Correto: A Abordagem Baseada em Risco (RBA) é um princípio fundamental que exige que as instituições identifiquem, avaliem e compreendam os riscos de lavagem de dinheiro e financiamento ao terrorismo aos quais estão expostas. Quando uma FinTech introduz novos produtos (como carteiras digitais) ou entra em novos mercados, a avaliação de risco institucional e o apetite de risco devem ser revisados para garantir que os controles internos e o monitoramento de transações permaneçam eficazes e proporcionais ao novo perfil de risco.

Incorreto: Automatizar o onboarding sem revisar os critérios de risco é perigoso, pois ignora as vulnerabilidades específicas dos novos produtos. Aguardar uma auditoria anual representa uma falha de governança proativa, expondo a empresa a riscos regulatórios e operacionais durante o intervalo. A eliminação indiscriminada de riscos (de-risking) é desencorajada por órgãos como o GAFI/FATF, pois a gestão de riscos deve ser feita de forma criteriosa e não através da exclusão total de serviços ou mercados sem uma análise fundamentada.

Conclusão: A governança de conformidade em FinTechs exige que a avaliação de risco seja um processo dinâmico, atualizado sempre que houver mudanças significativas no modelo de negócio, produtos ou exposição geográfica.

Correto: A abordagem baseada em risco (RBA) exige que as instituições identifiquem, avaliem e compreendam os riscos de lavagem de dinheiro e financiamento do terrorismo aos quais estão expostas. Quando uma FinTech introduz novos produtos ou expande-se para novas jurisdições, a avaliação de risco institucional deve ser revisada proativamente para garantir que os controles, como o monitoramento de transações, sejam calibrados para mitigar as novas ameaças específicas antes do início das operações.

Incorreto: A terceirização total sem supervisão (opção B) é uma falha de governança, pois a responsabilidade final pela conformidade permanece com a instituição. Aguardar 90 dias para ajustar os controles (opção C) expõe a empresa a riscos inaceitáveis durante o período inicial de maior vulnerabilidade. Adiar a atualização das políticas para o ciclo de auditoria (opção D) ignora a necessidade de controles preventivos e viola os requisitos regulatórios de manter um programa de conformidade atualizado e eficaz.

Conclusão: Qualquer mudança significativa no modelo de negócios de uma FinTech exige uma reavaliação imediata da estrutura de risco e dos controles de monitoramento para alinhar-se à abordagem baseada em risco (RBA).

Correto: A abordagem baseada em risco (RBA) exige que as instituições identifiquem e avaliem os riscos específicos associados a novos produtos, serviços e geografias antes do lançamento. Atualizar a avaliação de risco e o apetite de risco, com o devido suporte da alta administração (governança), é fundamental para garantir que os controles de monitoramento de transações sejam proporcionais ao novo nível de exposição.

Incorreto: Focar apenas na velocidade do eKYC ignora os riscos contínuos de monitoramento de transações internacionais. A terceirização para uma RegTech não isenta a instituição de sua responsabilidade final de governança e conformidade. Aguardar seis meses para ajustar os controles após o lançamento expõe a FinTech a riscos significativos de lavagem de dinheiro e sanções regulatórias durante o período inicial de maior vulnerabilidade.

Conclusão: Qualquer expansão significativa no modelo de negócios de uma FinTech exige uma reavaliação proativa da matriz de risco e do apetite de risco para alinhar os controles internos às novas ameaças identificadas.

Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem, avaliem e compreendam seus riscos de lavagem de dinheiro e financiamento ao terrorismo de forma contínua. Antes de lançar novos produtos ou expandir para novos mercados, é fundamental realizar uma avaliação de risco prospectiva para ajustar o apetite de risco e implementar controles adequados à nova exposição, garantindo a conformidade regulatória e a proteção da instituição.

Incorreto: Aguardar seis meses para revisar os riscos expõe a FinTech a vulnerabilidades críticas durante o período mais sensível do lançamento. Aumentar os limiares de monitoramento apenas para melhorar a experiência do cliente sem uma justificativa técnica de risco compromete a eficácia da detecção de atividades suspeitas. A definição do apetite de risco é uma função de governança que deve envolver a alta administração e a conformidade, e não ser delegada apenas à equipe de produtos, que pode ter conflitos de interesse comerciais.

Conclusão: A avaliação de risco e o apetite de risco devem ser revisados e atualizados proativamente sempre que houver mudanças significativas no modelo de negócios, produtos ou geografia de atuação.

Correto: De acordo com a Abordagem Baseada em Risco (RBA), as instituições devem identificar, avaliar e compreender os riscos de lavagem de dinheiro e financiamento ao terrorismo aos quais estão expostas. Ao expandir para novos mercados ou produtos, é essencial realizar uma avaliação de risco prévia e atualizar a Declaração de Apetite de Risco (RAS). Isso garante que a alta administração esteja ciente dos riscos e que os controles mitigatórios sejam desenhados de forma proporcional às ameaças específicas identificadas.

Incorreto: A aplicação de limites domésticos para transações internacionais de alto risco falha em reconhecer as vulnerabilidades específicas desses novos mercados. Definir o apetite de risco apenas com base no volume de transações é uma abordagem reativa e incompleta, pois ignora fatores qualitativos essenciais. O uso de Due Diligence Simplificada (SDD) em cenários de alto risco é tecnicamente inadequado, pois esses casos geralmente exigem Due Diligence Aprofundada (EDD) para mitigar os riscos elevados.

Conclusão: A avaliação de risco e a definição do apetite de risco devem ser proativas e preceder a oferta de novos produtos ou a entrada em novos mercados para garantir a eficácia dos controles.

Correto: De acordo com os princípios da abordagem baseada em risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo decorrentes do desenvolvimento de novos produtos e novas práticas comerciais. Ao expandir para carteiras digitais e remessas internacionais, a FinTech introduz riscos de maior anonimato e complexidade geográfica, exigindo uma atualização da Avaliação Interna de Risco e o ajuste dos controles de CDD para garantir que a mitigação seja proporcional ao novo perfil de risco.

Incorreto: A terceirização de funções de conformidade não transfere a responsabilidade regulatória final, que permanece com a instituição financeira. O de-risking indiscriminado é desencorajado por órgãos reguladores, pois pode levar à exclusão financeira e não demonstra uma gestão de risco eficaz. Embora a auditoria interna seja importante, aumentar sua frequência sem atualizar os controles e políticas de base (primeira e segunda linhas) não resolve a lacuna de conformidade gerada pelos novos produtos.

Conclusão: Qualquer expansão no modelo de negócios de uma FinTech exige a atualização da avaliação de risco e o ajuste proporcional dos controles de due diligence para mitigar novas vulnerabilidades.

Correto: A abordagem baseada em risco (RBA) exige que as instituições identifiquem, avaliem e compreendam seus riscos de lavagem de dinheiro e financiamento ao terrorismo antes de lançar novos produtos ou expandir para novos mercados. Atualizar a avaliação de risco institucional e o apetite de risco permite que a FinTech alinhe seus recursos e controles, como o monitoramento de transações, de forma proporcional às novas ameaças e vulnerabilidades específicas das jurisdições internacionais.

Incorreto: Aguardar doze meses para realizar uma auditoria é uma postura reativa que expõe a instituição a riscos regulatórios e operacionais graves desde o primeiro dia. O uso indiscriminado de Due Diligence Simplificada (SDD) para clientes internacionais ignora a necessidade de avaliar riscos geográficos e individuais, o que viola os princípios de CDD e EDD. Delegar a responsabilidade total aos bancos correspondentes é incorreto, pois a FinTech mantém a responsabilidade primária pela conformidade de suas próprias operações e pelo conhecimento de seus clientes (KYC).

Conclusão: A expansão para novos mercados ou produtos exige uma atualização proativa da avaliação de risco institucional para garantir que os controles de monitoramento sejam proporcionais às novas ameaças identificadas.

Correto: De acordo com os princípios de governança e a Abordagem Baseada em Risco (RBA), as FinTechs devem revisar e atualizar suas avaliações de risco sempre que houver mudanças significativas no modelo de negócio ou no perfil de risco (como o aumento de transações transfronteiriças). A utilização de dados técnicos como coordenadas GPS e endereços MAC é uma prática recomendada para fortalecer o eKYC e mitigar riscos de evasão de sanções e crimes financeiros em ambientes digitais.

Incorreto: Suspender todas as transações com VPN de forma indiscriminada não reflete uma abordagem baseada em risco proporcional e pode prejudicar a operação comercial. Delegar a responsabilidade total a terceiros é incorreto, pois a responsabilidade final pela conformidade permanece com a instituição financeira, conforme as diretrizes de gestão de risco. Priorizar a experiência do usuário em detrimento dos controles de identificação (KYC) cria vulnerabilidades críticas que podem levar a sanções regulatórias e facilitar a lavagem de dinheiro.

Conclusão: A governança de conformidade em FinTechs exige a atualização dinâmica da avaliação de risco e o uso de dados tecnológicos avançados para validar a identidade e a localização real dos clientes em operações digitais.

Correto: De acordo com os princípios da abordagem baseada em risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico. Mudanças significativas no modelo de negócios, como a expansão para novas jurisdições de alto risco e o lançamento de novos produtos (carteiras digitais), exigem uma atualização imediata da avaliação de risco para garantir que os controles internos e o apetite de risco da instituição permaneçam adequados e eficazes.

Incorreto: Suspender transações sem uma análise técnica prévia caracteriza de-risking indiscriminado, o que é desencorajado por órgãos reguladores. Implementar tecnologia sem uma base de risco atualizada é ineficaz, pois os parâmetros do sistema seriam falhos. Delegar a governança de risco exclusivamente para a equipe de vendas viola o princípio das três linhas de defesa, onde a conformidade deve manter independência e supervisão sobre a gestão de riscos.

Conclusão: A avaliação de risco institucional deve ser revisada periodicamente ou sempre que houver mudanças significativas no perfil operacional, produtos ou alcance geográfico da FinTech.

Correto: De acordo com a abordagem baseada em risco (RBA), as FinTechs devem identificar e avaliar os riscos específicos de seus modelos de negócios e produtos. Ao atualizar a avaliação de risco e demonstrar a eficácia técnica de seus controles automatizados (como o eKYC e monitoramento), a FinTech fornece a transparência necessária para que o banco tradicional se sinta confortável com o nível de risco residual, mitigando a ameaça de de-risking.

Incorreto: Suspender transações ou solicitar aprovação individual do banco parceiro é operacionalmente inviável e não demonstra governança interna. A substituição do eKYC por processos manuais ignora a escalabilidade das FinTechs e não garante necessariamente maior conformidade se os sistemas automatizados forem robustos. Aumentar o apetite de risco em resposta a pressões regulatórias ou de parceiros é uma falha grave de governança e aumenta a vulnerabilidade a crimes financeiros.

Conclusão: A manutenção de relacionamentos entre FinTechs e instituições tradicionais exige uma demonstração clara de como a tecnologia e a abordagem baseada em risco mitigam vulnerabilidades específicas de novos produtos financeiros.

Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento ao terrorismo antes do lançamento de novos produtos ou práticas comerciais. A introdução de remessas internacionais altera significativamente o perfil de risco da FinTech, exigindo uma atualização imediata da Avaliação de Risco Institucional para que controles mitigatórios adequados sejam desenhados e implementados.

Incorreto: Aguardar o ciclo anual de revisão é uma postura reativa que expõe a instituição a riscos não mitigados durante o período inicial. A aplicação de Due Diligence Simplificada (SDD) é inadequada para remessas internacionais, que geralmente apresentam maior risco inerente. Confiar apenas em um apetite de risco genérico sem uma avaliação técnica detalhada das novas vulnerabilidades operacionais e geográficas falha em cumprir os requisitos regulatórios de conformidade preventiva.

Conclusão: Qualquer mudança significativa no modelo de negócios ou lançamento de novos produtos exige a atualização prévia da avaliação de risco para alinhar os controles aos novos riscos identificados.

Correto: A realização de uma avaliação de risco institucional atualizada antes da expansão permite que a FinTech identifique ameaças específicas em novas jurisdições e ajuste seus controles. Isso está alinhado com a Abordagem Baseada em Risco (RBA), garantindo que a governança e o monitoramento de transações sejam proporcionais aos novos riscos assumidos durante o processo de escala.

Incorreto: Aguardar seis meses para definir limites de monitoramento expõe a instituição a riscos significativos sem controles adequados durante o período inicial de maior vulnerabilidade. Delegar a responsabilidade total a parceiros bancários é uma falha de governança, pois a instituição mantém a responsabilidade final por sua própria conformidade. Focar apenas na automação da integração de clientes ignora a necessidade crítica de calibrar o monitoramento de transações para os novos riscos geográficos e operacionais identificados.

Conclusão: A atualização proativa da avaliação de risco institucional é um pré-requisito essencial para a expansão segura e em conformidade de qualquer modelo de negócio FinTech.

Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem e avaliem os riscos específicos de novos produtos e geografias antes de sua implementação. Atualizar a avaliação de risco institucional permite que a FinTech ajuste seu apetite de risco e implemente controles de monitoramento de transações que sejam proporcionais e eficazes contra as novas ameaças, como a lavagem de dinheiro transfronteiriça.

Incorreto: Manter parâmetros antigos ignora a mudança significativa no perfil de risco geográfico e de produto. O de-risking indiscriminado (bloqueio automático) não é uma gestão de risco eficaz e pode prejudicar injustamente clientes legítimos. Delegar a responsabilidade total a um provedor de RegTech sem supervisão interna viola os princípios de governança de conformidade, pois a responsabilidade final perante o regulador permanece com a instituição financeira.

Conclusão: A expansão de produtos em FinTechs exige a atualização da avaliação de risco institucional para garantir que os controles de monitoramento sejam proporcionais aos novos riscos identificados.

Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA), a Avaliação de Risco Institucional deve ser um processo dinâmico e contínuo. A introdução de novos produtos, especialmente ativos virtuais que possuem riscos inerentes elevados de lavagem de dinheiro, exige uma reavaliação imediata das vulnerabilidades e uma atualização do apetite de risco para garantir que os controles internos sejam proporcionais aos novos riscos assumidos.

Incorreto: Manter a avaliação original ignora mudanças fundamentais no perfil de risco da empresa, o que é uma falha grave de governança. Delegar o apetite de risco apenas à equipe de produtos cria um conflito de interesses e ignora a responsabilidade da alta administração e do compliance. Esperar pela inspeção regulatória é uma postura reativa que demonstra falta de controles internos adequados e falha em cumprir as obrigações de autoavaliação.

Conclusão: A Avaliação de Risco Institucional e o Apetite de Risco devem ser revisados e atualizados sempre que houver mudanças significativas no modelo de negócios ou no perfil de risco da FinTech.

Correto: A transição de um ambiente de sandbox para o mercado real altera drasticamente o perfil de risco de uma FinTech. De acordo com os princípios da Abordagem Baseada em Risco (RBA), as instituições devem identificar e avaliar os riscos antes de lançar novos produtos ou expandir operações. O aumento no volume e a inclusão de jurisdições de alto risco exigem que a avaliação de risco seja atualizada para garantir que os controles de monitoramento sejam proporcionais e eficazes contra a lavagem de dinheiro e o financiamento do terrorismo.

Incorreto: Manter apenas os controles do sandbox é insuficiente, pois o ambiente de teste é limitado e não reflete a complexidade do mercado real. Adiar a revisão para a auditoria anual cria uma lacuna de conformidade perigosa durante o período de maior vulnerabilidade. A terceirização para uma RegTech pode auxiliar na execução, mas a responsabilidade final pela conformidade e pela gestão de riscos (accountability) nunca pode ser delegada ou transferida para terceiros.

Conclusão: Qualquer mudança significativa na escala, produto ou alcance geográfico de uma FinTech exige uma reavaliação imediata da estrutura de risco e dos controles de monitoramento associados.

Correto: A abordagem baseada em risco (RBA) preconiza que a avaliação de risco institucional deve ser um documento vivo. Ao identificar tipologias como estruturação (smurfing) e o uso de IPs compartilhados em contas distintas (indicador de fraude ou controle centralizado), a instituição deve reavaliar se seus controles e apetite de risco ainda são eficazes para o modelo de negócio atual, garantindo que os cenários de monitoramento capturem tais comportamentos.

Incorreto: A suspensão imediata sem análise individualizada e o reporte automático sem investigação prévia podem configurar de-risking indevido e falha processual. Delegar a responsabilidade técnica da investigação apenas à primeira linha de defesa compromete a estrutura de três linhas de defesa e a segregação de funções. Adiar a revisão da avaliação de risco até o ciclo anual ignora a necessidade de resposta ágil a novas ameaças identificadas no monitoramento contínuo, conforme exigido pelos padrões de conformidade.

Conclusão: A identificação de novos padrões de alerta deve desencadear uma revisão da avaliação de risco e dos controles de monitoramento para garantir o alinhamento contínuo com o apetite de risco da FinTech.

Correto: A segregação de funções é um pilar essencial da estrutura de gestão de risco (1.4). No modelo de linhas de defesa, a função de conformidade e os mecanismos de controle de qualidade devem ser independentes das atividades que estão sendo monitoradas. Quando o MLRO supervisiona a revisão de suas próprias decisões ou de sua equipe direta, a eficácia do controle é comprometida por um conflito de interesses, violando as melhores práticas de governança corporativa e AML.

Incorreto: O uso de provedores terceirizados para sanções é uma escolha de ferramenta e não aborda a falha estrutural de governança. O sandbox regulatório é um ambiente experimental opcional para inovação, não uma exigência universal para carteiras digitais. Uma avaliação de risco a cada cinco anos é considerada uma prática inadequada, pois as avaliações devem ser contínuas ou anuais, mas isso não é o problema central de conflito de funções descrito no cenário.

Conclusão: A independência e a segregação de funções entre as linhas de defesa são fundamentais para garantir a integridade e a eficácia do programa de conformidade de uma FinTech.

Correto: A abordagem baseada em risco (RBA) exige que as instituições realizem avaliações de risco dinâmicas. A introdução de novos produtos, como ativos virtuais, e novos serviços, como transferências internacionais, altera significativamente o perfil de risco da FinTech. Portanto, é essencial revisar a avaliação de risco e o apetite de risco para assegurar que os controles sejam proporcionais aos novos riscos identificados e que a alta administração esteja ciente da nova exposição.

Incorreto: Manter o apetite original é inadequado pois ignora o aumento do risco inerente aos novos serviços de criptoativos e remessas. Aguardar o regulador é um erro de governança, pois a responsabilidade pela gestão de risco é da própria instituição e deve ser proativa. Aumentar o monitoramento de forma genérica sem revisar a avaliação de risco é ineficiente e não segue os princípios de governança, que exigem que o apetite de risco seja formalmente fundamentado e aprovado.

Conclusão: A avaliação de risco e o apetite de risco devem ser revisados periodicamente ou sempre que ocorrerem mudanças materiais no modelo de negócios, produtos ou perfil de clientes.

Correto: A abordagem baseada em risco (RBA) exige que a avaliação de risco institucional seja um documento dinâmico, atualizado sempre que houver mudanças significativas no modelo de negócio ou no perfil de transações. Na estrutura de três linhas de defesa, a segunda linha (conformidade e MLRO) tem a responsabilidade de monitorar e validar se os controles aplicados pela primeira linha (unidades de negócio) são eficazes e estão em conformidade com as políticas estabelecidas.

Incorreto: Automatizar totalmente as decisões de conformidade sem supervisão humana ignora a necessidade de julgamento qualitativo e a responsabilidade final do MLRO. Ajustar limites de forma uniforme para todos os clientes viola o princípio fundamental da abordagem baseada em risco, que exige controles proporcionais ao risco específico de cada cliente. Aguardar instruções do regulador de forma passiva é inadequado, pois a instituição tem o dever de gerir seus próprios riscos e corrigir falhas de controle interno proativamente.

Conclusão: A governança eficaz em FinTechs exige que a avaliação de risco acompanhe a evolução do negócio e que a segunda linha de defesa valide rigorosamente os controles de onboarding.

Correto: A abordagem baseada em risco (RBA) exige que as instituições identifiquem e avaliem os riscos antes do lançamento de novos produtos ou serviços. Remessas internacionais introduzem riscos geográficos e de jurisdição específicos que não estão presentes em operações domésticas, exigindo uma revisão do apetite de risco e dos controles preventivos para garantir que a mitigação seja proporcional ao novo nível de risco.

Incorreto: Manter protocolos domésticos é insuficiente, pois os riscos de remessas internacionais são qualitativamente diferentes. Suspender atualizações até atingir um certo volume é uma prática perigosa que deixa a instituição exposta a crimes financeiros desde o primeiro dia. Delegar a responsabilidade total a bancos correspondentes viola o princípio de que a própria instituição deve gerenciar seus riscos e manter sua própria estrutura de conformidade.

Conclusão: A avaliação de risco institucional deve ser atualizada proativamente sempre que houver mudanças significativas no modelo de negócios, como a introdução de serviços transfronteiriços.

Correto: A aplicação de padrões globais consistentes, independentemente de a jurisdição local ser menos rigorosa, é um princípio fundamental de instituições financeiras resilientes. Ao ajustar o monitoramento para tipologias específicas (como empresas de fachada) e medir o risco residual contra o apetite de risco da matriz, a instituição garante que a expansão não comprometa sua integridade global, respeitando o alcance extraterritorial de regulamentações e as recomendações do GAFI.

Incorreto: Adotar apenas leis locais menos rigorosas expõe a instituição a riscos reputacionais e sanções extraterritoriais. Delegar totalmente a governança à gerência local sem supervisão centralizada enfraquece a cultura de compliance e o ‘tone at the top’. A coleta mínima de dados de KYC impede uma due diligence eficaz e o monitoramento baseado em risco, tornando as auditorias anuais insuficientes para detectar atividades suspeitas em tempo real.

Conclusão: Uma gestão de risco eficaz exige a harmonização de padrões globais rigorosos com a adaptação técnica às ameaças locais, garantindo que o risco residual esteja sempre alinhado ao apetite de risco institucional.

Correto: A ação correta envolve a integração do risco jurisdicional na avaliação global da empresa. De acordo com os padrões internacionais e as diretrizes de gestão de risco, quando uma instituição opera em múltiplas jurisdições, ela deve aplicar o padrão mais rigoroso entre os requisitos locais e os globais da matriz. A inclusão de uma jurisdição da ‘Lista Cinzenta’ exige a aplicação de Due Diligence Aprimorada (EDD) para mitigar o risco inerente elevado e garantir que o risco residual permaneça dentro do apetite ao risco moderado da instituição.

Incorreto: Adotar apenas as leis locais é insuficiente se estas forem menos rigorosas que os padrões da matriz ou internacionais, expondo a firma a riscos regulatórios e de reputação. Manter a EWRA inalterada ignora novos fatores de risco significativos, o que compromete a integridade do programa de conformidade. Delegar a definição do apetite ao risco para unidades locais de forma independente enfraquece a governança corporativa e o ‘tom do topo’, além de ignorar que o apetite ao risco deve ser uma diretriz centralizada e consistente.

Conclusão: A avaliação de risco institucional deve ser dinâmica e integrar riscos jurisdicionais específicos, aplicando sempre o padrão de conformidade mais rigoroso para alinhar o risco residual ao apetite de risco da empresa.

Correto: A implementação de restrições e a aplicação de EDD representam uma estratégia de tratamento e mitigação de risco. Quando a eficácia dos controles não é comprovada (falta de validação do modelo) e o risco inerente é alto, a instituição deve adotar medidas para reduzir o risco residual, garantindo que ele permaneça dentro do apetite ao risco conservador definido pela alta administração.

Incorreto: Aceitar o risco sem validação (opção b) é imprudente e viola princípios de gestão de risco. Alterar o apetite ao risco apenas para acomodar falhas de controle (opção c) compromete a integridade do programa de compliance. Delegar a responsabilidade total a terceiros (opção d) é inaceitável, pois a responsabilidade final pela conformidade e pelo monitoramento de riscos é sempre da instituição financeira.

Conclusão: A gestão eficaz de riscos exige que o risco residual seja mantido dentro do apetite ao risco institucional através de controles validados e medidas de mitigação proporcionais ao risco inerente.

Correto: De acordo com a Recomendação 18 do GAFI, as instituições financeiras devem garantir que seus programas de conformidade em todo o grupo sejam aplicados em suas subsidiárias. Se as leis locais de privacidade impedirem a implementação desses padrões, a instituição deve aplicar medidas adicionais para gerenciar os riscos de lavagem de dinheiro e financiamento do terrorismo e informar os supervisores em sua jurisdição de origem. Se o risco residual permanecer fora do apetite de risco, a instituição pode precisar limitar ou encerrar as operações.

Incorreto: A opção que sugere priorizar apenas a lei local sem controles adicionais falha em abordar o risco residual e os padrões internacionais de supervisão consolidada. A solicitação de isenção baseada apenas no apetite local ignora a governança de risco global da instituição. O uso de tecnologia, como a inteligência artificial, serve como um controle de suporte, mas não substitui a obrigação regulatória fundamental de identificar e verificar os beneficiários finais (UBOs).

Conclusão: Quando restrições legais locais impedem o compartilhamento de dados em um grupo financeiro, a instituição deve implementar controles compensatórios rigorosos ou ajustar seu apetite ao risco, podendo chegar à limitação das atividades comerciais.

Correto: A abordagem correta envolve a harmonização entre as obrigações de AML/CFT e as leis de proteção de dados. O compartilhamento de informações em nível de grupo é fundamental para uma visão holística do risco, mas deve ser feito respeitando a legislação local. O uso de técnicas de mitigação, como a anonimização de dados sensíveis ou controles de acesso baseados na necessidade de conhecimento, permite que a sede monitore riscos sem infringir a privacidade.

Incorreto: Priorizar políticas internas sobre leis nacionais é um erro grave que pode levar a sanções regulatórias e criminais. Isolar os dados da unidade impede que a instituição identifique padrões de crimes financeiros transfronteiriços, enfraquecendo o programa de conformidade global. Suspender procedimentos de EDD aumenta o risco residual da instituição e viola princípios fundamentais de gestão de risco baseada em conformidade.

Conclusão: A gestão de riscos em jurisdições com leis de privacidade rigorosas exige a implementação de controles técnicos e operacionais que permitam o compartilhamento de informações essenciais sem violar a proteção de dados local.

Correto: O apetite ao risco define o nível de risco que a organização está disposta a aceitar para atingir seus objetivos. Quando o apetite se torna mais conservador, a instituição deve alinhar seu portfólio através da reavaliação de riscos e do fortalecimento de controles, como a Due Diligence Aprimorada (EDD) e o ajuste de limites transacionais, para reduzir o risco residual a um nível que seja aceitável para a nova política da empresa.

Incorreto: Manter controles inadequados em troca de lucro ou taxas maiores (opção b) viola os princípios fundamentais de gestão de risco e expõe a instituição a sanções severas. Delegar decisões críticas de risco a gerentes de relacionamento (opção c) cria um conflito de interesses direto e ignora a governança de conformidade. O encerramento em massa de contas sem uma análise individualizada (opção d), conhecido como de-risking indiscriminado, é desencorajado por órgãos internacionais e não reflete uma gestão de risco técnica e equilibrada.

Conclusão: O apetite ao risco institucional é o principal direcionador para a definição de controles e para a composição do portfólio de clientes e produtos, visando manter o risco residual dentro dos limites aceitáveis.

Correto: A gestão de risco eficaz em um cenário de conflito entre leis de privacidade e obrigações de AML exige o uso de controles compensatórios. Quando o compartilhamento de dados é restrito por legislação local, a instituição deve fortalecer o monitoramento e a governança na unidade local para gerenciar o risco residual, garantindo que o apetite ao risco global seja mantido sem violar as leis de proteção de dados da jurisdição onde opera.

Incorreto: Priorizar diretrizes internas sobre leis locais pode resultar em sanções civis e criminais graves por violação de privacidade. Suspender a EDD em uma jurisdição de alto risco é uma falha crítica de conformidade que expõe a instituição a crimes financeiros. Delegar totalmente a responsabilidade sem supervisão da matriz compromete a gestão de risco em toda a empresa (enterprise-wide risk management) e ignora a necessidade de uma visão holística do risco institucional.

Conclusão: O equilíbrio entre privacidade de dados e conformidade AML exige a implementação de controles compensatórios locais e uma avaliação precisa do risco residual quando o compartilhamento de informações transfronteiriço é restrito.

Correto: De acordo com os padrões internacionais de conformidade e gestão de risco, quando existem discrepâncias entre a política global de uma instituição e as leis locais de uma jurisdição onde ela opera, a instituição deve sempre aderir ao padrão mais rigoroso. Isso garante que a empresa não viole regulamentos locais, o que poderia resultar em sanções severas e danos à reputação, além de refletir uma gestão prudente do risco jurisdicional.

Incorreto: A aplicação do padrão global menos rigoroso resultaria em descumprimento legal direto na jurisdição local. Solicitar isenções para requisitos fundamentais de KYC, como a identificação de beneficiários finais, não é uma prática aceitável perante reguladores. Adiar a conformidade legal para realizar validações de modelo é inadequado, pois a conformidade com a lei local é um requisito imediato e não opcional.

Conclusão: Em cenários de conflito normativo entre jurisdições, as instituições financeiras devem aplicar o padrão mais rigoroso para mitigar riscos regulatórios e legais.

Correto: De acordo com os padrões internacionais e as melhores práticas de gestão de risco, quando uma instituição opera em múltiplas jurisdições, ela deve aplicar o padrão mais rigoroso entre suas políticas globais e as leis locais. Em jurisdições de alto risco ou com deficiências estratégicas, a aplicação de medidas de devida diligência aprimorada (EDD) e controles mitigadores robustos é essencial para garantir que o risco residual permaneça dentro do apetite a risco moderado definido pela instituição.

Incorreto: Seguir apenas as leis locais menos rigorosas falha em proteger a instituição contra riscos reputacionais e sanções extraterritoriais. Alterar o apetite a risco apenas para facilitar a expansão comercial sem a devida mitigação ignora os princípios fundamentais de governança de risco. A delegação total da CDD para terceiros sem supervisão direta é uma prática de alto risco que não exime a instituição de sua responsabilidade regulatória final.

Conclusão: As instituições financeiras devem aplicar o padrão de conformidade mais rigoroso e implementar controles proporcionais ao risco inerente para alinhar o risco residual ao apetite institucional.

Correto: A gestão eficaz de riscos exige que, quando a exposição inerente aumenta devido a novos mercados ou jurisdições, os controles sejam fortalecidos para manter o risco residual dentro do apetite ao risco da instituição. O ajuste dos sistemas de monitoramento para capturar tipologias específicas da região é um componente crítico da mitigação de riscos, garantindo que o programa de PLD seja responsivo às ameaças reais.

Incorreto: Interromper negócios é uma estratégia de evitar o risco que pode ser desproporcional se controles eficazes puderem ser aplicados para tratar o risco. Manter parâmetros globais estáticos falha em reconhecer riscos jurisdicionais específicos e ignora a necessidade de monitoramento baseado em risco. Delegar a aprovação de due diligence reforçada (EDD) exclusivamente às unidades de negócio compromete a independência da função de compliance e enfraquece a cultura de conformidade institucional.

Conclusão: O alinhamento entre o apetite ao risco e os controles operacionais é fundamental para garantir que o risco residual permaneça em níveis aceitáveis após mudanças na exposição geográfica.