, é responsabilidade da primeira linha de defesa (unidades de negócio). A realização de testes independentes e auditorias periódicas é a função principal da terceira linha de defesa. A definição de apetite de risco comercial sem a devida supervisão ou a aprovação de exceções sem revisão de conformidade compromete a integridade do programa de gestão de riscos e viola os princípios de governança.
Conclusão: A segunda linha de defesa deve manter independência para supervisionar e apoiar a primeira linha, garantindo que o programa de AML seja implementado conforme as políticas e regulamentações estabelecidas.
-
Question 14 of 30
14. Question
Uma FinTech de carteira digital, que anteriormente operava apenas no mercado doméstico, planeja lançar uma funcionalidade de remessas internacionais em 30 dias. O MLRO observou que o novo serviço permitirá transferências para jurisdições identificadas com deficiências estratégicas pelo GAFI. Diante dessa expansão de produto e da mudança no perfil de risco da instituição, qual deve ser a prioridade na revisão da estrutura de governança e controles internos para mitigar riscos de lavagem de dinheiro?
Correct
Correto: De acordo com a abordagem baseada em risco, qualquer alteração significativa no modelo de negócios, como a expansão para geografias de alto risco, exige uma atualização imediata da Avaliação Interna de Risco. Isso permite que a instituição recalibre seu apetite de risco e implemente controles proporcionais, como a EDD, antes que o novo produto seja lançado, garantindo que a governança acompanhe a evolução da exposição ao risco.
Incorreto: Adiar a revisão para uma auditoria retrospectiva expõe a FinTech a riscos regulatórios e operacionais graves durante o período inicial. A terceirização de ferramentas tecnológicas (RegTech) não transfere a responsabilidade final de conformidade e supervisão da instituição. O sandbox regulatório é um ambiente para testes controlados, mas não concede isenções automáticas de obrigações fundamentais de AML/CFT, especialmente em transações internacionais de alto risco.
Conclusão: Mudanças no modelo de negócios ou expansão geográfica exigem a atualização proativa da avaliação de risco e dos controles de due diligence para manter a eficácia do programa de conformidade.
Incorrect
Correto: De acordo com a abordagem baseada em risco, qualquer alteração significativa no modelo de negócios, como a expansão para geografias de alto risco, exige uma atualização imediata da Avaliação Interna de Risco. Isso permite que a instituição recalibre seu apetite de risco e implemente controles proporcionais, como a EDD, antes que o novo produto seja lançado, garantindo que a governança acompanhe a evolução da exposição ao risco.
Incorreto: Adiar a revisão para uma auditoria retrospectiva expõe a FinTech a riscos regulatórios e operacionais graves durante o período inicial. A terceirização de ferramentas tecnológicas (RegTech) não transfere a responsabilidade final de conformidade e supervisão da instituição. O sandbox regulatório é um ambiente para testes controlados, mas não concede isenções automáticas de obrigações fundamentais de AML/CFT, especialmente em transações internacionais de alto risco.
Conclusão: Mudanças no modelo de negócios ou expansão geográfica exigem a atualização proativa da avaliação de risco e dos controles de due diligence para manter a eficácia do programa de conformidade.
-
Question 15 of 30
15. Question
Uma FinTech de pagamentos instantâneos que opera há 18 meses decide introduzir uma funcionalidade de custódia de criptoativos para seus clientes de varejo. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) observa que o volume de transações aumentou 40% no último trimestre, superando significativamente as projeções iniciais de apetite de risco da empresa. Diante dessa mudança no modelo de negócios e no perfil operacional, qual deve ser a ação prioritária da instituição em relação à sua estrutura de gestão de riscos?
Correct
Correto: De acordo com a abordagem baseada em risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico e contínuo. A introdução de novos produtos, como criptoativos, e mudanças materiais no volume de negócios alteram o risco inerente da instituição. Portanto, é essencial revisar a avaliação de risco e o apetite de risco para garantir que a estrutura de conformidade e os controles de monitoramento permaneçam adequados e proporcionais às novas ameaças e complexidades operacionais.
Incorreto: Aguardar o ciclo anual de auditoria ou uma inspeção regulatória externa é uma postura reativa que deixa a instituição vulnerável a riscos não mitigados durante o período de transição. Focar exclusivamente em limites quantitativos de monitoramento é insuficiente, pois ignora os riscos qualitativos e as tipologias específicas associadas a novos tipos de ativos, como a pseudonimicidade das criptomoedas. A governança proativa exige que a própria instituição identifique, avalie e mitigue seus riscos de forma independente e tempestiva.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados e atualizados obrigatoriamente sempre que houver mudanças significativas em produtos, serviços ou no perfil operacional da instituição.
Incorrect
Correto: De acordo com a abordagem baseada em risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico e contínuo. A introdução de novos produtos, como criptoativos, e mudanças materiais no volume de negócios alteram o risco inerente da instituição. Portanto, é essencial revisar a avaliação de risco e o apetite de risco para garantir que a estrutura de conformidade e os controles de monitoramento permaneçam adequados e proporcionais às novas ameaças e complexidades operacionais.
Incorreto: Aguardar o ciclo anual de auditoria ou uma inspeção regulatória externa é uma postura reativa que deixa a instituição vulnerável a riscos não mitigados durante o período de transição. Focar exclusivamente em limites quantitativos de monitoramento é insuficiente, pois ignora os riscos qualitativos e as tipologias específicas associadas a novos tipos de ativos, como a pseudonimicidade das criptomoedas. A governança proativa exige que a própria instituição identifique, avalie e mitigue seus riscos de forma independente e tempestiva.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados e atualizados obrigatoriamente sempre que houver mudanças significativas em produtos, serviços ou no perfil operacional da instituição.
-
Question 16 of 30
16. Question
Uma FinTech de rápido crescimento, que anteriormente operava apenas com pagamentos domésticos, está expandindo seus serviços para incluir transferências internacionais de fundos (remessas). O Comitê de Riscos está revisando a estrutura de governança para garantir a conformidade com as regulamentações de Prevenção à Lavagem de Dinheiro (AML). De acordo com os princípios da Abordagem Baseada em Risco (RBA), qual ação a instituição deve priorizar?
Correct
Correto: A Abordagem Baseada em Risco (RBA) é dinâmica e deve ser revisada sempre que houver mudanças significativas no perfil de risco da instituição, como a entrada em novos mercados ou o lançamento de novos produtos. Transferências internacionais introduzem riscos geográficos e operacionais distintos, exigindo que a FinTech reavalie seu apetite de risco e calibre seus sistemas de monitoramento para detectar tipologias específicas de remessas transfronteiriças antes do início das operações.
Incorreto: Manter protocolos de Due Diligence Simplificada para transações internacionais é inadequado, pois estas geralmente apresentam maior risco inerente. Suspender controles até coletar dados é uma falha grave de conformidade, pois a mitigação deve ser preventiva e não apenas reativa. A responsabilidade pela conformidade e pelo monitoramento de transações não pode ser transferida para bancos correspondentes; a FinTech mantém a obrigação legal de monitorar seus próprios clientes e atividades de acordo com sua própria licença e regulação.
Conclusão: A eficácia da governança em AML depende da atualização proativa da avaliação de risco para alinhar os controles operacionais às mudanças no modelo de negócios e na exposição geográfica da FinTech.
Incorrect
Correto: A Abordagem Baseada em Risco (RBA) é dinâmica e deve ser revisada sempre que houver mudanças significativas no perfil de risco da instituição, como a entrada em novos mercados ou o lançamento de novos produtos. Transferências internacionais introduzem riscos geográficos e operacionais distintos, exigindo que a FinTech reavalie seu apetite de risco e calibre seus sistemas de monitoramento para detectar tipologias específicas de remessas transfronteiriças antes do início das operações.
Incorreto: Manter protocolos de Due Diligence Simplificada para transações internacionais é inadequado, pois estas geralmente apresentam maior risco inerente. Suspender controles até coletar dados é uma falha grave de conformidade, pois a mitigação deve ser preventiva e não apenas reativa. A responsabilidade pela conformidade e pelo monitoramento de transações não pode ser transferida para bancos correspondentes; a FinTech mantém a obrigação legal de monitorar seus próprios clientes e atividades de acordo com sua própria licença e regulação.
Conclusão: A eficácia da governança em AML depende da atualização proativa da avaliação de risco para alinhar os controles operacionais às mudanças no modelo de negócios e na exposição geográfica da FinTech.
-
Question 17 of 30
17. Question
Memorando Interno: Do Diretor de Riscos (CRO) para o MLRO. Assunto: Expansão de Serviços e Atualização de Risco. Nossa FinTech planeja introduzir, em 60 dias, um serviço de remessas internacionais focado em mercados emergentes e corredores de pagamento de alto volume. Embora nossa avaliação de risco institucional (Enterprise-Wide Risk Assessment) tenha sido realizada há apenas quatro meses, a nova funcionalidade altera significativamente nossa exposição a jurisdições com diferentes níveis de conformidade AML. Qual ação é fundamental para alinhar a estratégia da empresa com a abordagem baseada em risco (RBA) antes do lançamento?
Correct
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico e não apenas um exercício anual estático. Quando uma FinTech introduz novos produtos, serviços ou expande sua atuação para novas geografias, ela deve reavaliar proativamente suas ameaças e vulnerabilidades. Isso permite que a instituição ajuste seus controles e processos de due diligence antes que a exposição ao risco ocorra, garantindo que o apetite de risco seja respeitado e que os recursos de conformidade sejam alocados de forma eficiente.
Incorreto: Manter o cronograma anual fixo ignora mudanças materiais no perfil de risco, deixando a instituição vulnerável a crimes financeiros não mapeados. Aumentar o apetite de risco sem uma revisão técnica prévia é uma falha de governança que pode levar a sanções regulatórias. Priorizar apenas ferramentas tecnológicas como a triagem de sanções, sem atualizar a avaliação de risco subjacente, é uma abordagem fragmentada que não atende aos requisitos de uma gestão de risco holística e preventiva.
Conclusão: A avaliação de risco institucional deve ser atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica para garantir a eficácia dos controles AML.
Incorrect
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico e não apenas um exercício anual estático. Quando uma FinTech introduz novos produtos, serviços ou expande sua atuação para novas geografias, ela deve reavaliar proativamente suas ameaças e vulnerabilidades. Isso permite que a instituição ajuste seus controles e processos de due diligence antes que a exposição ao risco ocorra, garantindo que o apetite de risco seja respeitado e que os recursos de conformidade sejam alocados de forma eficiente.
Incorreto: Manter o cronograma anual fixo ignora mudanças materiais no perfil de risco, deixando a instituição vulnerável a crimes financeiros não mapeados. Aumentar o apetite de risco sem uma revisão técnica prévia é uma falha de governança que pode levar a sanções regulatórias. Priorizar apenas ferramentas tecnológicas como a triagem de sanções, sem atualizar a avaliação de risco subjacente, é uma abordagem fragmentada que não atende aos requisitos de uma gestão de risco holística e preventiva.
Conclusão: A avaliação de risco institucional deve ser atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica para garantir a eficácia dos controles AML.
-
Question 18 of 30
18. Question
Uma FinTech de carteira digital em rápido crescimento planeja lançar uma nova funcionalidade de remessas internacionais ponto a ponto (P2P). Durante uma auditoria interna preparatória, o Diretor de Prevenção à Lavagem de Dinheiro (MLRO) observa que a última Avaliação Institucional de Risco (AIR) foi realizada há 18 meses e não contempla os riscos geográficos ou de produtos associados a transferências transfronteiriças. De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as diretrizes de governança, qual deve ser a ação imediata da instituição?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA), a Avaliação Institucional de Risco deve ser um processo dinâmico. O lançamento de novos produtos, especialmente aqueles que envolvem transferências internacionais (maior risco inerente), exige uma atualização imediata da avaliação para identificar novas tipologias de crimes financeiros e garantir que os controles de monitoramento sejam proporcionais aos novos riscos.
Incorreto: Aguardar o ciclo anual de revisão é inadequado, pois deixa a instituição exposta a riscos não mitigados durante o período de lançamento. Aplicar EDD isoladamente sem atualizar a governança de risco ignora a necessidade de uma visão holística do apetite de risco da empresa. Delegar a responsabilidade total ao banco correspondente viola os princípios de governança, onde a FinTech deve manter sua própria estrutura de conformidade e gestão de riscos internos.
Conclusão: A Avaliação Institucional de Risco deve ser revisada obrigatoriamente sempre que houver mudanças significativas no modelo de negócios, como o lançamento de novos produtos ou expansão geográfica.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA), a Avaliação Institucional de Risco deve ser um processo dinâmico. O lançamento de novos produtos, especialmente aqueles que envolvem transferências internacionais (maior risco inerente), exige uma atualização imediata da avaliação para identificar novas tipologias de crimes financeiros e garantir que os controles de monitoramento sejam proporcionais aos novos riscos.
Incorreto: Aguardar o ciclo anual de revisão é inadequado, pois deixa a instituição exposta a riscos não mitigados durante o período de lançamento. Aplicar EDD isoladamente sem atualizar a governança de risco ignora a necessidade de uma visão holística do apetite de risco da empresa. Delegar a responsabilidade total ao banco correspondente viola os princípios de governança, onde a FinTech deve manter sua própria estrutura de conformidade e gestão de riscos internos.
Conclusão: A Avaliação Institucional de Risco deve ser revisada obrigatoriamente sempre que houver mudanças significativas no modelo de negócios, como o lançamento de novos produtos ou expansão geográfica.
-
Question 19 of 30
19. Question
Uma FinTech de carteira digital em fase de expansão global acaba de implementar uma nova funcionalidade que permite a conversão instantânea de moedas fiduciárias para criptoativos. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) identifica que o volume de transações aumentou 40% em dois meses, mas os sistemas de monitoramento ainda operam com os parâmetros definidos para o modelo de negócio anterior, focado apenas em pagamentos domésticos. De acordo com os princípios de governança e gestão de risco, qual é o passo mais adequado a ser tomado pela instituição?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA) e os princípios de governança, qualquer mudança significativa no modelo de negócios, como a introdução de criptoativos e transações internacionais, exige uma revisão imediata da avaliação de risco institucional. Isso permite que a FinTech identifique novas vulnerabilidades e ajuste seus controles de monitoramento para detectar tipologias de crimes financeiros específicas desses novos produtos.
Incorreto: Aumentar os limites de tolerância apenas para reduzir o volume de alertas compromete a eficácia do programa de conformidade e pode ocultar atividades suspeitas. Notificar o regulador sobre uma falha de monitoramento sem antes tentar mitigar o risco internamente demonstra falha de governança. A aplicação de Due Diligence Simplificada (SDD) é inadequada para produtos de maior risco, como criptoativos, que geralmente exigem Due Diligence Reforçada (EDD).
Conclusão: A governança de risco deve ser dinâmica e evoluir junto com a inovação de produtos, garantindo que os controles de monitoramento sejam recalibrados para enfrentar novas tipologias de crimes financeiros.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA) e os princípios de governança, qualquer mudança significativa no modelo de negócios, como a introdução de criptoativos e transações internacionais, exige uma revisão imediata da avaliação de risco institucional. Isso permite que a FinTech identifique novas vulnerabilidades e ajuste seus controles de monitoramento para detectar tipologias de crimes financeiros específicas desses novos produtos.
Incorreto: Aumentar os limites de tolerância apenas para reduzir o volume de alertas compromete a eficácia do programa de conformidade e pode ocultar atividades suspeitas. Notificar o regulador sobre uma falha de monitoramento sem antes tentar mitigar o risco internamente demonstra falha de governança. A aplicação de Due Diligence Simplificada (SDD) é inadequada para produtos de maior risco, como criptoativos, que geralmente exigem Due Diligence Reforçada (EDD).
Conclusão: A governança de risco deve ser dinâmica e evoluir junto com a inovação de produtos, garantindo que os controles de monitoramento sejam recalibrados para enfrentar novas tipologias de crimes financeiros.
-
Question 20 of 30
20. Question
Uma FinTech que opera como carteira digital está planejando lançar um novo recurso de remessas internacionais para mercados emergentes. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) identificou que essa expansão altera significativamente o perfil de risco da instituição, anteriormente focado apenas em pagamentos domésticos de baixo valor. De acordo com os princípios de governança e a abordagem baseada em risco (RBA), qual é a ação prioritária que a instituição deve adotar antes do lançamento do novo produto?
Correct
Correto: De acordo com a abordagem baseada em risco (RBA) e os padrões do GAFI, as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento ao terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais, incluindo novos mecanismos de entrega. A revisão da avaliação de risco institucional é fundamental para garantir que os controles, como o monitoramento de transações, sejam proporcionais aos novos riscos geográficos e operacionais assumidos pela FinTech.
Incorreto: Aguardar 90 dias para coletar dados sem ajustar os controles expõe a instituição a riscos inaceitáveis durante o período inicial. A responsabilidade pela conformidade e pela due diligence não pode ser totalmente delegada a terceiros; a instituição financeira retém a responsabilidade final. O de-risking indiscriminado não é uma aplicação correta da abordagem baseada em risco, pois ignora a análise individualizada e pode prejudicar a inclusão financeira sem mitigar riscos de forma eficaz.
Conclusão: Qualquer expansão para novos produtos ou mercados exige uma atualização prévia da avaliação de risco institucional para alinhar os controles de monitoramento ao novo nível de exposição.
Incorrect
Correto: De acordo com a abordagem baseada em risco (RBA) e os padrões do GAFI, as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento ao terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais, incluindo novos mecanismos de entrega. A revisão da avaliação de risco institucional é fundamental para garantir que os controles, como o monitoramento de transações, sejam proporcionais aos novos riscos geográficos e operacionais assumidos pela FinTech.
Incorreto: Aguardar 90 dias para coletar dados sem ajustar os controles expõe a instituição a riscos inaceitáveis durante o período inicial. A responsabilidade pela conformidade e pela due diligence não pode ser totalmente delegada a terceiros; a instituição financeira retém a responsabilidade final. O de-risking indiscriminado não é uma aplicação correta da abordagem baseada em risco, pois ignora a análise individualizada e pode prejudicar a inclusão financeira sem mitigar riscos de forma eficaz.
Conclusão: Qualquer expansão para novos produtos ou mercados exige uma atualização prévia da avaliação de risco institucional para alinhar os controles de monitoramento ao novo nível de exposição.
-
Question 21 of 30
21. Question
Uma FinTech que opera como uma carteira digital está expandindo suas operações para novos mercados internacionais. Para garantir uma governança robusta de acordo com as melhores práticas de gestão de risco, a instituição deve definir claramente as responsabilidades dentro de sua estrutura de controle. Nesse contexto, qual função descreve corretamente o papel da segunda linha de defesa?
Correct
Correto: A segunda linha de defesa, geralmente composta pelas funções de Compliance e Gestão de Risco, é responsável por estabelecer o framework de conformidade, definir as políticas e procedimentos institucionais e supervisionar a eficácia dos controles aplicados pela primeira linha, garantindo que a organização cumpra suas obrigações regulatórias.
Incorreto: A execução de procedimentos de CDD e a verificação de identidade no onboarding são atividades operacionais de responsabilidade da primeira linha de defesa. A prestação de uma avaliação independente e objetiva sobre a eficácia dos controles é a função primordial da terceira linha de defesa (Auditoria Interna). O gerenciamento comercial e o alcance de metas de volume também são funções da primeira linha, que deve equilibrar o crescimento com a execução dos controles preventivos.
Conclusão: A segunda linha de defesa foca na supervisão, definição de políticas e suporte normativo, enquanto a primeira linha executa os controles e a terceira linha realiza auditorias independentes.
Incorrect
Correto: A segunda linha de defesa, geralmente composta pelas funções de Compliance e Gestão de Risco, é responsável por estabelecer o framework de conformidade, definir as políticas e procedimentos institucionais e supervisionar a eficácia dos controles aplicados pela primeira linha, garantindo que a organização cumpra suas obrigações regulatórias.
Incorreto: A execução de procedimentos de CDD e a verificação de identidade no onboarding são atividades operacionais de responsabilidade da primeira linha de defesa. A prestação de uma avaliação independente e objetiva sobre a eficácia dos controles é a função primordial da terceira linha de defesa (Auditoria Interna). O gerenciamento comercial e o alcance de metas de volume também são funções da primeira linha, que deve equilibrar o crescimento com a execução dos controles preventivos.
Conclusão: A segunda linha de defesa foca na supervisão, definição de políticas e suporte normativo, enquanto a primeira linha executa os controles e a terceira linha realiza auditorias independentes.
-
Question 22 of 30
22. Question
Prezado MLRO, nossa FinTech de Meios de Pagamento (PSP) planeja lançar uma funcionalidade de carteira digital com integração para ativos virtuais nos próximos 60 dias. Como pretendemos operar inicialmente dentro de um ambiente de sandbox regulatório para testar a conversão entre moedas fiduciárias e criptoativos, a Diretoria Executiva solicita sua orientação técnica. Considerando que nossa última avaliação de risco institucional foi concluída há mais de um ano, qual deve ser a ação prioritária para garantir que a expansão esteja alinhada com uma Abordagem Baseada em Risco (RBA) eficaz?
Correct
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as recomendações do GAFI/FATF, as instituições financeiras e FinTechs devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais. A realização de uma Avaliação de Risco de Novos Produtos (NPRA) é um passo crítico de governança para garantir que os controles mitigatórios sejam desenhados proporcionalmente aos riscos identificados antes da exposição real ao mercado.
Incorreto: A sugestão de que o sandbox regulatório isenta a instituição de obrigações de AML está incorreta, pois esses ambientes visam inovação, mas mantêm requisitos fundamentais de integridade financeira. Focar apenas em privacidade de dados (PII/LGPD) ignora a responsabilidade regulatória de prevenir crimes financeiros. Adiar a revisão do apetite de risco ou limitar-se apenas à triagem de sanções sem uma avaliação holística de novos produtos viola o princípio da proatividade na gestão de riscos de conformidade.
Conclusão: As FinTechs devem realizar avaliações de risco detalhadas antes do lançamento de novos produtos ou tecnologias para alinhar os controles de AML ao novo perfil de risco da instituição.
Incorrect
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as recomendações do GAFI/FATF, as instituições financeiras e FinTechs devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais. A realização de uma Avaliação de Risco de Novos Produtos (NPRA) é um passo crítico de governança para garantir que os controles mitigatórios sejam desenhados proporcionalmente aos riscos identificados antes da exposição real ao mercado.
Incorreto: A sugestão de que o sandbox regulatório isenta a instituição de obrigações de AML está incorreta, pois esses ambientes visam inovação, mas mantêm requisitos fundamentais de integridade financeira. Focar apenas em privacidade de dados (PII/LGPD) ignora a responsabilidade regulatória de prevenir crimes financeiros. Adiar a revisão do apetite de risco ou limitar-se apenas à triagem de sanções sem uma avaliação holística de novos produtos viola o princípio da proatividade na gestão de riscos de conformidade.
Conclusão: As FinTechs devem realizar avaliações de risco detalhadas antes do lançamento de novos produtos ou tecnologias para alinhar os controles de AML ao novo perfil de risco da instituição.
-
Question 23 of 30
23. Question
Uma carteira digital em rápida expansão, que opera há 18 meses e processa atualmente mais de 100.000 transações diárias, está passando por uma auditoria regulatória. Durante a revisão, o regulador observa que, embora a primeira linha de defesa identifique alertas de forma consistente, a segunda linha de defesa, sob a supervisão do Money Laundering Reporting Officer (MLRO), não possui recursos técnicos suficientes para validar a eficácia das regras de monitoramento de transações em tempo real. Diante dessa lacuna na estrutura de governança e gestão de risco, qual deve ser a prioridade imediata do MLRO para garantir a conformidade com a Abordagem Baseada em Risco (RBA)?
Correct
Correto: A segunda linha de defesa é responsável por monitorar a eficácia dos controles e garantir que a estrutura de AML seja adequada ao apetite de risco da instituição. Ao identificar uma insuficiência de recursos ou falha técnica, o MLRO deve formalizar a necessidade de melhorias por meio de uma análise de lacunas e garantir o apoio da alta gestão para remediar a falha de governança, mantendo a integridade do programa de conformidade.
Incorreto: Transferir a validação para a auditoria interna compromete a independência da terceira linha de defesa, que deve apenas testar o que as outras linhas executam. Suspender transações de alto risco de forma indiscriminada caracteriza uma prática de de-risking ineficiente que não resolve a falha estrutural de governança. Reduzir ou alterar limiares apenas para gerenciar o volume de trabalho, sem uma base técnica de risco, aumenta a vulnerabilidade da instituição ao crime financeiro e falha em cumprir os requisitos regulatórios de monitoramento eficaz.
Conclusão: A eficácia da segunda linha de defesa exige que o MLRO assegure recursos adequados e reporte falhas estruturais à alta administração para manter a conformidade com a abordagem baseada em risco.
Incorrect
Correto: A segunda linha de defesa é responsável por monitorar a eficácia dos controles e garantir que a estrutura de AML seja adequada ao apetite de risco da instituição. Ao identificar uma insuficiência de recursos ou falha técnica, o MLRO deve formalizar a necessidade de melhorias por meio de uma análise de lacunas e garantir o apoio da alta gestão para remediar a falha de governança, mantendo a integridade do programa de conformidade.
Incorreto: Transferir a validação para a auditoria interna compromete a independência da terceira linha de defesa, que deve apenas testar o que as outras linhas executam. Suspender transações de alto risco de forma indiscriminada caracteriza uma prática de de-risking ineficiente que não resolve a falha estrutural de governança. Reduzir ou alterar limiares apenas para gerenciar o volume de trabalho, sem uma base técnica de risco, aumenta a vulnerabilidade da instituição ao crime financeiro e falha em cumprir os requisitos regulatórios de monitoramento eficaz.
Conclusão: A eficácia da segunda linha de defesa exige que o MLRO assegure recursos adequados e reporte falhas estruturais à alta administração para manter a conformidade com a abordagem baseada em risco.
-
Question 24 of 30
24. Question
Uma FinTech de pagamentos instantâneos que opera há 18 meses decide expandir seus serviços para incluir a custódia e troca de ativos virtuais (criptomoedas). O MLRO observa que o apetite de risco original da empresa foi definido antes dessa expansão e que o volume de transações transfronteiriças aumentou 40% no último trimestre devido a novas parcerias internacionais. Diante deste cenário de mudança no modelo de negócio e no perfil operacional, qual deve ser a ação prioritária da equipe de conformidade de acordo com os princípios da abordagem baseada em risco (RBA)?
Correct
Correto: A abordagem baseada em risco (RBA) exige que as instituições financeiras e FinTechs mantenham suas avaliações de risco atualizadas e dinâmicas. A introdução de novos produtos (ativos virtuais) e mudanças significativas no perfil operacional (aumento de 40% em transações transfronteiriças) são gatilhos críticos que exigem uma reavaliação imediata dos riscos inerentes e a atualização do apetite de risco para garantir que os controles internos permaneçam adequados e eficazes.
Incorreto: Aguardar o ciclo anual de auditoria é uma falha de governança, pois os riscos novos e emergentes podem se materializar antes da revisão. Focar apenas no monitoramento de transações sem atualizar a avaliação de risco institucional ignora a necessidade de alinhar a estratégia de conformidade com a governança corporativa. Aguardar passivamente por diretrizes do regulador é incorreto, pois a responsabilidade primária de identificar e mitigar riscos é da própria instituição, conforme os princípios de gestão de risco.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados proativamente sempre que ocorrerem mudanças significativas no modelo de negócios, produtos ou ambiente operacional da FinTech.
Incorrect
Correto: A abordagem baseada em risco (RBA) exige que as instituições financeiras e FinTechs mantenham suas avaliações de risco atualizadas e dinâmicas. A introdução de novos produtos (ativos virtuais) e mudanças significativas no perfil operacional (aumento de 40% em transações transfronteiriças) são gatilhos críticos que exigem uma reavaliação imediata dos riscos inerentes e a atualização do apetite de risco para garantir que os controles internos permaneçam adequados e eficazes.
Incorreto: Aguardar o ciclo anual de auditoria é uma falha de governança, pois os riscos novos e emergentes podem se materializar antes da revisão. Focar apenas no monitoramento de transações sem atualizar a avaliação de risco institucional ignora a necessidade de alinhar a estratégia de conformidade com a governança corporativa. Aguardar passivamente por diretrizes do regulador é incorreto, pois a responsabilidade primária de identificar e mitigar riscos é da própria instituição, conforme os princípios de gestão de risco.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados proativamente sempre que ocorrerem mudanças significativas no modelo de negócios, produtos ou ambiente operacional da FinTech.
-
Question 25 of 30
25. Question
Uma FinTech de carteira digital, operando sob um modelo de licenciamento de Instituição de Pagamento, observa um alerta em seu sistema de monitoramento de transações. Um cliente, anteriormente classificado como de baixo risco, realizou dez transferências instantâneas totalizando R$ 50.000 em 48 horas, utilizando endereços IP de três países diferentes, o que foge completamente do seu perfil transacional histórico. Diante dessa mudança súbita no comportamento e no perfil de risco, qual deve ser a prioridade imediata da equipe de conformidade de acordo com a Abordagem Baseada em Risco (RBA)?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA) e os princípios de KYC/CDD, quando um cliente apresenta um comportamento que diverge significativamente do seu perfil estabelecido (como o uso de múltiplos IPs internacionais e aumento súbito de volume), a instituição deve elevar sua classificação de risco e aplicar Medidas de Diligência Aprimorada (EDD). Isso permite que a FinTech obtenha informações adicionais, como a origem dos fundos, para mitigar riscos de lavagem de dinheiro ou financiamento ao terrorismo de forma eficaz.
Incorreto: Encerrar a conta prematuramente sem uma investigação (de-risking) é desencorajado pelas autoridades reguladoras e impede a coleta de inteligência financeira. O monitoramento passivo por 30 dias é inadequado, pois ignora o risco imediato e a necessidade de ação tempestiva diante de sinais de alerta claros. Focar apenas na possibilidade de fraude de terceiros é uma visão limitada, pois o cenário também apresenta fortes indícios de lavagem de dinheiro que exigem uma análise de conformidade mais ampla antes de qualquer reporte.
Conclusão: Mudanças drásticas no comportamento transacional e geográfico exigem a reclassificação do risco do cliente e a aplicação imediata de Due Diligence Aprimorada (EDD).
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA) e os princípios de KYC/CDD, quando um cliente apresenta um comportamento que diverge significativamente do seu perfil estabelecido (como o uso de múltiplos IPs internacionais e aumento súbito de volume), a instituição deve elevar sua classificação de risco e aplicar Medidas de Diligência Aprimorada (EDD). Isso permite que a FinTech obtenha informações adicionais, como a origem dos fundos, para mitigar riscos de lavagem de dinheiro ou financiamento ao terrorismo de forma eficaz.
Incorreto: Encerrar a conta prematuramente sem uma investigação (de-risking) é desencorajado pelas autoridades reguladoras e impede a coleta de inteligência financeira. O monitoramento passivo por 30 dias é inadequado, pois ignora o risco imediato e a necessidade de ação tempestiva diante de sinais de alerta claros. Focar apenas na possibilidade de fraude de terceiros é uma visão limitada, pois o cenário também apresenta fortes indícios de lavagem de dinheiro que exigem uma análise de conformidade mais ampla antes de qualquer reporte.
Conclusão: Mudanças drásticas no comportamento transacional e geográfico exigem a reclassificação do risco do cliente e a aplicação imediata de Due Diligence Aprimorada (EDD).
-
Question 26 of 30
26. Question
Um extrato de auditoria recente de uma FinTech que atua como Carteira Digital revelou que a empresa implementou uma nova funcionalidade de conversão de criptoativos para moedas fiduciárias (fiat) sem atualizar sua matriz de risco institucional. O auditor observou que o volume de transações aumentou 40% em dois meses, atraindo a atenção de bancos parceiros que fornecem liquidez e serviços de compensação. Diante desse cenário e dos princípios de governança e gestão de risco, qual ação o MLRO (Money Laundering Reporting Officer) deve tomar para mitigar o risco regulatório e evitar o encerramento de contas bancárias por parte dos parceiros (de-risking)?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA), as FinTechs devem atualizar suas avaliações de risco sempre que houver mudanças significativas em seus produtos, serviços ou perfil operacional. A introdução de criptoativos aumenta inerentemente o risco de lavagem de dinheiro devido ao pseudonimato e à velocidade das transações. Atualizar a Avaliação Interna de Risco e calibrar os sistemas de monitoramento demonstra governança sólida e ajuda a manter a confiança das instituições financeiras tradicionais, prevenindo o de-risking.
Incorreto: Aumentar limites sem análise técnica apenas amplia a exposição ao risco. Delegar a responsabilidade total a terceiros é inaceitável, pois a instituição financeira retém a responsabilidade final pela conformidade de seus clientes. Adiar a revisão para o ciclo anual ignora a exigência regulatória de que os controles devem ser proporcionais e contemporâneos aos riscos enfrentados, deixando a empresa vulnerável a sanções e crimes financeiros durante o período de espera.
Conclusão: A atualização proativa da avaliação de risco e dos controles de monitoramento é essencial ao introduzir novos produtos financeiros para garantir a conformidade e a continuidade operacional.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA), as FinTechs devem atualizar suas avaliações de risco sempre que houver mudanças significativas em seus produtos, serviços ou perfil operacional. A introdução de criptoativos aumenta inerentemente o risco de lavagem de dinheiro devido ao pseudonimato e à velocidade das transações. Atualizar a Avaliação Interna de Risco e calibrar os sistemas de monitoramento demonstra governança sólida e ajuda a manter a confiança das instituições financeiras tradicionais, prevenindo o de-risking.
Incorreto: Aumentar limites sem análise técnica apenas amplia a exposição ao risco. Delegar a responsabilidade total a terceiros é inaceitável, pois a instituição financeira retém a responsabilidade final pela conformidade de seus clientes. Adiar a revisão para o ciclo anual ignora a exigência regulatória de que os controles devem ser proporcionais e contemporâneos aos riscos enfrentados, deixando a empresa vulnerável a sanções e crimes financeiros durante o período de espera.
Conclusão: A atualização proativa da avaliação de risco e dos controles de monitoramento é essencial ao introduzir novos produtos financeiros para garantir a conformidade e a continuidade operacional.
-
Question 27 of 30
27. Question
Uma FinTech de pagamentos internacionais recentemente expandiu suas operações para três novos corredores de remessas na Ásia Central, áreas anteriormente não atendidas pela empresa. Após 60 dias do lançamento, o sistema de monitoramento de transações gerou um alerta sistêmico indicando que o volume de transações nessas regiões excedeu as projeções iniciais em 150%, com uma alta incidência de novos clientes categorizados como de alto risco. Diante dessa mudança significativa no perfil operacional e de exposição, qual deve ser a ação prioritária da equipe de conformidade em relação à estrutura de gestão de risco?
Correct
Correto: A abordagem baseada em risco (RBA) exige que a avaliação de risco e o apetite de risco sejam processos dinâmicos. Quando uma instituição entra em novos mercados ou observa mudanças drásticas no volume e perfil de risco de seus clientes, ela deve atualizar proativamente sua avaliação de risco institucional para garantir que os controles e o monitoramento permaneçam eficazes e alinhados com a nova realidade operacional.
Incorreto: Aguardar o ciclo anual de auditoria ignora riscos imediatos que podem expor a instituição a sanções ou crimes financeiros. Aumentar os limites de alerta sem uma análise técnica prévia pode resultar em ‘under-reporting’ e falha na detecção de atividades suspeitas. Delegar a gestão de riscos apenas aos gerentes de produto viola o princípio das linhas de defesa, onde a conformidade deve manter uma supervisão independente e centralizada sobre a governança de risco.
Conclusão: A avaliação de risco institucional deve ser revisada e atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou expansão geográfica da FinTech.
Incorrect
Correto: A abordagem baseada em risco (RBA) exige que a avaliação de risco e o apetite de risco sejam processos dinâmicos. Quando uma instituição entra em novos mercados ou observa mudanças drásticas no volume e perfil de risco de seus clientes, ela deve atualizar proativamente sua avaliação de risco institucional para garantir que os controles e o monitoramento permaneçam eficazes e alinhados com a nova realidade operacional.
Incorreto: Aguardar o ciclo anual de auditoria ignora riscos imediatos que podem expor a instituição a sanções ou crimes financeiros. Aumentar os limites de alerta sem uma análise técnica prévia pode resultar em ‘under-reporting’ e falha na detecção de atividades suspeitas. Delegar a gestão de riscos apenas aos gerentes de produto viola o princípio das linhas de defesa, onde a conformidade deve manter uma supervisão independente e centralizada sobre a governança de risco.
Conclusão: A avaliação de risco institucional deve ser revisada e atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou expansão geográfica da FinTech.
-
Question 28 of 30
28. Question
Uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) está expandindo seus serviços para incluir remessas internacionais para jurisdições classificadas como de alto risco. Diante dessa mudança significativa no modelo de negócio e no perfil de risco, qual ação o Diretor de Prevenção à Lavagem de Dinheiro (MLRO) deve priorizar para manter a conformidade com a Abordagem Baseada em Risco (RBA)?
Correct
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as recomendações do GAFI, qualquer alteração no modelo de negócio que aumente a exposição ao risco (como operar em jurisdições de alto risco) exige uma revisão da avaliação de risco da instituição. A implementação de Diligência Devida Reforçada (EDD) é a resposta de controle necessária e proporcional para mitigar os riscos elevados de lavagem de dinheiro e financiamento do terrorismo.
Incorreto: A delegação de responsabilidade a terceiros não isenta a FinTech de suas próprias obrigações regulatórias de monitoramento. Manter os processos inalterados diante de novos riscos viola o princípio fundamental da RBA, que exige controles dinâmicos. O Sandbox regulatório é um ambiente para testar inovações tecnológicas sob supervisão, mas não oferece isenção ou imunidade contra os requisitos fundamentais de Prevenção à Lavagem de Dinheiro (AML) e identificação de clientes.
Conclusão: Mudanças no perfil de risco operacional, como a expansão para mercados de alto risco, exigem a atualização imediata da avaliação de risco e o fortalecimento proporcional dos controles de diligência.
Incorrect
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as recomendações do GAFI, qualquer alteração no modelo de negócio que aumente a exposição ao risco (como operar em jurisdições de alto risco) exige uma revisão da avaliação de risco da instituição. A implementação de Diligência Devida Reforçada (EDD) é a resposta de controle necessária e proporcional para mitigar os riscos elevados de lavagem de dinheiro e financiamento do terrorismo.
Incorreto: A delegação de responsabilidade a terceiros não isenta a FinTech de suas próprias obrigações regulatórias de monitoramento. Manter os processos inalterados diante de novos riscos viola o princípio fundamental da RBA, que exige controles dinâmicos. O Sandbox regulatório é um ambiente para testar inovações tecnológicas sob supervisão, mas não oferece isenção ou imunidade contra os requisitos fundamentais de Prevenção à Lavagem de Dinheiro (AML) e identificação de clientes.
Conclusão: Mudanças no perfil de risco operacional, como a expansão para mercados de alto risco, exigem a atualização imediata da avaliação de risco e o fortalecimento proporcional dos controles de diligência.
-
Question 29 of 30
29. Question
Uma FinTech de pagamentos peer-to-peer (P2P) está planejando lançar uma nova funcionalidade que permite transferências internacionais instantâneas para jurisdições identificadas como de alto risco pelo GAFI. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) observa que a avaliação de risco institucional e a declaração de apetite de risco da empresa foram atualizadas pela última vez há 18 meses, quando o foco era estritamente em operações domésticas de baixo valor. Diante dessa expansão estratégica, qual deve ser a ação prioritária da equipe de conformidade para garantir a eficácia da abordagem baseada em risco (RBA)?
Correct
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo decorrentes de novos produtos, práticas comerciais ou tecnologias. A expansão para transferências internacionais em jurisdições de alto risco constitui uma mudança material no perfil de risco da FinTech, exigindo que a avaliação de risco e o apetite de risco sejam revisados e atualizados antes que o novo serviço seja oferecido, garantindo que os controles sejam proporcionais às novas ameaças.
Incorreto: Aguardar o ciclo anual de auditoria ou a detecção de alertas é uma postura reativa que expõe a instituição a riscos regulatórios e sancionatórios significativos. A responsabilidade pela conformidade e avaliação de risco é da própria FinTech e não pode ser totalmente delegada a terceiros ou bancos correspondentes. Ajustar limites de monitoramento de forma uniforme ignora a necessidade de segmentação por perfil de risco e não substitui a necessidade fundamental de atualizar a estrutura de governança e o apetite de risco perante novos cenários de ameaça.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados dinamicamente sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica da instituição.
Incorrect
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo decorrentes de novos produtos, práticas comerciais ou tecnologias. A expansão para transferências internacionais em jurisdições de alto risco constitui uma mudança material no perfil de risco da FinTech, exigindo que a avaliação de risco e o apetite de risco sejam revisados e atualizados antes que o novo serviço seja oferecido, garantindo que os controles sejam proporcionais às novas ameaças.
Incorreto: Aguardar o ciclo anual de auditoria ou a detecção de alertas é uma postura reativa que expõe a instituição a riscos regulatórios e sancionatórios significativos. A responsabilidade pela conformidade e avaliação de risco é da própria FinTech e não pode ser totalmente delegada a terceiros ou bancos correspondentes. Ajustar limites de monitoramento de forma uniforme ignora a necessidade de segmentação por perfil de risco e não substitui a necessidade fundamental de atualizar a estrutura de governança e o apetite de risco perante novos cenários de ameaça.
Conclusão: A avaliação de risco e o apetite de risco devem ser revisados dinamicamente sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica da instituição.
-
Question 30 of 30
30. Question
Uma carteira digital de rápido crescimento recebe um alerta de monitoramento de transações para um cliente que, nos últimos 30 dias, aumentou seu volume de transações em 400%. O sistema detectou que o cliente acessou a conta de quatro endereços IP diferentes em jurisdições de alto risco em um intervalo de 24 horas. Ao revisar o perfil de Due Diligence (CDD), o analista observa que a ocupação declarada é de consultor independente com renda moderada, o que não condiz com o novo patamar financeiro. Qual deve ser a prioridade do analista de conformidade ao aplicar a Abordagem Baseada em Risco (RBA) neste cenário?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA), quando um cliente apresenta comportamentos que fogem do seu perfil transacional padrão ou envolvem jurisdições de risco, a instituição deve aplicar a Diligência Devida Aprimorada (EDD). Isso permite que o analista obtenha informações adicionais, como a origem da riqueza e dos fundos, para determinar se a atividade é legítima ou se há suspeita de lavagem de dinheiro antes de tomar medidas drásticas ou relatórios formais.
Incorreto: Encerrar a conta sem uma investigação prévia é uma medida reativa que pode levar ao de-risking inadequado e impede a coleta de inteligência financeira. O preenchimento de um SAR sem análise interna ignora o fluxo de governança onde a suspeita deve ser fundamentada. Ajustar os parâmetros para ignorar o alerta é uma falha grave de controle que expõe a FinTech a riscos regulatórios e operacionais significativos.
Conclusão: A Diligência Devida Aprimorada (EDD) é a resposta regulatória correta para mitigar riscos quando o comportamento do cliente é inconsistente com seu perfil de risco e ocupação declarada.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA), quando um cliente apresenta comportamentos que fogem do seu perfil transacional padrão ou envolvem jurisdições de risco, a instituição deve aplicar a Diligência Devida Aprimorada (EDD). Isso permite que o analista obtenha informações adicionais, como a origem da riqueza e dos fundos, para determinar se a atividade é legítima ou se há suspeita de lavagem de dinheiro antes de tomar medidas drásticas ou relatórios formais.
Incorreto: Encerrar a conta sem uma investigação prévia é uma medida reativa que pode levar ao de-risking inadequado e impede a coleta de inteligência financeira. O preenchimento de um SAR sem análise interna ignora o fluxo de governança onde a suspeita deve ser fundamentada. Ajustar os parâmetros para ignorar o alerta é uma falha grave de controle que expõe a FinTech a riscos regulatórios e operacionais significativos.
Conclusão: A Diligência Devida Aprimorada (EDD) é a resposta regulatória correta para mitigar riscos quando o comportamento do cliente é inconsistente com seu perfil de risco e ocupação declarada.
