Quiz-summary
0 of 29 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 29 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- Answered
- Review
-
Question 1 of 29
1. Question
Um oficial de conformidade está revisando a abertura de conta para uma empresa de consultoria sediada em uma jurisdição offshore de baixa tributação. A estrutura acionária é composta por duas camadas de holdings intermediárias, e o representante legal afirma que o controle final é exercido por um fundo de investimento familiar cujos beneficiários não são divulgados publicamente. O propósito declarado da conta é realizar transferências internacionais de alto valor para pagamentos de serviços de gestão. Diante dessa estrutura complexa e do risco de empresa de fachada, qual é a ação mais adequada de acordo com os padrões de Due Diligence Reforçada (EDD)?
Correct
Correto: Em estruturas corporativas complexas e opacas, as diretrizes de AML exigem a identificação do Beneficiário Final (UBO) até chegar à pessoa física. A Due Diligence Reforçada (EDD) é necessária para mitigar riscos de lavagem de dinheiro e evasão fiscal, o que inclui obrigatoriamente a verificação da origem da riqueza (Source of Wealth) e da origem dos fundos (Source of Funds) para assegurar que o patrimônio é legítimo.
Incorreto: Confiar apenas em declarações de representantes ou cartas de idoneidade sem verificação independente é insuficiente para mitigar o risco de empresas de fachada. Ignorar as holdings intermediárias na triagem compromete a integridade do processo de KYC. Além disso, leis de privacidade de dados locais não sobrepõem a obrigação regulatória de identificar o beneficiário final antes de estabelecer um relacionamento de alto risco.
Conclusão: A identificação do beneficiário final e a validação da origem dos recursos são procedimentos obrigatórios e fundamentais na mitigação de riscos em estruturas corporativas complexas.
Incorrect
Correto: Em estruturas corporativas complexas e opacas, as diretrizes de AML exigem a identificação do Beneficiário Final (UBO) até chegar à pessoa física. A Due Diligence Reforçada (EDD) é necessária para mitigar riscos de lavagem de dinheiro e evasão fiscal, o que inclui obrigatoriamente a verificação da origem da riqueza (Source of Wealth) e da origem dos fundos (Source of Funds) para assegurar que o patrimônio é legítimo.
Incorreto: Confiar apenas em declarações de representantes ou cartas de idoneidade sem verificação independente é insuficiente para mitigar o risco de empresas de fachada. Ignorar as holdings intermediárias na triagem compromete a integridade do processo de KYC. Além disso, leis de privacidade de dados locais não sobrepõem a obrigação regulatória de identificar o beneficiário final antes de estabelecer um relacionamento de alto risco.
Conclusão: A identificação do beneficiário final e a validação da origem dos recursos são procedimentos obrigatórios e fundamentais na mitigação de riscos em estruturas corporativas complexas.
-
Question 2 of 29
2. Question
Durante o processo de integração de um novo cliente corporativo, um oficial de conformidade observa que a entidade é uma holding registrada em uma jurisdição de sigilo financeiro, com uma estrutura de propriedade composta por múltiplas camadas de empresas estrangeiras. A documentação inicial não revela um propósito comercial óbvio para tal complexidade. Qual ação o oficial deve priorizar para cumprir os padrões de identificação do beneficiário final (UBO) e avaliação de risco?
Correct
Correto: De acordo com as recomendações do GAFI e os padrões da ACAMS, quando uma estrutura corporativa é excessivamente complexa ou envolve jurisdições de alto risco, a instituição deve aplicar a Diligência Prévia Reforçada (EDD). O objetivo central é identificar o Beneficiário Final (UBO), que deve ser sempre uma pessoa natural, e compreender a origem lícita do patrimônio para evitar o uso de empresas de fachada para lavagem de dinheiro ou evasão fiscal.
Incorreto: Identificar apenas diretores ou signatários é insuficiente, pois eles podem ser apenas representantes nominais e não os verdadeiros proprietários. Confiar exclusivamente em documentos de jurisdições de sigilo sem investigação adicional falha em mitigar o risco de ocultação de ativos. Classificar como risco moderado e aceitar declarações de terceiros sem verificação independente ignora os sinais de alerta (red flags) inerentes a estruturas opacas e sem propósito comercial claro.
Conclusão: A identificação da pessoa natural que detém o controle final (UBO) e a verificação da origem dos fundos são obrigatórias em estruturas complexas para mitigar o risco de uso de empresas de fachada.
Incorrect
Correto: De acordo com as recomendações do GAFI e os padrões da ACAMS, quando uma estrutura corporativa é excessivamente complexa ou envolve jurisdições de alto risco, a instituição deve aplicar a Diligência Prévia Reforçada (EDD). O objetivo central é identificar o Beneficiário Final (UBO), que deve ser sempre uma pessoa natural, e compreender a origem lícita do patrimônio para evitar o uso de empresas de fachada para lavagem de dinheiro ou evasão fiscal.
Incorreto: Identificar apenas diretores ou signatários é insuficiente, pois eles podem ser apenas representantes nominais e não os verdadeiros proprietários. Confiar exclusivamente em documentos de jurisdições de sigilo sem investigação adicional falha em mitigar o risco de ocultação de ativos. Classificar como risco moderado e aceitar declarações de terceiros sem verificação independente ignora os sinais de alerta (red flags) inerentes a estruturas opacas e sem propósito comercial claro.
Conclusão: A identificação da pessoa natural que detém o controle final (UBO) e a verificação da origem dos fundos são obrigatórias em estruturas complexas para mitigar o risco de uso de empresas de fachada.
-
Question 3 of 29
3. Question
Durante uma auditoria interna no departamento de onboarding de um banco de investimento, um auditor analisa o dossiê de um novo cliente corporativo de alto risco. O auditor observa que, embora o Beneficiário Final (UBO) tenha sido identificado, o sistema de triagem gerou um alerta de ‘match’ parcial com uma lista de sanções internacionais. O analista de KYC descartou o alerta como ‘falso positivo’ citando apenas uma pequena diferença na grafia do nome, sem anexar evidências de fontes secundárias ou documentos de identidade. Além disso, o perfil do cliente não detalha a origem da riqueza do UBO, apesar de este ser uma Pessoa Politicamente Exposta (PEP). Qual é a principal deficiência de controle que o auditor deve reportar?
Correct
Correto: Para clientes classificados como de alto risco e PEPs, a Diligência Reforçada (EDD) é um requisito regulatório essencial que deve incluir a verificação da origem da riqueza e dos fundos. Além disso, qualquer decisão de desconsiderar um alerta de sanções (falso positivo) deve ser fundamentada com evidências verificáveis de fontes independentes para garantir a integridade da trilha de auditoria e a conformidade com as políticas de PLD/CFT.
Incorreto: O monitoramento de transações em tempo real é um controle operacional importante, mas não substitui a falha fundamental na fase de identificação e verificação do cliente. A privacidade de dados é uma preocupação secundária neste contexto de falha de conformidade em PLD. A falha no algoritmo é um problema sistêmico, mas a deficiência de controle principal reside no processo de análise humana e na falta de documentação comprobatória para decisões de risco críticas.
Conclusão: A auditoria interna deve assegurar que clientes de alto risco e PEPs passem por uma Diligência Reforçada (EDD) rigorosa, com todas as decisões de triagem devidamente documentadas e fundamentadas.
Incorrect
Correto: Para clientes classificados como de alto risco e PEPs, a Diligência Reforçada (EDD) é um requisito regulatório essencial que deve incluir a verificação da origem da riqueza e dos fundos. Além disso, qualquer decisão de desconsiderar um alerta de sanções (falso positivo) deve ser fundamentada com evidências verificáveis de fontes independentes para garantir a integridade da trilha de auditoria e a conformidade com as políticas de PLD/CFT.
Incorreto: O monitoramento de transações em tempo real é um controle operacional importante, mas não substitui a falha fundamental na fase de identificação e verificação do cliente. A privacidade de dados é uma preocupação secundária neste contexto de falha de conformidade em PLD. A falha no algoritmo é um problema sistêmico, mas a deficiência de controle principal reside no processo de análise humana e na falta de documentação comprobatória para decisões de risco críticas.
Conclusão: A auditoria interna deve assegurar que clientes de alto risco e PEPs passem por uma Diligência Reforçada (EDD) rigorosa, com todas as decisões de triagem devidamente documentadas e fundamentadas.
-
Question 4 of 29
4. Question
Durante uma revisão periódica de conformidade, um oficial de AML analisa uma empresa de consultoria sediada em uma jurisdição de baixa tributação que abriu uma conta há seis meses. A estrutura acionária revela que 60% da empresa pertence a uma fundação em Liechtenstein, enquanto os 40% restantes são divididos entre três indivíduos. Durante a triagem de mídia adversa, surge uma notícia de dois anos atrás vinculando um dos acionistas minoritários, que detém 15% de participação, a uma investigação de suborno em um país vizinho, embora nenhuma condenação tenha sido registrada. Qual deve ser a prioridade do oficial de conformidade ao atualizar o perfil de risco deste cliente?
Correct
Correto: A identificação do Beneficiário Final (UBO) é mandatória, especialmente quando há estruturas complexas ou fundações em jurisdições offshore que podem ocultar o controle real. Mesmo que um acionista individual possua menos de 25%, a presença de mídia adversa relacionada a crimes financeiros (suborno) e a opacidade da estrutura societária são sinais de alerta (red flags) que exigem a elevação do risco para ‘Alto’ e a aplicação de medidas de Diligência Prévia Reforçada (EDD) para mitigar riscos reputacionais e operacionais.
Incorreto: Ignorar a mídia adversa baseando-se apenas em limites percentuais de participação falha em capturar o risco qualitativo associado ao cliente. O encerramento imediato da conta sem uma análise aprofundada é uma medida extrema que ignora o processo de avaliação de risco baseado em fatos. Aceitar uma fundação como entidade que dispensa verificação de UBO sem evidências de que ela é regulada e transparente viola os padrões fundamentais de KYC e as recomendações do GAFI/FATF sobre transparência de pessoas jurídicas.
Conclusão: A identificação de beneficiários finais em estruturas complexas e a análise de mídia adversa, independentemente de limites percentuais, são essenciais para uma classificação de risco precisa e para a aplicação de EDD.
Incorrect
Correto: A identificação do Beneficiário Final (UBO) é mandatória, especialmente quando há estruturas complexas ou fundações em jurisdições offshore que podem ocultar o controle real. Mesmo que um acionista individual possua menos de 25%, a presença de mídia adversa relacionada a crimes financeiros (suborno) e a opacidade da estrutura societária são sinais de alerta (red flags) que exigem a elevação do risco para ‘Alto’ e a aplicação de medidas de Diligência Prévia Reforçada (EDD) para mitigar riscos reputacionais e operacionais.
Incorreto: Ignorar a mídia adversa baseando-se apenas em limites percentuais de participação falha em capturar o risco qualitativo associado ao cliente. O encerramento imediato da conta sem uma análise aprofundada é uma medida extrema que ignora o processo de avaliação de risco baseado em fatos. Aceitar uma fundação como entidade que dispensa verificação de UBO sem evidências de que ela é regulada e transparente viola os padrões fundamentais de KYC e as recomendações do GAFI/FATF sobre transparência de pessoas jurídicas.
Conclusão: A identificação de beneficiários finais em estruturas complexas e a análise de mídia adversa, independentemente de limites percentuais, são essenciais para uma classificação de risco precisa e para a aplicação de EDD.
-
Question 5 of 29
5. Question
Durante o processo de integração (onboarding) de um novo cliente corporativo, um analista de conformidade identifica que a empresa possui uma estrutura de propriedade altamente complexa, envolvendo múltiplas jurisdições offshore. Embora o beneficiário final (UBO) declarado não apareça em listas de sanções, uma pesquisa de mídia adversa revela que um dos diretores executivos foi investigado por crimes financeiros em sua jurisdição de origem há cinco anos. Qual é o próximo passo mais adequado de acordo com as melhores práticas de Prevenção à Lavagem de Dinheiro (PLD)?
Correct
Correto: A realização de uma Diligência Prévia Reforçada (EDD) é a resposta correta e necessária quando são identificados fatores de alto risco, como estruturas societárias complexas e mídia adversa. O analista deve ir além da verificação básica para entender o propósito da estrutura e garantir que a origem dos fundos e do patrimônio seja legítima, mitigando riscos reputacionais e operacionais.
Incorreto: Prosseguir sem investigação adicional ignora sinais de alerta claros de risco de lavagem de dinheiro. Registrar um SAR imediatamente é prematuro, pois a mídia adversa por si só exige investigação, não necessariamente uma denúncia automática sem análise de fatos. Confiar exclusivamente em recomendações de terceiros ou bancos correspondentes em jurisdições de risco não substitui a responsabilidade da instituição de realizar sua própria due diligence independente.
Conclusão: A Diligência Prévia Reforçada (EDD) é obrigatória para mitigar riscos em estruturas complexas e quando há informações negativas sobre indivíduos-chave da entidade.
Incorrect
Correto: A realização de uma Diligência Prévia Reforçada (EDD) é a resposta correta e necessária quando são identificados fatores de alto risco, como estruturas societárias complexas e mídia adversa. O analista deve ir além da verificação básica para entender o propósito da estrutura e garantir que a origem dos fundos e do patrimônio seja legítima, mitigando riscos reputacionais e operacionais.
Incorreto: Prosseguir sem investigação adicional ignora sinais de alerta claros de risco de lavagem de dinheiro. Registrar um SAR imediatamente é prematuro, pois a mídia adversa por si só exige investigação, não necessariamente uma denúncia automática sem análise de fatos. Confiar exclusivamente em recomendações de terceiros ou bancos correspondentes em jurisdições de risco não substitui a responsabilidade da instituição de realizar sua própria due diligence independente.
Conclusão: A Diligência Prévia Reforçada (EDD) é obrigatória para mitigar riscos em estruturas complexas e quando há informações negativas sobre indivíduos-chave da entidade.
-
Question 6 of 29
6. Question
Durante uma auditoria interna em uma instituição financeira, um auditor analisa o dossiê de um novo cliente corporativo, a ‘Oceanic Trading Ltd.’, registrada em uma jurisdição offshore. A estrutura societária revela que 100% das ações pertencem a uma fundação privada, cujos beneficiários não são explicitamente listados, e a empresa não apresenta evidências de atividade comercial física ou funcionários locais. Diante desse cenário de potencial empresa de fachada (shell company), qual é o procedimento mais adequado para cumprir os requisitos de identificação do beneficiário final (UBO) e avaliação de risco?
Correct
Correto: Em casos envolvendo estruturas societárias complexas, fundações ou potenciais empresas de fachada, as normas internacionais e os padrões do GAFI/FATF exigem que a instituição financeira vá além da documentação formal. É mandatório identificar a pessoa natural que detém o controle efetivo (UBO) e compreender a substância econômica da entidade. A diligência reforçada (EDD) é a ferramenta correta para mitigar riscos em jurisdições de alto risco ou estruturas opacas, garantindo que a conta não seja utilizada para lavagem de dinheiro ou evasão fiscal.
Incorreto: Classificar o risco como médio ignora os sinais de alerta (red flags) evidentes de uma empresa de fachada em jurisdição offshore. Aceitar diretores nomeados (nominees) como beneficiários finais é uma falha grave de conformidade, pois eles não representam o controle real. Notificar as autoridades reguladoras sem concluir a análise interna é um procedimento prematuro; a instituição deve primeiro completar sua investigação para fundamentar um Relatório de Atividade Suspeita (SAR/STR) se necessário.
Conclusão: A identificação do beneficiário final em estruturas complexas exige a busca pela pessoa natural que exerce o controle efetivo, independentemente da camada jurídica apresentada.
Incorrect
Correto: Em casos envolvendo estruturas societárias complexas, fundações ou potenciais empresas de fachada, as normas internacionais e os padrões do GAFI/FATF exigem que a instituição financeira vá além da documentação formal. É mandatório identificar a pessoa natural que detém o controle efetivo (UBO) e compreender a substância econômica da entidade. A diligência reforçada (EDD) é a ferramenta correta para mitigar riscos em jurisdições de alto risco ou estruturas opacas, garantindo que a conta não seja utilizada para lavagem de dinheiro ou evasão fiscal.
Incorreto: Classificar o risco como médio ignora os sinais de alerta (red flags) evidentes de uma empresa de fachada em jurisdição offshore. Aceitar diretores nomeados (nominees) como beneficiários finais é uma falha grave de conformidade, pois eles não representam o controle real. Notificar as autoridades reguladoras sem concluir a análise interna é um procedimento prematuro; a instituição deve primeiro completar sua investigação para fundamentar um Relatório de Atividade Suspeita (SAR/STR) se necessário.
Conclusão: A identificação do beneficiário final em estruturas complexas exige a busca pela pessoa natural que exerce o controle efetivo, independentemente da camada jurídica apresentada.
-
Question 7 of 29
7. Question
Durante o processo de integração de um novo cliente corporativo, um oficial de conformidade analisa uma estrutura de propriedade complexa envolvendo uma empresa de fachada sediada em uma jurisdição offshore. O cliente afirma que a empresa é utilizada para fins de planejamento sucessório e eficiência fiscal, mas se recusa a fornecer a identidade da pessoa natural que detém 30% das ações através de um trust, citando cláusulas de confidencialidade rigorosas da jurisdição de origem. Diante dessa limitação na identificação do Beneficiário Final (UBO), qual é o procedimento correto a ser adotado pelo oficial de conformidade?
Correct
Correto: De acordo com os padrões internacionais do GAFI (FATF) e as regulamentações de AML, as instituições financeiras devem identificar e verificar a identidade dos beneficiários finais (pessoas naturais). Se uma instituição não conseguir cumprir os requisitos de due diligence do cliente (CDD), ela não deve abrir a conta, deve encerrar a relação comercial e considerar a apresentação de um relatório de transação suspeita (SAR/STR). A opacidade em estruturas de trust e empresas de fachada é um sinal de alerta clássico para lavagem de dinheiro.
Incorreto: Classificar como alto risco sem identificar o UBO é insuficiente, pois a identificação é um requisito regulatório básico que não pode ser mitigado apenas com monitoramento. Identificar diretores nominais como UBOs quando há um proprietário real é uma falha de conformidade que permite o uso de testas-de-ferro. Cartas de recomendação de outras instituições não substituem a obrigação da própria instituição de realizar sua due diligence e verificar a propriedade efetiva de forma independente.
Conclusão: A impossibilidade de identificar a pessoa natural por trás de estruturas corporativas complexas impede o estabelecimento da relação de negócio e exige a avaliação de reporte às autoridades.
Incorrect
Correto: De acordo com os padrões internacionais do GAFI (FATF) e as regulamentações de AML, as instituições financeiras devem identificar e verificar a identidade dos beneficiários finais (pessoas naturais). Se uma instituição não conseguir cumprir os requisitos de due diligence do cliente (CDD), ela não deve abrir a conta, deve encerrar a relação comercial e considerar a apresentação de um relatório de transação suspeita (SAR/STR). A opacidade em estruturas de trust e empresas de fachada é um sinal de alerta clássico para lavagem de dinheiro.
Incorreto: Classificar como alto risco sem identificar o UBO é insuficiente, pois a identificação é um requisito regulatório básico que não pode ser mitigado apenas com monitoramento. Identificar diretores nominais como UBOs quando há um proprietário real é uma falha de conformidade que permite o uso de testas-de-ferro. Cartas de recomendação de outras instituições não substituem a obrigação da própria instituição de realizar sua due diligence e verificar a propriedade efetiva de forma independente.
Conclusão: A impossibilidade de identificar a pessoa natural por trás de estruturas corporativas complexas impede o estabelecimento da relação de negócio e exige a avaliação de reporte às autoridades.
-
Question 8 of 29
8. Question
Durante uma auditoria interna no departamento de onboarding de um banco privado, um auditor identifica que uma conta corporativa foi aberta para uma empresa de fachada (shell company) sediada em uma jurisdição de baixa tributação. O perfil do cliente indica que o beneficiário final (UBO) é um parente próximo de uma Pessoa Politicamente Exposta (PEP), mas a verificação inicial não sinalizou a necessidade de Diligência Devida Aprimorada (EDD). Qual ação o auditor deve recomendar para alinhar o processo aos padrões internacionais de conformidade?
Correct
Correto: De acordo com as recomendações do GAFI/FATF e os padrões de conformidade da ACAMS, clientes que envolvem PEPs, seus familiares ou associados próximos, especialmente quando operam através de estruturas complexas como empresas de fachada em jurisdições offshore, devem ser classificados como de alto risco. Isso exige a aplicação de Diligência Devida Aprimorada (EDD), que inclui a verificação da origem da riqueza e dos fundos, além da aprovação obrigatória da alta gerência para iniciar ou manter o relacionamento comercial.
Incorreto: O encerramento imediato da conta não é a recomendação inicial padrão, pois a abordagem baseada em risco sugere primeiro a aplicação de controles reforçados e investigação. Desconsiderar fontes secundárias ou mídia adversa é uma falha grave na triagem de clientes, pois essas fontes são essenciais para identificar riscos que não constam em registros oficiais. A diligência simplificada é inadequada para qualquer cenário que envolva PEPs ou jurisdições de alto risco, independentemente do valor das transações, devido ao risco inerente de corrupção e lavagem de dinheiro.
Conclusão: Relacionamentos que envolvem PEPs e estruturas corporativas complexas exigem obrigatoriamente a classificação de alto risco, aplicação de EDD e supervisão da alta gestão.
Incorrect
Correto: De acordo com as recomendações do GAFI/FATF e os padrões de conformidade da ACAMS, clientes que envolvem PEPs, seus familiares ou associados próximos, especialmente quando operam através de estruturas complexas como empresas de fachada em jurisdições offshore, devem ser classificados como de alto risco. Isso exige a aplicação de Diligência Devida Aprimorada (EDD), que inclui a verificação da origem da riqueza e dos fundos, além da aprovação obrigatória da alta gerência para iniciar ou manter o relacionamento comercial.
Incorreto: O encerramento imediato da conta não é a recomendação inicial padrão, pois a abordagem baseada em risco sugere primeiro a aplicação de controles reforçados e investigação. Desconsiderar fontes secundárias ou mídia adversa é uma falha grave na triagem de clientes, pois essas fontes são essenciais para identificar riscos que não constam em registros oficiais. A diligência simplificada é inadequada para qualquer cenário que envolva PEPs ou jurisdições de alto risco, independentemente do valor das transações, devido ao risco inerente de corrupção e lavagem de dinheiro.
Conclusão: Relacionamentos que envolvem PEPs e estruturas corporativas complexas exigem obrigatoriamente a classificação de alto risco, aplicação de EDD e supervisão da alta gestão.
-
Question 9 of 29
9. Question
Durante uma revisão periódica de conformidade em um banco privado, um oficial de AML identifica que uma holding sediada em uma jurisdição de baixa tributação alterou sua estrutura de propriedade. O novo Beneficiário Final (UBO) foi citado em relatórios recentes de mídia adversa relacionados a uma investigação de suborno em contratos governamentais estrangeiros, embora nenhuma acusação formal tenha sido feita. Além disso, a conta apresentou um aumento súbito no volume de transferências eletrônicas que não condiz com o propósito comercial declarado anteriormente. Diante desse cenário, qual é a ação mais adequada a ser tomada pelo oficial de conformidade?
Correct
Correto: A combinação de uma mudança no Beneficiário Final (UBO) com mídia adversa relevante, o uso de jurisdições offshore e atividades transacionais inconsistentes são sinais de alerta claros que exigem a reclassificação do cliente para alto risco. De acordo com os padrões do GAFI/FATF e da ACAMS, nesses casos é obrigatória a aplicação de Diligência Devida Aprimorada (EDD), focando especialmente na verificação da origem da riqueza (Source of Wealth) e da origem dos fundos (Source of Funds) para mitigar riscos de corrupção e lavagem de dinheiro.
Incorreto: Manter o risco inalterado aguardando uma condenação judicial é uma falha grave na gestão de riscos baseada em evidências preventivas. O encerramento imediato da conta sem uma análise interna completa e sem seguir os protocolos de escalonamento pode ser prematuro e impedir a coleta de informações úteis para as autoridades. Aceitar apenas uma declaração do cliente ou desconsiderar mídia adversa confiável viola os princípios de verificação independente e ceticismo profissional necessários na conformidade AML.
Conclusão: Mudanças na estrutura de propriedade envolvendo mídia adversa e jurisdições de risco exigem reclassificação imediata para alto risco e a execução de procedimentos de diligência aprimorada sobre a origem dos ativos.
Incorrect
Correto: A combinação de uma mudança no Beneficiário Final (UBO) com mídia adversa relevante, o uso de jurisdições offshore e atividades transacionais inconsistentes são sinais de alerta claros que exigem a reclassificação do cliente para alto risco. De acordo com os padrões do GAFI/FATF e da ACAMS, nesses casos é obrigatória a aplicação de Diligência Devida Aprimorada (EDD), focando especialmente na verificação da origem da riqueza (Source of Wealth) e da origem dos fundos (Source of Funds) para mitigar riscos de corrupção e lavagem de dinheiro.
Incorreto: Manter o risco inalterado aguardando uma condenação judicial é uma falha grave na gestão de riscos baseada em evidências preventivas. O encerramento imediato da conta sem uma análise interna completa e sem seguir os protocolos de escalonamento pode ser prematuro e impedir a coleta de informações úteis para as autoridades. Aceitar apenas uma declaração do cliente ou desconsiderar mídia adversa confiável viola os princípios de verificação independente e ceticismo profissional necessários na conformidade AML.
Conclusão: Mudanças na estrutura de propriedade envolvendo mídia adversa e jurisdições de risco exigem reclassificação imediata para alto risco e a execução de procedimentos de diligência aprimorada sobre a origem dos ativos.
-
Question 10 of 29
10. Question
Um oficial de conformidade de um banco privado está revisando a abertura de conta para a Lumina Holdings Ltd., uma empresa registrada nas Ilhas Virgens Britânicas (BVI). A estrutura acionária é complexa, com várias camadas de empresas em diferentes jurisdições, e o propósito declarado é a gestão de ativos familiares. Durante a triagem, identifica-se que um dos beneficiários indiretos é o cônjuge de um indivíduo politicamente exposto (PEP) de uma jurisdição de alto risco. Qual é o procedimento correto para a identificação do Beneficiário Final (UBO) e avaliação do risco neste cenário?
Correct
Correto: De acordo com os padrões internacionais do GAFI e as diretrizes da ACAMS, quando uma estrutura corporativa é complexa ou envolve jurisdições de alto risco e PEPs (incluindo familiares próximos), é obrigatório identificar a pessoa natural que exerce o controle final (UBO). Além disso, deve-se aplicar a Diligência Prévia Reforçada (EDD), que inclui obrigatoriamente a validação da origem do patrimônio (Source of Wealth) e da origem dos fundos (Source of Funds) para mitigar riscos de corrupção e lavagem de dinheiro.
Incorreto: As abordagens alternativas falham ao não atingir o nível de escrutínio exigido para clientes de alto risco. Identificar apenas diretores ou a camada imediata de controle ignora a técnica comum de ocultação de patrimônio por meio de empresas de fachada. Ignorar o status de PEP de um familiar direto subestima o risco de lavagem de dinheiro proveniente de corrupção, violando as políticas de conformidade baseadas em risco que exigem transparência total sobre o beneficiário final.
Conclusão: A identificação do beneficiário final deve sempre transpor camadas corporativas para encontrar a pessoa natural, exigindo medidas reforçadas de diligência quando há envolvimento de PEPs ou jurisdições de risco.
Incorrect
Correto: De acordo com os padrões internacionais do GAFI e as diretrizes da ACAMS, quando uma estrutura corporativa é complexa ou envolve jurisdições de alto risco e PEPs (incluindo familiares próximos), é obrigatório identificar a pessoa natural que exerce o controle final (UBO). Além disso, deve-se aplicar a Diligência Prévia Reforçada (EDD), que inclui obrigatoriamente a validação da origem do patrimônio (Source of Wealth) e da origem dos fundos (Source of Funds) para mitigar riscos de corrupção e lavagem de dinheiro.
Incorreto: As abordagens alternativas falham ao não atingir o nível de escrutínio exigido para clientes de alto risco. Identificar apenas diretores ou a camada imediata de controle ignora a técnica comum de ocultação de patrimônio por meio de empresas de fachada. Ignorar o status de PEP de um familiar direto subestima o risco de lavagem de dinheiro proveniente de corrupção, violando as políticas de conformidade baseadas em risco que exigem transparência total sobre o beneficiário final.
Conclusão: A identificação do beneficiário final deve sempre transpor camadas corporativas para encontrar a pessoa natural, exigindo medidas reforçadas de diligência quando há envolvimento de PEPs ou jurisdições de risco.
-
Question 11 of 29
11. Question
Uma instituição financeira está desenvolvendo um novo aplicativo de pagamentos instantâneos. Para garantir a eficácia do Programa de Gestão de Risco de Fraude, a alta administração está revisando a estrutura de governança e a atribuição de responsabilidades. De acordo com as melhores práticas para a construção de um programa robusto, como deve ser definida a propriedade do risco e a implementação dos controles?
Correct
Correto: A propriedade do risco de fraude deve ser atribuída às linhas de negócios, conforme as melhores práticas de governança, pois elas possuem o conhecimento operacional necessário para identificar vulnerabilidades específicas. Além disso, a gestão eficaz envolve todo o ciclo de vida da mitigação, incluindo prevenção, detecção e o uso de ciclos de feedback para a melhoria contínua dos controles internos.
Incorreto: O departamento de Compliance e a equipe de Segurança Cibernética desempenham papéis fundamentais de suporte, mas a propriedade centralizada neles pode desvincular a responsabilidade do desempenho do produto. A Auditoria Interna deve atuar como terceira linha de defesa, avaliando a eficácia, e não gerindo o risco diretamente. O uso de controles estáticos é desencorajado, pois não acompanha as tendências sazonais e emergentes de fraude.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, exigindo uma abordagem integrada que cubra todo o ciclo de vida do produto com melhorias contínuas baseadas em feedback.
Incorrect
Correto: A propriedade do risco de fraude deve ser atribuída às linhas de negócios, conforme as melhores práticas de governança, pois elas possuem o conhecimento operacional necessário para identificar vulnerabilidades específicas. Além disso, a gestão eficaz envolve todo o ciclo de vida da mitigação, incluindo prevenção, detecção e o uso de ciclos de feedback para a melhoria contínua dos controles internos.
Incorreto: O departamento de Compliance e a equipe de Segurança Cibernética desempenham papéis fundamentais de suporte, mas a propriedade centralizada neles pode desvincular a responsabilidade do desempenho do produto. A Auditoria Interna deve atuar como terceira linha de defesa, avaliando a eficácia, e não gerindo o risco diretamente. O uso de controles estáticos é desencorajado, pois não acompanha as tendências sazonais e emergentes de fraude.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, exigindo uma abordagem integrada que cubra todo o ciclo de vida do produto com melhorias contínuas baseadas em feedback.
-
Question 12 of 29
12. Question
Uma instituição financeira de médio porte está planejando lançar uma nova carteira digital com foco em transferências instantâneas P2P (pessoa para pessoa) nos próximos 90 dias. Durante a fase de design, o Gerente de Risco de Fraude observa que a equipe de produtos priorizou a experiência do usuário em detrimento de certos controles de autenticação multifator (MFA) para transações de baixo valor. De acordo com as melhores práticas de governança e propriedade de risco de fraude, qual deve ser a ação do Gerente de Risco de Fraude para garantir a integridade do programa?
Correct
Correto: De acordo com os princípios de governança de risco, a linha de negócios e os proprietários de produtos são os ‘donos’ do risco (primeira linha de defesa). O papel do profissional de fraude é fornecer consultoria, identificar vulnerabilidades e garantir que qualquer decisão de contornar controles padrão seja documentada e formalmente aceita pela gerência da unidade de negócios, alinhando-se ao apetite de risco da organização.
Incorreto: Assumir a autoridade máxima retira a responsabilidade da linha de negócios, o que enfraquece a cultura de conformidade. Delegar exclusivamente à TI ignora a necessidade de uma visão estratégica de fraude centrada no produto. Buscar o ‘risco zero’ é operacionalmente inviável e ignora a análise de custo-benefício essencial para a gestão de riscos moderna.
Conclusão: A linha de negócios deve deter a propriedade do risco de fraude, sendo responsável por equilibrar a inovação do produto com a aceitação formal dos riscos residuais identificados.
Incorrect
Correto: De acordo com os princípios de governança de risco, a linha de negócios e os proprietários de produtos são os ‘donos’ do risco (primeira linha de defesa). O papel do profissional de fraude é fornecer consultoria, identificar vulnerabilidades e garantir que qualquer decisão de contornar controles padrão seja documentada e formalmente aceita pela gerência da unidade de negócios, alinhando-se ao apetite de risco da organização.
Incorreto: Assumir a autoridade máxima retira a responsabilidade da linha de negócios, o que enfraquece a cultura de conformidade. Delegar exclusivamente à TI ignora a necessidade de uma visão estratégica de fraude centrada no produto. Buscar o ‘risco zero’ é operacionalmente inviável e ignora a análise de custo-benefício essencial para a gestão de riscos moderna.
Conclusão: A linha de negócios deve deter a propriedade do risco de fraude, sendo responsável por equilibrar a inovação do produto com a aceitação formal dos riscos residuais identificados.
-
Question 13 of 29
13. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova plataforma de pagamentos instantâneos via aplicativo móvel. Durante a fase de planejamento, o Comitê de Riscos observa que, embora o sistema de detecção de fraudes existente seja eficaz para transações com cartão, ele pode não capturar tipologias específicas de pagamentos em tempo real. O Diretor de Produtos deseja acelerar o lançamento para ganhar participação de mercado, enquanto a equipe de conformidade expressa preocupações sobre a falta de controles específicos. De acordo com as melhores práticas de gestão de risco de fraude e governança, qual deve ser a abordagem em relação à propriedade do risco e ao desenvolvimento de controles?
Correct
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (proprietários de produtos e linhas de negócios) detém a propriedade do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos seus produtos. A colaboração com a gestão de riscos garante que os controles sejam integrados ao ciclo de vida do produto desde o início, equilibrando a inovação com a segurança operacional.
Incorreto: Atribuir a responsabilidade apenas ao TI é incorreto porque a fraude é um risco de negócio e operacional que exige visão estratégica, não apenas técnica. Adiar a implementação de controles até que ocorram perdas reais expõe a organização a riscos financeiros e reputacionais inaceitáveis, falhando no princípio da prevenção. A Auditoria Interna deve atuar como terceira linha de defesa, avaliando a eficácia dos controles de forma independente, e não deve participar do desenho ou execução operacional dos mesmos para evitar conflitos de interesse.
Conclusão: A responsabilidade primária pela gestão e mitigação do risco de fraude pertence aos proprietários das linhas de negócios, que devem integrar controles ao produto antes do seu lançamento.
Incorrect
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (proprietários de produtos e linhas de negócios) detém a propriedade do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos seus produtos. A colaboração com a gestão de riscos garante que os controles sejam integrados ao ciclo de vida do produto desde o início, equilibrando a inovação com a segurança operacional.
Incorreto: Atribuir a responsabilidade apenas ao TI é incorreto porque a fraude é um risco de negócio e operacional que exige visão estratégica, não apenas técnica. Adiar a implementação de controles até que ocorram perdas reais expõe a organização a riscos financeiros e reputacionais inaceitáveis, falhando no princípio da prevenção. A Auditoria Interna deve atuar como terceira linha de defesa, avaliando a eficácia dos controles de forma independente, e não deve participar do desenho ou execução operacional dos mesmos para evitar conflitos de interesse.
Conclusão: A responsabilidade primária pela gestão e mitigação do risco de fraude pertence aos proprietários das linhas de negócios, que devem integrar controles ao produto antes do seu lançamento.
-
Question 14 of 29
14. Question
Durante a fase de planejamento para o lançamento de um novo produto de crédito digital com aprovação instantânea, o Gerente de Risco de Fraude de um banco comercial observa que a equipe de desenvolvimento priorizou a experiência do usuário em detrimento de certas verificações de identidade biométrica. O comitê de governança exige que o programa de gestão de risco de fraude seja integrado ao ciclo de vida do produto antes do lançamento oficial em 60 dias. De acordo com as melhores práticas de gestão de risco de fraude e os requisitos de governança, qual deve ser a abordagem para garantir a eficácia contínua dos controles e a propriedade das políticas?
Correct
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (proprietários de produtos e linhas de negócio) deve deter a propriedade dos riscos e controles, pois eles estão mais próximos das operações. Além disso, a gestão do ciclo de vida da fraude exige um ciclo de feedback contínuo, onde as informações obtidas em investigações de casos reais são usadas para recalibrar os sistemas de detecção e fortalecer as barreiras de prevenção, garantindo que o programa evolua com as novas tipologias de fraude.
Incorreto: A centralização exclusiva no compliance isola a responsabilidade da operação e o uso de regras estáticas é ineficaz contra fraudadores que mudam táticas rapidamente. Delegar a política a terceiros enfraquece a governança interna e a responsabilidade institucional. O uso de dados de produtos legados ignora os riscos específicos de canais digitais e o adiamento do ciclo de feedback expõe a organização a perdas evitáveis durante o período crítico de lançamento.
Conclusão: A gestão eficaz de fraude exige que as linhas de negócio assumam a propriedade dos riscos, sustentadas por um ciclo de feedback dinâmico que integre prevenção, detecção e investigação.
Incorrect
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (proprietários de produtos e linhas de negócio) deve deter a propriedade dos riscos e controles, pois eles estão mais próximos das operações. Além disso, a gestão do ciclo de vida da fraude exige um ciclo de feedback contínuo, onde as informações obtidas em investigações de casos reais são usadas para recalibrar os sistemas de detecção e fortalecer as barreiras de prevenção, garantindo que o programa evolua com as novas tipologias de fraude.
Incorreto: A centralização exclusiva no compliance isola a responsabilidade da operação e o uso de regras estáticas é ineficaz contra fraudadores que mudam táticas rapidamente. Delegar a política a terceiros enfraquece a governança interna e a responsabilidade institucional. O uso de dados de produtos legados ignora os riscos específicos de canais digitais e o adiamento do ciclo de feedback expõe a organização a perdas evitáveis durante o período crítico de lançamento.
Conclusão: A gestão eficaz de fraude exige que as linhas de negócio assumam a propriedade dos riscos, sustentadas por um ciclo de feedback dinâmico que integre prevenção, detecção e investigação.
-
Question 15 of 29
15. Question
Extrato de Auditoria de Governança: A revisão do terceiro trimestre revelou que a instituição financeira expandiu suas operações para o mercado de crédito consignado digital sem atualizar sua estrutura de gerenciamento de risco de fraude. Embora a política antifraude global esteja em vigor, os controles de detecção atuais não capturam sinais de alerta específicos para o roubo de identidade sintética, resultando em perdas operacionais que excedem o orçamento previsto em 20%. Diante dessa falha de controle, qual é a ação mais adequada para o gestor de risco de fraude alinhar o programa às melhores práticas do setor?
Correct
Correto: A realização de uma avaliação de risco específica para o produto e o ajuste das regras de detecção são fundamentais para um programa de gestão de risco de fraude eficaz. De acordo com os princípios de governança, os controles devem ser desenhados com base no apetite de risco e nas vulnerabilidades específicas de cada canal ou produto, garantindo que o ciclo de vida de mitigação (prevenção e detecção) seja atualizado conforme a organização se expande.
Incorreto: Centralizar a propriedade no jurídico ignora a responsabilidade das linhas de negócio e a necessidade de expertise técnica operacional na detecção de fraudes. Replicar controles de outros produtos é ineficaz porque não considera os padrões de fraude e sinais de alerta específicos do crédito consignado digital. Focar apenas na educação do cliente é uma estratégia incompleta, pois a gestão de risco exige controles internos robustos de detecção e prevenção sistêmica para ser considerada adequada.
Conclusão: Um programa de gestão de risco de fraude eficaz exige que os controles de detecção sejam adaptados aos riscos específicos de cada produto e canal para evitar lacunas na mitigação de perdas.
Incorrect
Correto: A realização de uma avaliação de risco específica para o produto e o ajuste das regras de detecção são fundamentais para um programa de gestão de risco de fraude eficaz. De acordo com os princípios de governança, os controles devem ser desenhados com base no apetite de risco e nas vulnerabilidades específicas de cada canal ou produto, garantindo que o ciclo de vida de mitigação (prevenção e detecção) seja atualizado conforme a organização se expande.
Incorreto: Centralizar a propriedade no jurídico ignora a responsabilidade das linhas de negócio e a necessidade de expertise técnica operacional na detecção de fraudes. Replicar controles de outros produtos é ineficaz porque não considera os padrões de fraude e sinais de alerta específicos do crédito consignado digital. Focar apenas na educação do cliente é uma estratégia incompleta, pois a gestão de risco exige controles internos robustos de detecção e prevenção sistêmica para ser considerada adequada.
Conclusão: Um programa de gestão de risco de fraude eficaz exige que os controles de detecção sejam adaptados aos riscos específicos de cada produto e canal para evitar lacunas na mitigação de perdas.
-
Question 16 of 29
16. Question
Uma instituição financeira está revisando sua estrutura de governança para fortalecer o programa de gestão de risco de fraude. Durante a fase de desenvolvimento, surge um debate sobre a propriedade das políticas e procedimentos antifraude. De acordo com as melhores práticas do setor e os princípios de gestão de risco, qual departamento ou função deve deter a propriedade primária dessas políticas para garantir a eficácia operacional?
Correct
Correto: As linhas de negócios são consideradas a primeira linha de defesa em uma estrutura de gerenciamento de riscos. Elas possuem e gerenciam os riscos inerentes aos seus produtos e processos, sendo, portanto, as proprietárias naturais das políticas e procedimentos que devem ser aplicados no dia a dia operacional para mitigar fraudes de forma eficaz.
Incorreto: A Auditoria Interna atua como a terceira linha de defesa, fornecendo avaliação independente, e sua propriedade sobre as políticas operacionais criaria um conflito de interesses. A TI e Segurança Cibernética fornecem suporte tecnológico e protegem a infraestrutura, mas não gerenciam o risco de fraude do produto em si. Consultores jurídicos oferecem orientação legal, mas a responsabilidade pela gestão do risco e pela execução das políticas deve ser interna e operacional.
Conclusão: A propriedade das políticas antifraude deve residir nas linhas de negócios para assegurar que a mitigação de riscos esteja integrada à estratégia e operação dos produtos.
Incorrect
Correto: As linhas de negócios são consideradas a primeira linha de defesa em uma estrutura de gerenciamento de riscos. Elas possuem e gerenciam os riscos inerentes aos seus produtos e processos, sendo, portanto, as proprietárias naturais das políticas e procedimentos que devem ser aplicados no dia a dia operacional para mitigar fraudes de forma eficaz.
Incorreto: A Auditoria Interna atua como a terceira linha de defesa, fornecendo avaliação independente, e sua propriedade sobre as políticas operacionais criaria um conflito de interesses. A TI e Segurança Cibernética fornecem suporte tecnológico e protegem a infraestrutura, mas não gerenciam o risco de fraude do produto em si. Consultores jurídicos oferecem orientação legal, mas a responsabilidade pela gestão do risco e pela execução das políticas deve ser interna e operacional.
Conclusão: A propriedade das políticas antifraude deve residir nas linhas de negócios para assegurar que a mitigação de riscos esteja integrada à estratégia e operação dos produtos.
-
Question 17 of 29
17. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova carteira digital voltada para o mercado de varejo. Durante a fase de desenvolvimento, o Gerente de Risco de Fraude observa que, embora o sistema de detecção de fraudes esteja configurado para identificar transações atípicas, o processo de integração de novos clientes (onboarding) foi simplificado para reduzir o atrito e aumentar a conversão. Uma avaliação de risco recente indica uma vulnerabilidade significativa à fraude de identidade sintética. Considerando as melhores práticas para a construção de um programa de gestão de risco de fraude, qual é o próximo passo mais adequado para o Gerente de Risco de Fraude?
Correct
Correto: A colaboração entre a gestão de risco e os proprietários do produto (linhas de negócio) é fundamental para equilibrar a experiência do cliente com a segurança. A implementação de controles baseados em risco e o uso de ciclos de feedback permitem que a organização detecte e responda a ameaças como a identidade sintética de forma dinâmica, conforme exigido pelos princípios de ciclo de vida de mitigação de fraude e governança.
Incorreto: Interromper o lançamento sem considerar o apetite de risco ou análise de custo-benefício ignora o impacto operacional e os objetivos de negócio. Delegar a responsabilidade apenas para a TI falha em reconhecer que a propriedade das políticas de fraude deve envolver as áreas de negócio e conformidade. Aguardar dados de transações reais por um trimestre é uma abordagem reativa que expõe a organização a perdas financeiras e danos reputacionais desnecessários.
Conclusão: Um programa robusto de gestão de fraude exige a integração proativa de controles no design do produto e a colaboração contínua entre as áreas de risco e de negócios para mitigar ameaças emergentes sem inviabilizar a operação comercial.
Incorrect
Correto: A colaboração entre a gestão de risco e os proprietários do produto (linhas de negócio) é fundamental para equilibrar a experiência do cliente com a segurança. A implementação de controles baseados em risco e o uso de ciclos de feedback permitem que a organização detecte e responda a ameaças como a identidade sintética de forma dinâmica, conforme exigido pelos princípios de ciclo de vida de mitigação de fraude e governança.
Incorreto: Interromper o lançamento sem considerar o apetite de risco ou análise de custo-benefício ignora o impacto operacional e os objetivos de negócio. Delegar a responsabilidade apenas para a TI falha em reconhecer que a propriedade das políticas de fraude deve envolver as áreas de negócio e conformidade. Aguardar dados de transações reais por um trimestre é uma abordagem reativa que expõe a organização a perdas financeiras e danos reputacionais desnecessários.
Conclusão: Um programa robusto de gestão de fraude exige a integração proativa de controles no design do produto e a colaboração contínua entre as áreas de risco e de negócios para mitigar ameaças emergentes sem inviabilizar a operação comercial.
-
Question 18 of 29
18. Question
Uma instituição financeira de médio porte está expandindo suas operações de carteira digital para um novo mercado internacional em um prazo de 12 meses. Como parte dessa expansão, o Gerente de Risco de Fraude deve revisar a estrutura de governança para garantir que os novos riscos específicos da região sejam mitigados sem comprometer a agilidade operacional. Durante a fase de planejamento, surge um debate sobre quem deve ser o responsável final pela aceitação dos riscos residuais de fraude associados às novas funcionalidades do produto e como os controles devem ser aprimorados. De acordo com as melhores práticas de gestão de risco de fraude e governança, qual deve ser a abordagem adotada?
Correct
Correto: De acordo com as melhores práticas de governança, a propriedade do risco deve residir nas linhas de negócio (proprietários de produtos), pois eles são os responsáveis por gerenciar o equilíbrio entre rentabilidade e exposição ao risco. Além disso, a eficácia de um programa de fraude depende de um ciclo de vida de mitigação que inclua processos de feedback, onde os resultados das investigações informam e aprimoram continuamente as regras de detecção.
Incorreto: Delegar a responsabilidade ao TI é incorreto porque a fraude é um risco operacional e de negócio, não apenas um problema técnico. A auditoria interna deve manter sua independência e não deve participar da gestão operacional ou aprovação prévia de controles, pois isso comprometeria sua capacidade de auditar o programa posteriormente. Priorizar a redução de falsos positivos em detrimento da detecção eficaz durante um lançamento expõe a organização a perdas financeiras severas e riscos regulatórios logo no início da operação.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a responsabilidade pelos riscos, apoiadas por uma colaboração estreita entre as equipes de investigação e detecção para melhoria contínua dos controles.
Incorrect
Correto: De acordo com as melhores práticas de governança, a propriedade do risco deve residir nas linhas de negócio (proprietários de produtos), pois eles são os responsáveis por gerenciar o equilíbrio entre rentabilidade e exposição ao risco. Além disso, a eficácia de um programa de fraude depende de um ciclo de vida de mitigação que inclua processos de feedback, onde os resultados das investigações informam e aprimoram continuamente as regras de detecção.
Incorreto: Delegar a responsabilidade ao TI é incorreto porque a fraude é um risco operacional e de negócio, não apenas um problema técnico. A auditoria interna deve manter sua independência e não deve participar da gestão operacional ou aprovação prévia de controles, pois isso comprometeria sua capacidade de auditar o programa posteriormente. Priorizar a redução de falsos positivos em detrimento da detecção eficaz durante um lançamento expõe a organização a perdas financeiras severas e riscos regulatórios logo no início da operação.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a responsabilidade pelos riscos, apoiadas por uma colaboração estreita entre as equipes de investigação e detecção para melhoria contínua dos controles.
-
Question 19 of 29
19. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma carteira digital voltada a remessas internacionais, com lançamento previsto para o próximo trimestre. O Comitê de Riscos identificou que a nova funcionalidade aumenta significativamente a exposição a fraudes de apropriação de conta (Account Takeover) e transações não autorizadas. Para alinhar o programa de gestão de risco de fraude às melhores práticas do setor e garantir uma governança robusta, qual deve ser a abordagem prioritária da organização?
Correct
Correto: De acordo com os princípios de governança de risco de fraude, as linhas de negócio e os proprietários de produtos devem ter a propriedade dos riscos associados aos seus produtos. A colaboração entre essas áreas e os especialistas em fraude permite o desenvolvimento de controles específicos, como regras de detecção baseadas em sinais de alerta (red flags) geográficos e comportamentais, garantindo que o programa seja adaptado ao apetite de risco da organização.
Incorreto: Centralizar a responsabilidade apenas na TI ignora o conhecimento de negócio necessário para identificar padrões suspeitos. A verificação manual de todas as transações é ineficiente, ignora a análise de custo-benefício e o impacto operacional. Delegar totalmente a terceiros sem supervisão interna viola os requisitos de governança e a responsabilidade final da instituição sobre seus próprios riscos.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a responsabilidade pelos riscos, integrando controles específicos ao ciclo de vida do produto.
Incorrect
Correto: De acordo com os princípios de governança de risco de fraude, as linhas de negócio e os proprietários de produtos devem ter a propriedade dos riscos associados aos seus produtos. A colaboração entre essas áreas e os especialistas em fraude permite o desenvolvimento de controles específicos, como regras de detecção baseadas em sinais de alerta (red flags) geográficos e comportamentais, garantindo que o programa seja adaptado ao apetite de risco da organização.
Incorreto: Centralizar a responsabilidade apenas na TI ignora o conhecimento de negócio necessário para identificar padrões suspeitos. A verificação manual de todas as transações é ineficiente, ignora a análise de custo-benefício e o impacto operacional. Delegar totalmente a terceiros sem supervisão interna viola os requisitos de governança e a responsabilidade final da instituição sobre seus próprios riscos.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a responsabilidade pelos riscos, integrando controles específicos ao ciclo de vida do produto.
-
Question 20 of 29
20. Question
Uma instituição financeira de médio porte está planejando lançar uma nova plataforma de pagamentos instantâneos para clientes de varejo nos próximos seis meses. Durante a fase de desenho do produto, o Comitê de Riscos observa que a velocidade das transações pode aumentar significativamente a exposição a fraudes de engenharia social e de invasão de contas (ATO). Para alinhar o novo produto à estrutura de gestão de risco de fraude da organização e garantir a eficácia a longo prazo, qual deve ser a prioridade do Gerente de Risco de Fraude ao redigir as novas políticas operacionais?
Correct
Correto: A eficácia de um programa de gestão de risco de fraude depende da atribuição de responsabilidade às linhas de negócios (proprietários do produto), que estão na melhor posição para entender os riscos inerentes. Além disso, a integração de ciclos de feedback entre as investigações e o desenvolvimento do produto permite que os controles sejam ajustados dinamicamente com base em padrões de fraude reais, conforme as melhores práticas de ciclo de vida de mitigação.
Incorreto: Delegar a responsabilidade apenas à segurança cibernética ignora os aspectos operacionais e comportamentais da fraude. A automação total sem revisão manual pode levar a falsos positivos excessivos e prejudicar a experiência do cliente, além de não abordar a causa raiz. Focar apenas em conformidade regulatória mínima é uma abordagem reativa que falha em identificar riscos emergentes e tendências sazonais específicas que afetam a organização.
Conclusão: Um programa robusto de fraude exige que a linha de negócios assuma a propriedade do risco e utilize ciclos de feedback para aprimorar continuamente os controles de detecção e prevenção.
Incorrect
Correto: A eficácia de um programa de gestão de risco de fraude depende da atribuição de responsabilidade às linhas de negócios (proprietários do produto), que estão na melhor posição para entender os riscos inerentes. Além disso, a integração de ciclos de feedback entre as investigações e o desenvolvimento do produto permite que os controles sejam ajustados dinamicamente com base em padrões de fraude reais, conforme as melhores práticas de ciclo de vida de mitigação.
Incorreto: Delegar a responsabilidade apenas à segurança cibernética ignora os aspectos operacionais e comportamentais da fraude. A automação total sem revisão manual pode levar a falsos positivos excessivos e prejudicar a experiência do cliente, além de não abordar a causa raiz. Focar apenas em conformidade regulatória mínima é uma abordagem reativa que falha em identificar riscos emergentes e tendências sazonais específicas que afetam a organização.
Conclusão: Um programa robusto de fraude exige que a linha de negócios assuma a propriedade do risco e utilize ciclos de feedback para aprimorar continuamente os controles de detecção e prevenção.
-
Question 21 of 29
21. Question
Um Gerente de Risco de Fraude em um banco comercial de médio porte está revisando o lançamento de uma nova carteira digital voltada para clientes de varejo. Durante a fase de planejamento, surge um debate sobre a responsabilidade primária pela identificação de riscos de fraude específicos do produto e a implementação de controles iniciais. De acordo com as melhores práticas de governança e gestão de risco de fraude, qual deve ser a abordagem adotada pela instituição para garantir a eficácia do programa?
Correct
Correto: De acordo com os princípios de governança de risco (modelo de três linhas), a primeira linha de defesa — composta pelas unidades de negócios e proprietários de produtos — é a proprietária do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam. A integração de controles de fraude no design do produto (fraud-by-design) é uma prática recomendada para prevenir perdas antes que o produto chegue ao mercado.
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve fornecer avaliação independente, não desenhar controles operacionais. Delegar apenas ao TI ignora os aspectos comportamentais e de processos de negócio da fraude. Centralizar tudo no Compliance sem a participação das áreas comerciais pode resultar em controles que prejudicam a experiência do cliente ou que não compreendem as nuances operacionais do produto.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem integrar controles preventivos desde a concepção dos produtos em colaboração com as áreas de risco.
Incorrect
Correto: De acordo com os princípios de governança de risco (modelo de três linhas), a primeira linha de defesa — composta pelas unidades de negócios e proprietários de produtos — é a proprietária do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam. A integração de controles de fraude no design do produto (fraud-by-design) é uma prática recomendada para prevenir perdas antes que o produto chegue ao mercado.
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve fornecer avaliação independente, não desenhar controles operacionais. Delegar apenas ao TI ignora os aspectos comportamentais e de processos de negócio da fraude. Centralizar tudo no Compliance sem a participação das áreas comerciais pode resultar em controles que prejudicam a experiência do cliente ou que não compreendem as nuances operacionais do produto.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem integrar controles preventivos desde a concepção dos produtos em colaboração com as áreas de risco.
-
Question 22 of 29
22. Question
Upon discovering a gap in I. Fundamentos da Auditoria Interna (15%) Aprendizagem Cognitiva Uma Interpretação da Missão de Auditoria Interna do IIA, Definição de Auditoria Interna e Princípios Fundamentais para a Prática Profissional de Aud… ditoria, the Chief Audit Executive (CAE) of a digital bank is reviewing the Internal Audit Charter. The bank is launching a peer-to-peer lending platform, and the CEO has requested the internal audit team to actively participate in the design phase of the credit scoring algorithm to ensure compliance by design. However, the Audit Committee has already scheduled a high-priority assurance engagement to evaluate the effectiveness of this same algorithm three months after the platform goes live. To adhere to the IIA’s International Professional Practices Framework (IPPF) regarding independence and objectivity, how should the CAE manage these two distinct requests?
Correct
Correct: According to the IIA Standards (specifically 1130.C1 and 1130.C2), internal auditors may provide consulting services relating to operations for which they had previous responsibilities, provided they disclose any potential impairment to objectivity. When performing assurance for an area where consulting was previously provided, the Chief Audit Executive must implement safeguards. The most effective safeguard is ensuring that the auditors who provided the consulting advice are not the same individuals who perform the subsequent assurance engagement. Furthermore, the consulting scope must be carefully managed to ensure auditors do not take on management responsibilities, such as final approval of the algorithm’s logic, which would constitute a self-review threat.
Incorrect: Postponing the assurance engagement for a full year is an unnecessary delay that fails to address the Audit Committee’s risk-based requirements and does not align with the agile nature of Fintech operations. Delegating the consulting to the risk management department is a structural alternative but does not resolve the CAE’s responsibility to provide value-added insights as defined in the Internal Audit Mission. Suggesting that participation in the design phase permanently impairs the entire department’s independence is a misunderstanding of the Standards; independence is an organizational attribute, while objectivity is an individual attribute that can be managed through proper staffing and disclosure safeguards.
Takeaway: Internal audit can provide both consulting and assurance on the same process if they avoid management responsibilities and use different staff members for each engagement to protect objectivity.
Incorrect
Correct: According to the IIA Standards (specifically 1130.C1 and 1130.C2), internal auditors may provide consulting services relating to operations for which they had previous responsibilities, provided they disclose any potential impairment to objectivity. When performing assurance for an area where consulting was previously provided, the Chief Audit Executive must implement safeguards. The most effective safeguard is ensuring that the auditors who provided the consulting advice are not the same individuals who perform the subsequent assurance engagement. Furthermore, the consulting scope must be carefully managed to ensure auditors do not take on management responsibilities, such as final approval of the algorithm’s logic, which would constitute a self-review threat.
Incorrect: Postponing the assurance engagement for a full year is an unnecessary delay that fails to address the Audit Committee’s risk-based requirements and does not align with the agile nature of Fintech operations. Delegating the consulting to the risk management department is a structural alternative but does not resolve the CAE’s responsibility to provide value-added insights as defined in the Internal Audit Mission. Suggesting that participation in the design phase permanently impairs the entire department’s independence is a misunderstanding of the Standards; independence is an organizational attribute, while objectivity is an individual attribute that can be managed through proper staffing and disclosure safeguards.
Takeaway: Internal audit can provide both consulting and assurance on the same process if they avoid management responsibilities and use different staff members for each engagement to protect objectivity.
-
Question 23 of 29
23. Question
Uma instituição financeira de médio porte está desenvolvendo uma nova carteira digital focada em pagamentos instantâneos para o público jovem. Durante a fase de planejamento, o proprietário do produto (Product Owner) propõe a remoção da autenticação multifator (MFA) para transações de baixo valor nos primeiros 30 dias de uso, com o objetivo de reduzir a fricção e acelerar a adoção do serviço. O comitê de risco de fraude expressa preocupação com o potencial aumento de contas sintéticas e ataques de ‘account takeover’. Diante deste cenário, qual é a abordagem mais adequada para garantir uma governança robusta de risco de fraude?
Correct
Correto: A gestão eficaz do risco de fraude exige que a linha de negócios (primeira linha de defesa) seja a proprietária do risco. A colaboração para criar controles dinâmicos e baseados em risco, como o ‘step-up authentication’ e limites de velocidade, permite equilibrar a experiência do usuário com a segurança necessária. Além disso, a aceitação formal do risco residual pela linha de negócios é um componente crítico da governança de fraude, conforme as melhores práticas do setor.
Incorreto: Delegar a responsabilidade exclusivamente à TI ignora o papel fundamental da linha de negócios na gestão de riscos operacionais. Permitir o lançamento sem controles para coletar dados expõe a instituição a perdas financeiras e danos reputacionais evitáveis. Impor rigidamente frameworks de produtos tradicionais a novos produtos digitais pode ser ineficaz, pois não considera as tipologias de fraude específicas de canais móveis e pagamentos instantâneos.
Conclusão: A linha de negócios deve ser a proprietária do risco de fraude, colaborando com a gestão de riscos para implementar controles proporcionais que não inviabilizem o produto, mas mantenham a governança adequada.
Incorrect
Correto: A gestão eficaz do risco de fraude exige que a linha de negócios (primeira linha de defesa) seja a proprietária do risco. A colaboração para criar controles dinâmicos e baseados em risco, como o ‘step-up authentication’ e limites de velocidade, permite equilibrar a experiência do usuário com a segurança necessária. Além disso, a aceitação formal do risco residual pela linha de negócios é um componente crítico da governança de fraude, conforme as melhores práticas do setor.
Incorreto: Delegar a responsabilidade exclusivamente à TI ignora o papel fundamental da linha de negócios na gestão de riscos operacionais. Permitir o lançamento sem controles para coletar dados expõe a instituição a perdas financeiras e danos reputacionais evitáveis. Impor rigidamente frameworks de produtos tradicionais a novos produtos digitais pode ser ineficaz, pois não considera as tipologias de fraude específicas de canais móveis e pagamentos instantâneos.
Conclusão: A linha de negócios deve ser a proprietária do risco de fraude, colaborando com a gestão de riscos para implementar controles proporcionais que não inviabilizem o produto, mas mantenham a governança adequada.
-
Question 24 of 29
24. Question
Uma instituição financeira de médio porte está planejando lançar uma nova plataforma de pagamentos instantâneos para clientes de varejo. Durante a fase de planejamento, surge um debate sobre a estrutura de governança e a responsabilidade pelos riscos de fraude associados ao novo produto. De acordo com as melhores práticas de gestão de risco de fraude e os requisitos de um programa robusto, qual abordagem demonstra a integração mais eficaz entre a governança corporativa e as operações de negócios?
Correct
Correto: A abordagem correta envolve a colaboração interdepartamental e a atribuição de responsabilidade (ownership) às linhas de negócios. De acordo com os princípios de governança de risco, a primeira linha de defesa (negócios) deve ser proprietária do risco e responsável pela execução dos controles, enquanto a segunda linha (gestão de riscos/fraude) fornece as diretrizes, ferramentas e supervisão. Integrar a fraude no ciclo de vida do produto desde o início garante que a prevenção seja incorporada ao design.
Incorreto: A centralização total em um departamento independente cria silos e remove a responsabilidade de quem melhor conhece o produto, enfraquecendo a cultura de controle. Confiar exclusivamente na tecnologia ignora a importância da governança, dos processos humanos e da estratégia de políticas. Adiar a avaliação de risco para após o lançamento é uma falha grave no ciclo de vida de mitigação, expondo a organização a perdas financeiras e danos reputacionais evitáveis durante a fase crítica de lançamento.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade dos riscos e que os controles sejam integrados desde a fase de design do produto.
Incorrect
Correto: A abordagem correta envolve a colaboração interdepartamental e a atribuição de responsabilidade (ownership) às linhas de negócios. De acordo com os princípios de governança de risco, a primeira linha de defesa (negócios) deve ser proprietária do risco e responsável pela execução dos controles, enquanto a segunda linha (gestão de riscos/fraude) fornece as diretrizes, ferramentas e supervisão. Integrar a fraude no ciclo de vida do produto desde o início garante que a prevenção seja incorporada ao design.
Incorreto: A centralização total em um departamento independente cria silos e remove a responsabilidade de quem melhor conhece o produto, enfraquecendo a cultura de controle. Confiar exclusivamente na tecnologia ignora a importância da governança, dos processos humanos e da estratégia de políticas. Adiar a avaliação de risco para após o lançamento é uma falha grave no ciclo de vida de mitigação, expondo a organização a perdas financeiras e danos reputacionais evitáveis durante a fase crítica de lançamento.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade dos riscos e que os controles sejam integrados desde a fase de design do produto.
-
Question 25 of 29
25. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova plataforma de pagamentos instantâneos. Durante a fase de testes controlados, o Gerente de Risco de Fraude observa que as regras de monitoramento automatizado estão gerando um volume de alertas de falsos positivos significativamente superior ao esperado, o que está causando atrasos no processamento e reclamações dos clientes de teste. A diretoria executiva deseja manter a data de lançamento original para não perder mercado para os concorrentes. Diante desse cenário, qual é o melhor próximo passo para o Gerente de Risco de Fraude?
Correct
Correto: O refinamento das regras (tuning) e a implementação de ciclos de feedback são partes fundamentais da gestão do ciclo de vida de mitigação de fraude. De acordo com as melhores práticas, os controles devem ser calibrados para equilibrar a detecção de riscos com a eficiência operacional, garantindo que os proprietários do produto e as linhas de negócio participem da definição do apetite de risco e da eficácia dos controles.
Incorreto: Suspender regras de detecção cria uma vulnerabilidade crítica e expõe a organização a perdas financeiras e danos reputacionais inaceitáveis. Transferir a responsabilidade apenas para a TI ignora que a gestão de risco de fraude deve ser uma colaboração entre negócios, riscos e tecnologia. Manter controles ineficientes e apenas aumentar a equipe manual não resolve a causa raiz do problema e gera custos operacionais insustentáveis a longo prazo.
Conclusão: A gestão eficaz de riscos de fraude exige um equilíbrio dinâmico entre a detecção rigorosa e a viabilidade operacional, alcançado através de ajustes técnicos baseados em dados e alinhamento com o apetite de risco do negócio.
Incorrect
Correto: O refinamento das regras (tuning) e a implementação de ciclos de feedback são partes fundamentais da gestão do ciclo de vida de mitigação de fraude. De acordo com as melhores práticas, os controles devem ser calibrados para equilibrar a detecção de riscos com a eficiência operacional, garantindo que os proprietários do produto e as linhas de negócio participem da definição do apetite de risco e da eficácia dos controles.
Incorreto: Suspender regras de detecção cria uma vulnerabilidade crítica e expõe a organização a perdas financeiras e danos reputacionais inaceitáveis. Transferir a responsabilidade apenas para a TI ignora que a gestão de risco de fraude deve ser uma colaboração entre negócios, riscos e tecnologia. Manter controles ineficientes e apenas aumentar a equipe manual não resolve a causa raiz do problema e gera custos operacionais insustentáveis a longo prazo.
Conclusão: A gestão eficaz de riscos de fraude exige um equilíbrio dinâmico entre a detecção rigorosa e a viabilidade operacional, alcançado através de ajustes técnicos baseados em dados e alinhamento com o apetite de risco do negócio.
-
Question 26 of 29
26. Question
Uma instituição financeira de médio porte está prestes a lançar uma nova carteira digital que permite transferências instantâneas 24 horas por dia. Durante a fase de pré-lançamento, o Gerente de Produto expressa preocupação de que a implementação de autenticação multifatorial (MFA) em todas as transações prejudicará a experiência do usuário e as metas de adoção agressivas do trimestre. Como Gerente de Risco de Fraude, você deve garantir que o programa de gestão de riscos seja robusto e esteja alinhado com as melhores práticas de governança e responsabilidade. Qual é a abordagem correta para definir a propriedade do risco e os controles associados neste cenário?
Correct
Correto: De acordo com as melhores práticas de governança de risco, a primeira linha de defesa (linhas de negócios e proprietários de produtos) é a proprietária do risco. Eles são responsáveis por gerenciar o risco associado aos seus produtos e devem colaborar com a segunda linha (gestão de fraude) para garantir que os controles sejam implementados de forma a mitigar as ameaças identificadas, respeitando o apetite de risco estabelecido pela alta administração.
Incorreto: Atribuir a propriedade exclusiva à equipe de fraude remove a responsabilidade da linha de negócios, o que enfraquece a cultura de conformidade e a eficácia operacional. Adiar a implementação de controles até que o produto cresça expõe a instituição a riscos inaceitáveis e perdas financeiras imediatas. Transferir toda a responsabilidade financeira para o cliente é frequentemente ilegal sob regulamentações de proteção ao consumidor e não resolve a falha de controle interno da organização.
Conclusão: A propriedade do risco de fraude reside na linha de negócios, que deve equilibrar os objetivos comerciais com controles de mitigação proporcionais ao risco e ao apetite organizacional.
Incorrect
Correto: De acordo com as melhores práticas de governança de risco, a primeira linha de defesa (linhas de negócios e proprietários de produtos) é a proprietária do risco. Eles são responsáveis por gerenciar o risco associado aos seus produtos e devem colaborar com a segunda linha (gestão de fraude) para garantir que os controles sejam implementados de forma a mitigar as ameaças identificadas, respeitando o apetite de risco estabelecido pela alta administração.
Incorreto: Atribuir a propriedade exclusiva à equipe de fraude remove a responsabilidade da linha de negócios, o que enfraquece a cultura de conformidade e a eficácia operacional. Adiar a implementação de controles até que o produto cresça expõe a instituição a riscos inaceitáveis e perdas financeiras imediatas. Transferir toda a responsabilidade financeira para o cliente é frequentemente ilegal sob regulamentações de proteção ao consumidor e não resolve a falha de controle interno da organização.
Conclusão: A propriedade do risco de fraude reside na linha de negócios, que deve equilibrar os objetivos comerciais com controles de mitigação proporcionais ao risco e ao apetite organizacional.
-
Question 27 of 29
27. Question
Durante uma auditoria interna em um banco comercial de grande porte, os auditores revisaram o processo de lançamento de uma nova plataforma de pagamentos instantâneos. O relatório de auditoria destacou que, embora a equipe de TI tenha implementado sistemas de detecção de última geração, não houve uma definição formal sobre quem seria o responsável final pela aceitação do risco residual de fraude e pela aprovação das mudanças nas regras de monitoramento após a entrada em operação. De acordo com as melhores práticas de governança de risco de fraude, qual deve ser a abordagem correta para remediar essa lacuna?
Correct
Correto: A propriedade do risco de fraude (ownership) deve residir nas linhas de negócios e nos proprietários de produtos. Eles são os responsáveis por entender o impacto operacional e financeiro da fraude em seus fluxos de trabalho e devem trabalhar em conjunto com especialistas em fraude para garantir que o apetite ao risco da organização seja respeitado, conforme os princípios de governança corporativa.
Incorreto: A equipe de TI gerencia a infraestrutura, mas não possui o risco de negócio. A auditoria interna deve permanecer independente e não pode assumir funções de gestão ou execução de controles, sob pena de comprometer sua capacidade de revisão futura. O departamento de compliance define políticas e monitora a conformidade, mas a operação isolada sem o envolvimento das linhas de negócios ignora o conhecimento prático sobre o comportamento do cliente e as necessidades do produto.
Conclusão: A governança eficaz exige que as linhas de negócios assumam a responsabilidade pelo risco de fraude de seus produtos, integrando a prevenção ao ciclo de vida operacional.
Incorrect
Correto: A propriedade do risco de fraude (ownership) deve residir nas linhas de negócios e nos proprietários de produtos. Eles são os responsáveis por entender o impacto operacional e financeiro da fraude em seus fluxos de trabalho e devem trabalhar em conjunto com especialistas em fraude para garantir que o apetite ao risco da organização seja respeitado, conforme os princípios de governança corporativa.
Incorreto: A equipe de TI gerencia a infraestrutura, mas não possui o risco de negócio. A auditoria interna deve permanecer independente e não pode assumir funções de gestão ou execução de controles, sob pena de comprometer sua capacidade de revisão futura. O departamento de compliance define políticas e monitora a conformidade, mas a operação isolada sem o envolvimento das linhas de negócios ignora o conhecimento prático sobre o comportamento do cliente e as necessidades do produto.
Conclusão: A governança eficaz exige que as linhas de negócios assumam a responsabilidade pelo risco de fraude de seus produtos, integrando a prevenção ao ciclo de vida operacional.
-
Question 28 of 29
28. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma linha de crédito digital instantânea voltada para pequenas empresas. Durante a fase de design do programa de gestão de risco de fraude, surge uma discussão sobre a atribuição de responsabilidades e a estrutura de governança para mitigar riscos de fraude de identidade e fraude primária. De acordo com as melhores práticas de gestão de risco de fraude e os requisitos de governança, qual deve ser a abordagem adotada pela organização para garantir a eficácia do programa e a sustentabilidade operacional?
Correct
Correto: De acordo com as melhores práticas de governança e o modelo de três linhas de defesa, os proprietários das linhas de negócio (primeira linha) devem ser os donos dos riscos que geram, pois possuem o conhecimento operacional necessário para mitigá-los. A função de gestão de risco de fraude (segunda linha) atua definindo a estrutura, as políticas e exercendo a supervisão e o desafio independente, garantindo que o programa seja robusto e alinhado ao apetite de risco da organização.
Incorreto: Centralizar a responsabilidade apenas no Compliance remove a prestação de contas de quem opera o produto e pode criar gargalos operacionais. Delegar o apetite de risco a terceiros é uma falha de governança, pois a organização é a responsável final perante os reguladores. Adiar controles para favorecer a experiência do usuário expõe a instituição a perdas financeiras severas e danos reputacionais imediatos durante a fase crítica de lançamento.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a propriedade do risco, operando sob a supervisão e as diretrizes políticas de uma função de risco independente e especializada.
Incorrect
Correto: De acordo com as melhores práticas de governança e o modelo de três linhas de defesa, os proprietários das linhas de negócio (primeira linha) devem ser os donos dos riscos que geram, pois possuem o conhecimento operacional necessário para mitigá-los. A função de gestão de risco de fraude (segunda linha) atua definindo a estrutura, as políticas e exercendo a supervisão e o desafio independente, garantindo que o programa seja robusto e alinhado ao apetite de risco da organização.
Incorreto: Centralizar a responsabilidade apenas no Compliance remove a prestação de contas de quem opera o produto e pode criar gargalos operacionais. Delegar o apetite de risco a terceiros é uma falha de governança, pois a organização é a responsável final perante os reguladores. Adiar controles para favorecer a experiência do usuário expõe a instituição a perdas financeiras severas e danos reputacionais imediatos durante a fase crítica de lançamento.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócio assumam a propriedade do risco, operando sob a supervisão e as diretrizes políticas de uma função de risco independente e especializada.
-
Question 29 of 29
29. Question
Durante uma auditoria regulatória antes do lançamento de uma nova plataforma de pagamentos instantâneos, o regulador questiona a estrutura de governança do programa de gestão de risco de fraude da instituição. A diretoria executiva propôs que a equipe de Tecnologia da Informação (TI) seja a principal proprietária das políticas antifraude, justificando que a maioria dos controles de detecção é automatizada e baseada em algoritmos complexos. Considerando as melhores práticas de governança e os requisitos de um programa robusto de gestão de risco de fraude, qual deve ser a orientação correta sobre a propriedade das políticas?
Correct
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (linhas de negócios e proprietários de produtos) deve ser a proprietária do risco de fraude. Eles possuem o conhecimento mais profundo sobre o design do produto, o comportamento do cliente e os processos operacionais, sendo os mais capacitados para implementar e manter controles eficazes que equilibrem a mitigação de riscos com a viabilidade comercial.
Incorreto: Atribuir a propriedade ao Compliance ou à Auditoria Interna (segunda e terceira linhas de defesa) compromete a segregação de funções, pois quem define a política não deve ser o único responsável por monitorá-la ou auditá-la. Delegar a propriedade apenas à TI ou ao CISO é um erro comum que ignora os aspectos não técnicos da fraude, como a engenharia social e os riscos operacionais internos, tratando a fraude apenas como uma falha de sistema.
Conclusão: A propriedade efetiva do risco de fraude deve residir nas linhas de negócios, que são responsáveis por integrar controles antifraude no ciclo de vida dos produtos e processos operacionais.
Incorrect
Correto: De acordo com os princípios de governança de risco, a primeira linha de defesa (linhas de negócios e proprietários de produtos) deve ser a proprietária do risco de fraude. Eles possuem o conhecimento mais profundo sobre o design do produto, o comportamento do cliente e os processos operacionais, sendo os mais capacitados para implementar e manter controles eficazes que equilibrem a mitigação de riscos com a viabilidade comercial.
Incorreto: Atribuir a propriedade ao Compliance ou à Auditoria Interna (segunda e terceira linhas de defesa) compromete a segregação de funções, pois quem define a política não deve ser o único responsável por monitorá-la ou auditá-la. Delegar a propriedade apenas à TI ou ao CISO é um erro comum que ignora os aspectos não técnicos da fraude, como a engenharia social e os riscos operacionais internos, tratando a fraude apenas como uma falha de sistema.
Conclusão: A propriedade efetiva do risco de fraude deve residir nas linhas de negócios, que são responsáveis por integrar controles antifraude no ciclo de vida dos produtos e processos operacionais.
