Quiz-summary
0 of 28 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 28 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- Answered
- Review
-
Question 1 of 28
1. Question
Durante uma auditoria anual de Prevenção à Lavagem de Dinheiro (PLD) em um banco de médio porte, o auditor interno observa que a equipe de Compliance (segunda linha) realiza revisões mensais de Garantia de Qualidade (Quality Assurance) sobre os alertas de monitoramento de transações. O Diretor de Compliance sugere que, devido à abrangência dessas revisões, a Auditoria Interna (terceira linha) pode reduzir significativamente seus testes independentes e focar apenas na revisão dos relatórios gerados pela segunda linha. Além disso, o Auditor Chefe reporta-se administrativamente ao CEO, que também é o responsável direto pela supervisão do departamento de Compliance. Qual é a principal preocupação de governança e independência nesta situação?
Correct
Correto: A terceira linha de defesa tem a responsabilidade de fornecer uma avaliação independente e objetiva da eficácia dos controles de PLD. A ‘Garantia de Qualidade’ realizada pela segunda linha é uma função de controle de gestão e não substitui os testes independentes da auditoria. Além disso, para preservar a independência, a auditoria deve reportar-se funcionalmente ao Conselho de Administração ou ao Comitê de Auditoria, evitando que a supervisão administrativa pelo CEO (que também gere o Compliance) crie conflitos de interesse ou pressões indevidas.
Incorreto: As outras opções falham ao sugerir que a auditoria pode abdicar de seus testes independentes ou que a estrutura de reporte ao CEO é adequada. A redução de testes baseada apenas no trabalho da segunda linha compromete a natureza da ‘terceira linha’. Delegar funções críticas apenas para auditores externos não exime a auditoria interna de suas responsabilidades fundamentais de supervisão e teste do programa de PLD.
Conclusão: A terceira linha de defesa deve realizar testes independentes e manter uma linha de reporte que garanta autonomia total em relação às áreas de gestão e conformidade que supervisiona.
Incorrect
Correto: A terceira linha de defesa tem a responsabilidade de fornecer uma avaliação independente e objetiva da eficácia dos controles de PLD. A ‘Garantia de Qualidade’ realizada pela segunda linha é uma função de controle de gestão e não substitui os testes independentes da auditoria. Além disso, para preservar a independência, a auditoria deve reportar-se funcionalmente ao Conselho de Administração ou ao Comitê de Auditoria, evitando que a supervisão administrativa pelo CEO (que também gere o Compliance) crie conflitos de interesse ou pressões indevidas.
Incorreto: As outras opções falham ao sugerir que a auditoria pode abdicar de seus testes independentes ou que a estrutura de reporte ao CEO é adequada. A redução de testes baseada apenas no trabalho da segunda linha compromete a natureza da ‘terceira linha’. Delegar funções críticas apenas para auditores externos não exime a auditoria interna de suas responsabilidades fundamentais de supervisão e teste do programa de PLD.
Conclusão: A terceira linha de defesa deve realizar testes independentes e manter uma linha de reporte que garanta autonomia total em relação às áreas de gestão e conformidade que supervisiona.
-
Question 2 of 28
2. Question
Durante uma auditoria interna anual do programa de Prevenção à Lavagem de Dinheiro (PLD), o regulador observa que o atual Diretor de Auditoria Interna ocupou o cargo de Oficial de Conformidade (MLRO) da instituição até oito meses atrás. O escopo da auditoria inclui a revisão da eficácia das políticas de monitoramento de transações que foram implementadas e aprovadas durante o mandato deste diretor como MLRO. Qual ação a instituição deve tomar para garantir a independência e a objetividade da terceira linha de defesa, de acordo com os padrões de governança de PLD?
Correct
Correto: A independência da terceira linha de defesa é fundamental para a integridade do programa de PLD. Quando um auditor revisa atividades pelas quais foi responsável recentemente, ocorre um conflito de interesses que compromete a objetividade. Para mitigar isso, a revisão deve ser realizada por uma parte independente, como auditores externos ou uma equipe interna com linha de reporte alternativa, garantindo que quem revisa não tenha influência sobre o que foi desenhado por si mesmo no passado recente.
Incorreto: A simples declaração de conflito de interesses não é suficiente para garantir a objetividade se o Diretor de Auditoria mantiver a supervisão direta sobre os testes. A segunda linha de defesa, por definição, não possui a independência necessária para substituir a função de teste independente da terceira linha. Adiar a auditoria por um longo período de carência deixaria a instituição exposta a riscos operacionais e regulatórios significativos, não sendo uma prática aceitável de gestão de riscos.
Conclusão: A independência da auditoria exige que os profissionais não auditem processos que desenharam ou gerenciaram recentemente, exigindo salvaguardas estruturais para manter a objetividade dos testes.
Incorrect
Correto: A independência da terceira linha de defesa é fundamental para a integridade do programa de PLD. Quando um auditor revisa atividades pelas quais foi responsável recentemente, ocorre um conflito de interesses que compromete a objetividade. Para mitigar isso, a revisão deve ser realizada por uma parte independente, como auditores externos ou uma equipe interna com linha de reporte alternativa, garantindo que quem revisa não tenha influência sobre o que foi desenhado por si mesmo no passado recente.
Incorreto: A simples declaração de conflito de interesses não é suficiente para garantir a objetividade se o Diretor de Auditoria mantiver a supervisão direta sobre os testes. A segunda linha de defesa, por definição, não possui a independência necessária para substituir a função de teste independente da terceira linha. Adiar a auditoria por um longo período de carência deixaria a instituição exposta a riscos operacionais e regulatórios significativos, não sendo uma prática aceitável de gestão de riscos.
Conclusão: A independência da auditoria exige que os profissionais não auditem processos que desenharam ou gerenciaram recentemente, exigindo salvaguardas estruturais para manter a objetividade dos testes.
-
Question 3 of 28
3. Question
Durante uma auditoria anual do programa de Prevenção à Lavagem de Dinheiro (PLD), o auditor interno observa que o Diretor de Conformidade (CCO), que chefia a segunda linha de defesa, solicitou formalmente a exclusão de uma agência de alto risco do escopo da auditoria. O CCO justifica que sua equipe de monitoramento já realizou uma revisão de garantia de qualidade (Quality Assurance) abrangente naquela unidade no trimestre anterior e que uma nova revisão seria redundante. Qual é a ação mais apropriada que o auditor deve tomar para preservar a integridade da terceira linha de defesa?
Correct
Correto: A terceira linha de defesa (auditoria interna) deve manter total independência funcional e operacional em relação às duas primeiras linhas. A definição do escopo de auditoria deve ser baseada em uma avaliação de risco independente conduzida pelo próprio auditor. Qualquer tentativa da gestão ou da segunda linha de defesa de ditar ou limitar o escopo da auditoria constitui uma ameaça à independência, devendo ser comunicada aos órgãos de governança superior, como o Comitê de Auditoria.
Incorreto: A opção que sugere aceitar a revisão da segunda linha como substituta falha ao não reconhecer que a garantia de qualidade (2ª linha) e a auditoria independente (3ª linha) possuem objetivos e níveis de independência distintos. A substituição por uma agência de risco médio ignora a abordagem baseada em risco, que exige foco nas áreas de maior exposição. O uso de um termo de isenção de responsabilidade é inadequado, pois a função da auditoria é fornecer uma avaliação objetiva para o Conselho, e não negociar a transferência de riscos operacionais.
Conclusão: A independência da terceira linha de defesa é absoluta e o auditor deve resistir a qualquer interferência da gestão no escopo da auditoria, reportando tais incidentes ao Comitê de Auditoria.
Incorrect
Correto: A terceira linha de defesa (auditoria interna) deve manter total independência funcional e operacional em relação às duas primeiras linhas. A definição do escopo de auditoria deve ser baseada em uma avaliação de risco independente conduzida pelo próprio auditor. Qualquer tentativa da gestão ou da segunda linha de defesa de ditar ou limitar o escopo da auditoria constitui uma ameaça à independência, devendo ser comunicada aos órgãos de governança superior, como o Comitê de Auditoria.
Incorreto: A opção que sugere aceitar a revisão da segunda linha como substituta falha ao não reconhecer que a garantia de qualidade (2ª linha) e a auditoria independente (3ª linha) possuem objetivos e níveis de independência distintos. A substituição por uma agência de risco médio ignora a abordagem baseada em risco, que exige foco nas áreas de maior exposição. O uso de um termo de isenção de responsabilidade é inadequado, pois a função da auditoria é fornecer uma avaliação objetiva para o Conselho, e não negociar a transferência de riscos operacionais.
Conclusão: A independência da terceira linha de defesa é absoluta e o auditor deve resistir a qualquer interferência da gestão no escopo da auditoria, reportando tais incidentes ao Comitê de Auditoria.
-
Question 4 of 28
4. Question
Durante uma auditoria interna anual do programa de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT), o Diretor de Auditoria Interna observa que o Gerente de Compliance (segunda linha de defesa) forneceu a metodologia de avaliação de risco e também selecionou a amostra específica de alertas de monitoramento de transações que os auditores deveriam testar. O Gerente de Compliance justificou a ação alegando que sua equipe possui maior conhecimento técnico sobre os cenários de risco do sistema e que isso agilizaria o processo. Considerando os princípios de governança e a necessidade de independência da terceira linha de defesa, qual deve ser a postura da equipe de auditoria?
Correct
Correto: A terceira linha de defesa (auditoria interna) deve ser totalmente independente das funções de gestão e controle (primeira e segunda linhas). Permitir que a segunda linha de defesa, que é a função sendo auditada, selecione a amostra para os testes de eficácia compromete a objetividade e a independência do auditor. Para que a auditoria seja considerada um teste independente, o auditor deve ter autonomia para definir o escopo, a metodologia de amostragem e os itens a serem testados com base em sua própria avaliação de risco.
Incorreto: Aceitar a amostra selecionada pelo Compliance compromete a integridade do teste independente, pois a função auditada poderia, intencionalmente ou não, selecionar casos que não representam falhas sistêmicas. Delegar testes à primeira linha confunde as responsabilidades de controle permanente com a função de auditoria. Solicitar que o Comitê de Auditoria valide amostras operacionais é um desvio das funções estratégicas do comitê e não resolve a falha de independência na execução técnica do plano de auditoria.
Conclusão: A independência da terceira linha de defesa exige que a auditoria interna defina seu próprio escopo e amostragem de forma autônoma, sem interferência das funções de controle que estão sob sua avaliação.
Incorrect
Correto: A terceira linha de defesa (auditoria interna) deve ser totalmente independente das funções de gestão e controle (primeira e segunda linhas). Permitir que a segunda linha de defesa, que é a função sendo auditada, selecione a amostra para os testes de eficácia compromete a objetividade e a independência do auditor. Para que a auditoria seja considerada um teste independente, o auditor deve ter autonomia para definir o escopo, a metodologia de amostragem e os itens a serem testados com base em sua própria avaliação de risco.
Incorreto: Aceitar a amostra selecionada pelo Compliance compromete a integridade do teste independente, pois a função auditada poderia, intencionalmente ou não, selecionar casos que não representam falhas sistêmicas. Delegar testes à primeira linha confunde as responsabilidades de controle permanente com a função de auditoria. Solicitar que o Comitê de Auditoria valide amostras operacionais é um desvio das funções estratégicas do comitê e não resolve a falha de independência na execução técnica do plano de auditoria.
Conclusão: A independência da terceira linha de defesa exige que a auditoria interna defina seu próprio escopo e amostragem de forma autônoma, sem interferência das funções de controle que estão sob sua avaliação.
-
Question 5 of 28
5. Question
Durante uma auditoria anual programada do programa de Prevenção à Lavagem de Dinheiro (PLD), o Diretor de Conformidade (CCO) solicita revisar e aprovar formalmente o escopo detalhado dos testes e o rascunho final do relatório antes de sua apresentação ao Comitê de Auditoria. O CCO argumenta que essa revisão é necessária para garantir que as nuances técnicas dos sistemas de monitoramento de transações sejam interpretadas corretamente pelos auditores e para evitar conclusões imprecisas. Qual é a ação mais apropriada para o Auditor Chefe garantir a integridade do modelo de três linhas de defesa?
Correct
Correto: A terceira linha de defesa (auditoria interna) deve ser funcionalmente independente das atividades que audita para fornecer uma avaliação objetiva. Embora seja uma prática recomendada discutir as descobertas com a gerência auditada para garantir que os fatos relatados estejam corretos, permitir que a segunda linha (Conformidade) aprove o escopo ou o relatório final compromete a independência e a autoridade da auditoria, criando um conflito de interesses.
Incorreto: Permitir que a segunda linha de defesa aprove o escopo ou o relatório (opções B e D) viola o princípio de independência da auditoria, pois a função auditada estaria exercendo controle sobre o processo de avaliação. Delegar a aprovação ao Comitê de Conformidade (opção C) também é inadequado, pois a auditoria deve reportar-se diretamente ao Conselho de Administração ou ao Comitê de Auditoria para garantir que sua supervisão não seja filtrada pela gerência operacional.
Conclusão: A independência da terceira linha de defesa exige que o escopo e os relatórios de auditoria não estejam sujeitos à aprovação ou influência indevida das funções de primeira ou segunda linha.
Incorrect
Correto: A terceira linha de defesa (auditoria interna) deve ser funcionalmente independente das atividades que audita para fornecer uma avaliação objetiva. Embora seja uma prática recomendada discutir as descobertas com a gerência auditada para garantir que os fatos relatados estejam corretos, permitir que a segunda linha (Conformidade) aprove o escopo ou o relatório final compromete a independência e a autoridade da auditoria, criando um conflito de interesses.
Incorreto: Permitir que a segunda linha de defesa aprove o escopo ou o relatório (opções B e D) viola o princípio de independência da auditoria, pois a função auditada estaria exercendo controle sobre o processo de avaliação. Delegar a aprovação ao Comitê de Conformidade (opção C) também é inadequado, pois a auditoria deve reportar-se diretamente ao Conselho de Administração ou ao Comitê de Auditoria para garantir que sua supervisão não seja filtrada pela gerência operacional.
Conclusão: A independência da terceira linha de defesa exige que o escopo e os relatórios de auditoria não estejam sujeitos à aprovação ou influência indevida das funções de primeira ou segunda linha.
-
Question 6 of 28
6. Question
Durante uma auditoria independente do programa de Prevenção à Lavagem de Dinheiro (PLD) em uma instituição financeira de médio porte, o Diretor de Auditoria Interna observa que a equipe de Compliance, que atua como a segunda linha de defesa, solicitou a participação ativa dos auditores na definição dos parâmetros técnicos e cenários de alerta de um novo sistema de monitoramento de transações. A justificativa apresentada pelo Compliance é que essa colaboração prévia garantiria que o sistema fosse implementado sem deficiências, otimizando o tempo da auditoria futura. Considerando os princípios de governança e a independência da terceira linha de defesa, qual deve ser a postura da auditoria?
Correct
Correto: A independência da terceira linha de defesa é fundamental para a integridade do programa de PLD. Se os auditores participarem do desenho, definição de parâmetros ou implementação de controles (como o sistema de monitoramento), eles estarão auditando seu próprio trabalho no futuro, o que caracteriza um conflito de interesses. A função da auditoria é avaliar de forma independente se os processos de governança e os testes realizados pela primeira e segunda linhas foram adequados e eficazes.
Incorreto: Participar do grupo de trabalho ou fornecer orientações em tempo real sobre o design do sistema, mesmo como observador, compromete a objetividade necessária para uma avaliação imparcial posterior. A transferência da responsabilidade para um auditor externo ou a documentação de que a decisão final cabe ao Compliance não elimina o fato de que a função de auditoria se envolveu na criação do controle que deveria supervisionar de forma independente.
Conclusão: A terceira linha de defesa deve manter total segregação de funções em relação ao desenho e implementação de controles para preservar sua independência e objetividade nas avaliações de auditoria.
Incorrect
Correto: A independência da terceira linha de defesa é fundamental para a integridade do programa de PLD. Se os auditores participarem do desenho, definição de parâmetros ou implementação de controles (como o sistema de monitoramento), eles estarão auditando seu próprio trabalho no futuro, o que caracteriza um conflito de interesses. A função da auditoria é avaliar de forma independente se os processos de governança e os testes realizados pela primeira e segunda linhas foram adequados e eficazes.
Incorreto: Participar do grupo de trabalho ou fornecer orientações em tempo real sobre o design do sistema, mesmo como observador, compromete a objetividade necessária para uma avaliação imparcial posterior. A transferência da responsabilidade para um auditor externo ou a documentação de que a decisão final cabe ao Compliance não elimina o fato de que a função de auditoria se envolveu na criação do controle que deveria supervisionar de forma independente.
Conclusão: A terceira linha de defesa deve manter total segregação de funções em relação ao desenho e implementação de controles para preservar sua independência e objetividade nas avaliações de auditoria.
-
Question 7 of 28
7. Question
Durante a auditoria anual do programa de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT), o Diretor de Auditoria Interna identifica que o atual Oficial de Conformidade (CCO) da instituição financeira ocupava, até oito meses atrás, o cargo de Gerente Sênior na própria equipe de Auditoria Interna, onde foi o responsável direto pelo desenho dos testes de eficácia do sistema de monitoramento de transações. Considerando os princípios de governança e a manutenção da independência da terceira linha de defesa, qual ação deve ser tomada para garantir a integridade do exame de auditoria?
Correct
Correto: A independência da terceira linha de defesa exige que os auditores permaneçam objetivos e evitem conflitos de interesse, reais ou percebidos. Quando um ex-membro da auditoria assume uma função de gestão na segunda linha, a equipe de auditoria deve ser escalada de forma a evitar que antigos subordinados revisem o trabalho de seu ex-gestor imediato. Além disso, a linha de reporte direta ao Conselho de Administração ou ao seu Comitê de Auditoria é essencial para proteger a função de auditoria de pressões indevidas da administração.
Incorreto: A autoavaliação pelo CCO (opção b) compromete a natureza independente da terceira linha, transformando o teste em uma revisão de gestão. Adiar a auditoria (opção c) é inaceitável em uma abordagem baseada em risco, pois deixa uma área crítica sem supervisão independente. Integrar a Garantia de Qualidade da segunda linha (opção d) confunde as responsabilidades entre as linhas de defesa, uma vez que a segunda linha é responsável por monitorar a conformidade, enquanto a terceira linha deve testar de forma independente tanto a primeira quanto a segunda linha.
Conclusão: A terceira linha de defesa deve manter independência e objetividade rigorosas, evitando que auditores revisem processos influenciados por ex-colegas em posições de gestão recente.
Incorrect
Correto: A independência da terceira linha de defesa exige que os auditores permaneçam objetivos e evitem conflitos de interesse, reais ou percebidos. Quando um ex-membro da auditoria assume uma função de gestão na segunda linha, a equipe de auditoria deve ser escalada de forma a evitar que antigos subordinados revisem o trabalho de seu ex-gestor imediato. Além disso, a linha de reporte direta ao Conselho de Administração ou ao seu Comitê de Auditoria é essencial para proteger a função de auditoria de pressões indevidas da administração.
Incorreto: A autoavaliação pelo CCO (opção b) compromete a natureza independente da terceira linha, transformando o teste em uma revisão de gestão. Adiar a auditoria (opção c) é inaceitável em uma abordagem baseada em risco, pois deixa uma área crítica sem supervisão independente. Integrar a Garantia de Qualidade da segunda linha (opção d) confunde as responsabilidades entre as linhas de defesa, uma vez que a segunda linha é responsável por monitorar a conformidade, enquanto a terceira linha deve testar de forma independente tanto a primeira quanto a segunda linha.
Conclusão: A terceira linha de defesa deve manter independência e objetividade rigorosas, evitando que auditores revisem processos influenciados por ex-colegas em posições de gestão recente.
-
Question 8 of 28
8. Question
Durante a fase de planejamento da auditoria anual de Prevenção à Lavagem de Dinheiro (PLD), o Diretor de Auditoria Interna observa que um dos auditores seniores designados para revisar a eficácia do sistema de monitoramento de transações atuou, até oito meses atrás, como Gerente de Conformidade responsável pela implementação e calibração desse mesmo sistema. O Comitê de Auditoria solicita um parecer sobre como proceder para garantir a integridade do exame independente. Qual é a ação mais adequada para preservar a independência da terceira linha de defesa neste cenário?
Correct
Correto: A independência da terceira linha de defesa é fundamental para a eficácia da auditoria. Quando um auditor revisa uma atividade ou sistema pelo qual foi responsável operacionalmente em um período recente (conflito de autorrevisão), a objetividade é comprometida. As melhores práticas de governança e os padrões de auditoria exigem um período de afastamento (cooling-off), geralmente de pelo menos um ano, antes que um funcionário possa auditar uma área onde trabalhou anteriormente.
Incorreto: Permitir a participação do auditor com revisão da diretoria não elimina o conflito de interesse fundamental de auditar o próprio trabalho anterior. Restringir a atuação ao planejamento ainda permite que o auditor influencie o direcionamento dos testes em uma área onde ele possui viés. Solicitar que a segunda linha valide o trabalho da terceira linha inverte a estrutura de governança, pois a auditoria deve ser independente da gestão e da conformidade, e não o contrário.
Conclusão: Para garantir a independência da terceira linha de defesa, auditores não devem revisar atividades ou sistemas pelos quais foram responsáveis operacionalmente em um período recente.
Incorrect
Correto: A independência da terceira linha de defesa é fundamental para a eficácia da auditoria. Quando um auditor revisa uma atividade ou sistema pelo qual foi responsável operacionalmente em um período recente (conflito de autorrevisão), a objetividade é comprometida. As melhores práticas de governança e os padrões de auditoria exigem um período de afastamento (cooling-off), geralmente de pelo menos um ano, antes que um funcionário possa auditar uma área onde trabalhou anteriormente.
Incorreto: Permitir a participação do auditor com revisão da diretoria não elimina o conflito de interesse fundamental de auditar o próprio trabalho anterior. Restringir a atuação ao planejamento ainda permite que o auditor influencie o direcionamento dos testes em uma área onde ele possui viés. Solicitar que a segunda linha valide o trabalho da terceira linha inverte a estrutura de governança, pois a auditoria deve ser independente da gestão e da conformidade, e não o contrário.
Conclusão: Para garantir a independência da terceira linha de defesa, auditores não devem revisar atividades ou sistemas pelos quais foram responsáveis operacionalmente em um período recente.
-
Question 9 of 28
9. Question
Uma instituição financeira de grande porte está passando por uma reestruturação em sua governança de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT). Durante o planejamento da auditoria anual, o Auditor Chefe observa que o Compliance Officer (segunda linha de defesa) também atua como consultor direto no desenho dos algoritmos de monitoramento de transações e na aprovação final de exceções de clientes de alto risco. Para preservar a integridade da ‘terceira linha de defesa’ e cumprir os padrões internacionais de independência, qual deve ser a abordagem prioritária da auditoria?
Correct
Correto: A terceira linha de defesa deve ser totalmente independente das funções de gestão e conformidade. Ao realizar testes independentes e substantivos, o auditor valida se os controles desenhados pela segunda linha são eficazes na prática. O reporte direto ao Comitê de Auditoria ou ao Conselho de Administração é essencial para garantir que a independência não seja comprometida por pressões da administração executiva, especialmente quando há sobreposição de funções na segunda linha.
Incorreto: Assumir funções de Garantia de Qualidade da primeira linha ou colaborar no ajuste de parâmetros durante a auditoria cria conflitos de interesse, pois o auditor estaria participando da gestão do risco que deve avaliar. Confiar exclusivamente em autoavaliações da segunda linha sem realizar testes independentes falha em cumprir o papel de ‘garantia’ (assurance) objetiva exigido pelos padrões do GAFI e pelas melhores práticas de auditoria.
Conclusão: A independência da terceira linha de defesa exige a realização de testes autônomos e o reporte direto aos órgãos de governança, evitando qualquer envolvimento operacional no desenho ou execução dos controles de conformidade.
Incorrect
Correto: A terceira linha de defesa deve ser totalmente independente das funções de gestão e conformidade. Ao realizar testes independentes e substantivos, o auditor valida se os controles desenhados pela segunda linha são eficazes na prática. O reporte direto ao Comitê de Auditoria ou ao Conselho de Administração é essencial para garantir que a independência não seja comprometida por pressões da administração executiva, especialmente quando há sobreposição de funções na segunda linha.
Incorreto: Assumir funções de Garantia de Qualidade da primeira linha ou colaborar no ajuste de parâmetros durante a auditoria cria conflitos de interesse, pois o auditor estaria participando da gestão do risco que deve avaliar. Confiar exclusivamente em autoavaliações da segunda linha sem realizar testes independentes falha em cumprir o papel de ‘garantia’ (assurance) objetiva exigido pelos padrões do GAFI e pelas melhores práticas de auditoria.
Conclusão: A independência da terceira linha de defesa exige a realização de testes autônomos e o reporte direto aos órgãos de governança, evitando qualquer envolvimento operacional no desenho ou execução dos controles de conformidade.
-
Question 10 of 28
10. Question
Durante a auditoria anual do programa de Prevenção à Lavagem de Dinheiro (PLD) de uma instituição financeira, o Auditor Chefe observa que o Diretor de Compliance (CCO) propôs fornecer scripts de teste detalhados e definir os critérios de amostragem que a equipe de auditoria deve seguir. O CCO argumenta que, devido à complexidade técnica dos novos sistemas de monitoramento, a segunda linha de defesa está em melhor posição para direcionar os testes. De acordo com os princípios de governança e as responsabilidades da terceira linha de defesa, como o Auditor Chefe deve proceder?
Correct
Correto: A terceira linha de defesa (auditoria interna) deve manter total independência e objetividade em relação às funções que audita. Embora a auditoria possa e deva utilizar informações da segunda linha (Compliance) para entender os riscos e processos, ela deve determinar de forma autônoma sua metodologia, escopo e critérios de teste. Permitir que a função auditada dite como será testada compromete a integridade do teste independente e a capacidade da auditoria de fornecer uma garantia imparcial ao Conselho de Administração.
Incorreto: Aceitar scripts prontos da segunda linha compromete a independência da auditoria, criando um conflito de interesse onde o auditado define os termos da avaliação. Delegar testes para a Garantia de Qualidade (QA) é incorreto, pois a QA é uma função de monitoramento da segunda linha e não substitui o teste independente da terceira linha. Envolver o Comitê de Auditoria para validar scripts operacionais da gestão não resolve a perda de autonomia técnica da equipe de auditoria e desvirtua o papel de supervisão do comitê.
Conclusão: A independência da terceira linha de defesa exige que a auditoria interna defina sua própria metodologia de teste, independentemente das influências ou ferramentas fornecidas pelas funções de gestão e monitoramento.
Incorrect
Correto: A terceira linha de defesa (auditoria interna) deve manter total independência e objetividade em relação às funções que audita. Embora a auditoria possa e deva utilizar informações da segunda linha (Compliance) para entender os riscos e processos, ela deve determinar de forma autônoma sua metodologia, escopo e critérios de teste. Permitir que a função auditada dite como será testada compromete a integridade do teste independente e a capacidade da auditoria de fornecer uma garantia imparcial ao Conselho de Administração.
Incorreto: Aceitar scripts prontos da segunda linha compromete a independência da auditoria, criando um conflito de interesse onde o auditado define os termos da avaliação. Delegar testes para a Garantia de Qualidade (QA) é incorreto, pois a QA é uma função de monitoramento da segunda linha e não substitui o teste independente da terceira linha. Envolver o Comitê de Auditoria para validar scripts operacionais da gestão não resolve a perda de autonomia técnica da equipe de auditoria e desvirtua o papel de supervisão do comitê.
Conclusão: A independência da terceira linha de defesa exige que a auditoria interna defina sua própria metodologia de teste, independentemente das influências ou ferramentas fornecidas pelas funções de gestão e monitoramento.
-
Question 11 of 28
11. Question
Uma FinTech que atua como Provedora de Serviços de Pagamento (PSP) está expandindo suas operações para oferecer carteiras digitais e começou a processar um volume significativo de remessas internacionais para jurisdições de alto risco. A última avaliação de risco institucional foi concluída há dez meses. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) observa que o perfil de transações atual diverge significativamente das projeções iniciais. Qual é o próximo passo mais adequado para garantir que a estrutura de gestão de risco da FinTech permaneça eficaz?
Correct
Correto: De acordo com os princípios da abordagem baseada em risco (RBA) e as diretrizes de governança para FinTechs, as avaliações de risco devem ser dinâmicas. Quando há mudanças significativas no modelo de negócios, como a introdução de novos produtos (carteiras digitais) ou a exposição a novas geografias de alto risco, a instituição deve realizar uma revisão ad hoc para garantir que o apetite de risco e os controles de monitoramento de transações sejam recalibrados para mitigar as novas ameaças identificadas.
Incorreto: Suspender transações sem uma análise prévia é uma medida extrema que pode não ser baseada em risco, mas sim em uma reação operacional desproporcional. Solicitar orientação formal do regulador para mudanças operacionais rotineiras não é o procedimento padrão, pois a responsabilidade pela gestão de risco cabe à própria instituição. Aguardar o ciclo anual de revisão é perigoso e inadequado, pois deixa a FinTech vulnerável a crimes financeiros durante o período em que os controles permanecem desatualizados frente aos novos riscos.
Conclusão: A avaliação de risco institucional deve ser revisada sempre que ocorrerem mudanças significativas no perfil de risco, produtos ou operações da FinTech.
Incorrect
Correto: De acordo com os princípios da abordagem baseada em risco (RBA) e as diretrizes de governança para FinTechs, as avaliações de risco devem ser dinâmicas. Quando há mudanças significativas no modelo de negócios, como a introdução de novos produtos (carteiras digitais) ou a exposição a novas geografias de alto risco, a instituição deve realizar uma revisão ad hoc para garantir que o apetite de risco e os controles de monitoramento de transações sejam recalibrados para mitigar as novas ameaças identificadas.
Incorreto: Suspender transações sem uma análise prévia é uma medida extrema que pode não ser baseada em risco, mas sim em uma reação operacional desproporcional. Solicitar orientação formal do regulador para mudanças operacionais rotineiras não é o procedimento padrão, pois a responsabilidade pela gestão de risco cabe à própria instituição. Aguardar o ciclo anual de revisão é perigoso e inadequado, pois deixa a FinTech vulnerável a crimes financeiros durante o período em que os controles permanecem desatualizados frente aos novos riscos.
Conclusão: A avaliação de risco institucional deve ser revisada sempre que ocorrerem mudanças significativas no perfil de risco, produtos ou operações da FinTech.
-
Question 12 of 28
12. Question
De: Diretor de Conformidade (MLRO)
Para: Comitê de Gestão de Riscos
Assunto: Revisão Semestral da Estrutura de AMLNossa FinTech de pagamentos instantâneos registrou um aumento de 45% no volume de transações transfronteiriças nos últimos seis meses. Durante a revisão interna, identificamos que as tipologias de fraude de terceiros e lavagem de dinheiro evoluíram, explorando a velocidade de liquidação da nossa plataforma. Considerando a necessidade de alinhar nossas operações com a Abordagem Baseada em Risco (RBA) e os princípios de governança, qual deve ser a ação prioritária da instituição?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico. Quando ocorrem mudanças significativas no modelo de negócio ou no ambiente de ameaças (como o aumento de transações internacionais e novas tipologias de crime), a instituição deve atualizar sua avaliação de risco para garantir que os controles e o monitoramento sejam proporcionais aos riscos identificados.
Incorreto: A suspensão indiscriminada de contas (de-risking) é uma prática desencorajada por reguladores, pois não resolve a falha na gestão de risco. Focar apenas no onboarding ignora a necessidade crítica de monitoramento contínuo em um cenário de ameaças em evolução. A responsabilidade final pela conformidade e supervisão de AML não pode ser totalmente transferida para terceiros, permanecendo sob a governança da instituição e de seu MLRO.
Conclusão: A governança eficaz em FinTechs exige a recalibração periódica da avaliação de risco institucional para responder a mudanças no volume e na natureza das transações e ameaças.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA), a avaliação de risco institucional deve ser um processo dinâmico. Quando ocorrem mudanças significativas no modelo de negócio ou no ambiente de ameaças (como o aumento de transações internacionais e novas tipologias de crime), a instituição deve atualizar sua avaliação de risco para garantir que os controles e o monitoramento sejam proporcionais aos riscos identificados.
Incorreto: A suspensão indiscriminada de contas (de-risking) é uma prática desencorajada por reguladores, pois não resolve a falha na gestão de risco. Focar apenas no onboarding ignora a necessidade crítica de monitoramento contínuo em um cenário de ameaças em evolução. A responsabilidade final pela conformidade e supervisão de AML não pode ser totalmente transferida para terceiros, permanecendo sob a governança da instituição e de seu MLRO.
Conclusão: A governança eficaz em FinTechs exige a recalibração periódica da avaliação de risco institucional para responder a mudanças no volume e na natureza das transações e ameaças.
-
Question 13 of 28
13. Question
Mensagem da Diretoria de Operações: Estamos finalizando o desenvolvimento de nossa nova carteira digital que permitirá a troca direta entre moedas fiduciárias e criptoativos. Como operamos em um ambiente de FinTech ágil, planejamos lançar a versão beta em 30 dias. Precisamos que o departamento de conformidade valide se nossa estrutura de monitoramento de transações e governança de risco está preparada para esta expansão. Diante deste cenário de expansão de serviços para ativos virtuais, qual ação a equipe de conformidade deve priorizar para cumprir os requisitos de uma Abordagem Baseada em Risco (RBA)?
Correct
Correto: A realização de uma avaliação de risco de novos produtos (NPRA) é o passo essencial dentro de uma abordagem baseada em risco para identificar como novas funcionalidades, como a troca de criptoativos, alteram o perfil de risco da FinTech. Isso permite que a instituição atualize sua Avaliação Interna de Risco e implemente controles mitigatórios adequados antes do lançamento, garantindo que o apetite de risco seja respeitado.
Incorreto: Adiar a coleta de PII compromete os princípios fundamentais de KYC e a identificação de riscos desde o início do relacionamento. Transferir a responsabilidade legal para terceiros (RegTech) não é permitido, pois a instituição financeira retém a responsabilidade final pela conformidade. O uso de um sandbox regulatório geralmente permite testar inovações sob supervisão, mas não isenta a instituição de cumprir obrigações essenciais de AML/CFT e Due Diligence do Cliente.
Conclusão: Qualquer lançamento de novo produto ou funcionalidade em uma FinTech exige uma avaliação de risco prévia para alinhar os novos controles à abordagem baseada em risco da instituição.
Incorrect
Correto: A realização de uma avaliação de risco de novos produtos (NPRA) é o passo essencial dentro de uma abordagem baseada em risco para identificar como novas funcionalidades, como a troca de criptoativos, alteram o perfil de risco da FinTech. Isso permite que a instituição atualize sua Avaliação Interna de Risco e implemente controles mitigatórios adequados antes do lançamento, garantindo que o apetite de risco seja respeitado.
Incorreto: Adiar a coleta de PII compromete os princípios fundamentais de KYC e a identificação de riscos desde o início do relacionamento. Transferir a responsabilidade legal para terceiros (RegTech) não é permitido, pois a instituição financeira retém a responsabilidade final pela conformidade. O uso de um sandbox regulatório geralmente permite testar inovações sob supervisão, mas não isenta a instituição de cumprir obrigações essenciais de AML/CFT e Due Diligence do Cliente.
Conclusão: Qualquer lançamento de novo produto ou funcionalidade em uma FinTech exige uma avaliação de risco prévia para alinhar os novos controles à abordagem baseada em risco da instituição.
-
Question 14 of 28
14. Question
Uma carteira digital (FinTech) em rápida expansão observa um alerta no seu sistema de monitoramento de transações. Um cliente, que anteriormente mantinha um perfil de baixo risco com transações domésticas de pequeno valor, subitamente recebeu múltiplas transferências internacionais totalizando R$ 150.000 em um período de 48 horas, acessando a conta de diversos endereços IP em jurisdições de alto risco. De acordo com a Abordagem Baseada em Risco (RBA) e a estrutura de governança de crimes financeiros, qual deve ser a ação prioritária da equipe de conformidade?
Correct
Correto: A Abordagem Baseada em Risco (RBA) exige que, ao detectar atividades que fogem significativamente ao perfil esperado do cliente (sinais de alerta), a instituição aplique medidas de Diligência Devida Aprimorada (EDD). Isso inclui investigar a origem dos recursos e o propósito das transações para determinar se a atividade é legítima ou se há indícios de lavagem de dinheiro, permitindo uma atualização precisa da classificação de risco.
Incorreto: Encerrar a conta prematuramente sem uma investigação pode ser considerado ‘de-risking’ e impede a coleta de informações valiosas para as autoridades. Delegar à primeira linha a instrução de reduzir transações é uma falha grave de controle e pode configurar ‘tipping-off’ (dar o alerta ao cliente). Aguardar o fim do ciclo mensal ignora a necessidade de resposta tempestiva a alertas de alto risco, o que compromete a eficácia do programa de conformidade.
Conclusão: A detecção de desvios significativos no perfil transacional em FinTechs exige a aplicação imediata de EDD para reavaliar o risco e validar a legitimidade dos fundos conforme a RBA.
Incorrect
Correto: A Abordagem Baseada em Risco (RBA) exige que, ao detectar atividades que fogem significativamente ao perfil esperado do cliente (sinais de alerta), a instituição aplique medidas de Diligência Devida Aprimorada (EDD). Isso inclui investigar a origem dos recursos e o propósito das transações para determinar se a atividade é legítima ou se há indícios de lavagem de dinheiro, permitindo uma atualização precisa da classificação de risco.
Incorreto: Encerrar a conta prematuramente sem uma investigação pode ser considerado ‘de-risking’ e impede a coleta de informações valiosas para as autoridades. Delegar à primeira linha a instrução de reduzir transações é uma falha grave de controle e pode configurar ‘tipping-off’ (dar o alerta ao cliente). Aguardar o fim do ciclo mensal ignora a necessidade de resposta tempestiva a alertas de alto risco, o que compromete a eficácia do programa de conformidade.
Conclusão: A detecção de desvios significativos no perfil transacional em FinTechs exige a aplicação imediata de EDD para reavaliar o risco e validar a legitimidade dos fundos conforme a RBA.
-
Question 15 of 28
15. Question
Uma FinTech de pagamentos em rápido crescimento planeja lançar um novo recurso de remessas internacionais para corredores de alto risco no próximo trimestre. O Diretor de Conformidade (MLRO) observou que a última Avaliação de Risco Institucional foi concluída há nove meses e não contemplava operações transfronteiriças. De acordo com os princípios da Abordagem Baseada em Risco (RBA), qual deve ser a prioridade da instituição antes do lançamento oficial deste novo serviço?
Correct
Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem e avaliem os riscos antes de lançar novos produtos ou práticas comerciais. Como as remessas internacionais para jurisdições de alto risco alteram significativamente o perfil de risco da FinTech, uma revisão imediata (ad hoc) é necessária para alinhar o apetite de risco e garantir que os controles mitigatórios sejam adequados antes da exposição ao novo risco.
Incorreto: Aguardar o ciclo anual de revisão ignora a natureza dinâmica do risco e viola os princípios de proatividade da RBA ao permitir a exposição a riscos não avaliados. A Due Diligence Simplificada é inadequada para cenários de alto risco, onde a Due Diligence Aprimorada (EDD) seria necessária. A definição do apetite de risco é uma função crítica de governança que deve envolver a alta administração e o setor de conformidade, não podendo ser delegada apenas à equipe de produtos.
Conclusão: A avaliação de risco deve ser um processo dinâmico e atualizado sempre que houver mudanças significativas no modelo de negócio ou no perfil de exposição da instituição.
Incorrect
Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem e avaliem os riscos antes de lançar novos produtos ou práticas comerciais. Como as remessas internacionais para jurisdições de alto risco alteram significativamente o perfil de risco da FinTech, uma revisão imediata (ad hoc) é necessária para alinhar o apetite de risco e garantir que os controles mitigatórios sejam adequados antes da exposição ao novo risco.
Incorreto: Aguardar o ciclo anual de revisão ignora a natureza dinâmica do risco e viola os princípios de proatividade da RBA ao permitir a exposição a riscos não avaliados. A Due Diligence Simplificada é inadequada para cenários de alto risco, onde a Due Diligence Aprimorada (EDD) seria necessária. A definição do apetite de risco é uma função crítica de governança que deve envolver a alta administração e o setor de conformidade, não podendo ser delegada apenas à equipe de produtos.
Conclusão: A avaliação de risco deve ser um processo dinâmico e atualizado sempre que houver mudanças significativas no modelo de negócio ou no perfil de exposição da instituição.
-
Question 16 of 28
16. Question
Uma FinTech de pagamentos de rápido crescimento, que opera há 18 meses, decidiu expandir seus serviços para incluir a emissão de cartões pré-pagos internacionais e a conversão de moedas fiduciárias para ativos virtuais. Durante uma reunião de governança, o MLRO (Money Laundering Reporting Officer) observa que a Avaliação de Risco Institucional (IRA) original foi elaborada apenas para o processamento de pagamentos domésticos. Considerando os princípios da abordagem baseada em risco (RBA), qual é o procedimento correto a ser adotado pela instituição?
Correct
Correto: De acordo com a abordagem baseada em risco (RBA) e os padrões do GAFI/FATF, as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo decorrentes do desenvolvimento de novos produtos e práticas comerciais. A avaliação de risco deve ser um processo dinâmico e deve ser atualizada sempre que houver mudanças significativas no modelo de negócios, garantindo que o apetite de risco e os controles de mitigação permaneçam adequados.
Incorreto: Aguardar o ciclo anual é inadequado, pois novos produtos introduzem riscos imediatos que podem não estar mitigados. Notificar o regulador é uma etapa de conformidade, mas não substitui a obrigação da própria instituição de gerir seus riscos proativamente. A responsabilidade pela avaliação de risco e conformidade é da própria FinTech e não pode ser delegada integralmente a parceiros bancários ou terceiros.
Conclusão: A avaliação de risco institucional deve ser revisada e atualizada obrigatoriamente antes do lançamento de novos produtos ou mudanças significativas no modelo de negócios da FinTech.
Incorrect
Correto: De acordo com a abordagem baseada em risco (RBA) e os padrões do GAFI/FATF, as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento do terrorismo decorrentes do desenvolvimento de novos produtos e práticas comerciais. A avaliação de risco deve ser um processo dinâmico e deve ser atualizada sempre que houver mudanças significativas no modelo de negócios, garantindo que o apetite de risco e os controles de mitigação permaneçam adequados.
Incorreto: Aguardar o ciclo anual é inadequado, pois novos produtos introduzem riscos imediatos que podem não estar mitigados. Notificar o regulador é uma etapa de conformidade, mas não substitui a obrigação da própria instituição de gerir seus riscos proativamente. A responsabilidade pela avaliação de risco e conformidade é da própria FinTech e não pode ser delegada integralmente a parceiros bancários ou terceiros.
Conclusão: A avaliação de risco institucional deve ser revisada e atualizada obrigatoriamente antes do lançamento de novos produtos ou mudanças significativas no modelo de negócios da FinTech.
-
Question 17 of 28
17. Question
Durante uma auditoria interna em uma FinTech de pagamentos instantâneos que opera há 18 meses, observou-se que o MLRO (Money Laundering Reporting Officer) acumula a função de validar a eficácia dos controles de monitoramento de transações que sua própria equipe executa, sem uma revisão independente subsequente. Além disso, o relatório de auditoria aponta que não há uma separação clara entre quem define as regras de monitoramento e quem testa a qualidade dos alertas gerados. Qual princípio de governança e gestão de risco está sendo violado nesta estrutura?
Correct
Correto: Uma estrutura de gestão de risco robusta, baseada no modelo de linhas de defesa, exige que as funções de controle e garantia de qualidade (Quality Assurance/Quality Control) possuam independência em relação à execução operacional. Quando o MLRO valida o próprio trabalho ou o de sua equipe direta sem supervisão independente, ocorre uma falha na governança, pois não há uma verificação imparcial da eficácia dos controles, o que pode ocultar deficiências sistêmicas no monitoramento de transações.
Incorreto: A revisão do apetite de risco deve ocorrer periodicamente ou após mudanças significativas no modelo de negócio, e não apenas após violações de dados. O acesso do MLRO a dados sensíveis (PII/SPII) é fundamental para a investigação de crimes financeiros e é permitido sob bases legais de conformidade regulatória. O sandbox regulatório é um ambiente para testar inovações sob supervisão da autoridade, mas não substitui a necessidade de controles internos de qualidade e segregação de funções dentro da instituição.
Conclusão: A eficácia da governança em FinTechs depende da clara segregação de funções e da existência de uma função de garantia de qualidade independente para validar os controles de conformidade.
Incorrect
Correto: Uma estrutura de gestão de risco robusta, baseada no modelo de linhas de defesa, exige que as funções de controle e garantia de qualidade (Quality Assurance/Quality Control) possuam independência em relação à execução operacional. Quando o MLRO valida o próprio trabalho ou o de sua equipe direta sem supervisão independente, ocorre uma falha na governança, pois não há uma verificação imparcial da eficácia dos controles, o que pode ocultar deficiências sistêmicas no monitoramento de transações.
Incorreto: A revisão do apetite de risco deve ocorrer periodicamente ou após mudanças significativas no modelo de negócio, e não apenas após violações de dados. O acesso do MLRO a dados sensíveis (PII/SPII) é fundamental para a investigação de crimes financeiros e é permitido sob bases legais de conformidade regulatória. O sandbox regulatório é um ambiente para testar inovações sob supervisão da autoridade, mas não substitui a necessidade de controles internos de qualidade e segregação de funções dentro da instituição.
Conclusão: A eficácia da governança em FinTechs depende da clara segregação de funções e da existência de uma função de garantia de qualidade independente para validar os controles de conformidade.
-
Question 18 of 28
18. Question
Uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) está expandindo suas operações para incluir transferências transfronteiriças de alto volume. Durante a revisão anual da estrutura de gestão de risco, o Diretor de Conformidade (MLRO) observa que o tempo médio de conclusão do cadastro (onboarding) via eKYC caiu drasticamente. Para mitigar riscos de fraude de identidade e lavagem de dinheiro, a equipe de conformidade decide analisar metadados do processo de aplicação. Qual conjunto de dados é mais eficaz para verificar a autenticidade das informações do cliente e detectar possíveis anomalias durante essa fase de integração digital?
Correct
Correto: De acordo com os princípios de due diligence digital e verificação de identidade para FinTechs, dados técnicos como endereço IP, geolocalização (GPS) e o comportamento do usuário no aplicativo (como o uso de copiar/colar em campos que deveriam ser digitados) são indicadores cruciais para validar se o solicitante é legítimo ou se está utilizando identidades sintéticas ou ferramentas de automação para fraude.
Incorreto: A verificação manual de referências é ineficiente para o modelo de escala de uma FinTech e não aborda os riscos digitais. O armazenamento de SPII em servidores públicos viola gravemente as leis de privacidade como o GDPR e a LGPD. Impor um período de espera universal ignora a abordagem baseada em risco e prejudica a eficiência operacional sem necessariamente aumentar a precisão da identificação.
Conclusão: A utilização de metadados comportamentais e técnicos é essencial para fortalecer o processo de eKYC e a due diligence em ambientes FinTech de alta velocidade.
Incorrect
Correto: De acordo com os princípios de due diligence digital e verificação de identidade para FinTechs, dados técnicos como endereço IP, geolocalização (GPS) e o comportamento do usuário no aplicativo (como o uso de copiar/colar em campos que deveriam ser digitados) são indicadores cruciais para validar se o solicitante é legítimo ou se está utilizando identidades sintéticas ou ferramentas de automação para fraude.
Incorreto: A verificação manual de referências é ineficiente para o modelo de escala de uma FinTech e não aborda os riscos digitais. O armazenamento de SPII em servidores públicos viola gravemente as leis de privacidade como o GDPR e a LGPD. Impor um período de espera universal ignora a abordagem baseada em risco e prejudica a eficiência operacional sem necessariamente aumentar a precisão da identificação.
Conclusão: A utilização de metadados comportamentais e técnicos é essencial para fortalecer o processo de eKYC e a due diligence em ambientes FinTech de alta velocidade.
-
Question 19 of 28
19. Question
Durante uma auditoria interna anual em uma FinTech de processamento de pagamentos (PSP) que expandiu suas operações para três novos mercados internacionais nos últimos seis meses, o auditor identificou que o MLRO (Money Laundering Reporting Officer) também é responsável por aprovar as metas de vendas e supervisionar a equipe de suporte ao cliente. O relatório de auditoria destaca que o volume de alertas de monitoramento de transações aumentou 40% no último trimestre, mas a taxa de revisão e fechamento de alertas permanece estagnada. Diante dessa estrutura, qual é a principal deficiência de governança que deve ser corrigida para alinhar a instituição aos padrões internacionais de AML?
Correct
Correto: A estrutura de gestão de risco de três linhas de defesa exige que a segunda linha (conformidade e MLRO) seja independente das funções da primeira linha (vendas e operações). Quando um MLRO possui responsabilidades sobre metas de vendas, surge um conflito de interesses que pode levar à priorização do lucro em detrimento da identificação de atividades suspeitas, enfraquecendo a governança e a supervisão de AML.
Incorreto: A opção que sugere inteligência artificial foca em uma solução tecnológica sem resolver o problema estrutural de governança. A revisão do apetite de risco deve ocorrer antes ou durante a expansão, e não após a consolidação, mas o problema central aqui é o conflito de funções. A terceirização do MLRO para uma RegTech não é uma exigência regulatória e não substitui a necessidade de uma estrutura interna de governança bem definida e livre de conflitos.
Conclusão: A independência da segunda linha de defesa e a segregação de funções são pilares fundamentais para evitar conflitos de interesse e garantir a integridade do programa de conformidade de uma FinTech.
Incorrect
Correto: A estrutura de gestão de risco de três linhas de defesa exige que a segunda linha (conformidade e MLRO) seja independente das funções da primeira linha (vendas e operações). Quando um MLRO possui responsabilidades sobre metas de vendas, surge um conflito de interesses que pode levar à priorização do lucro em detrimento da identificação de atividades suspeitas, enfraquecendo a governança e a supervisão de AML.
Incorreto: A opção que sugere inteligência artificial foca em uma solução tecnológica sem resolver o problema estrutural de governança. A revisão do apetite de risco deve ocorrer antes ou durante a expansão, e não após a consolidação, mas o problema central aqui é o conflito de funções. A terceirização do MLRO para uma RegTech não é uma exigência regulatória e não substitui a necessidade de uma estrutura interna de governança bem definida e livre de conflitos.
Conclusão: A independência da segunda linha de defesa e a segregação de funções são pilares fundamentais para evitar conflitos de interesse e garantir a integridade do programa de conformidade de uma FinTech.
-
Question 20 of 28
20. Question
Uma FinTech que atua como Provedora de Serviços de Pagamento (PSP) está em operação há 18 meses e planeja expandir seus serviços para incluir transferências internacionais de fundos. Durante uma revisão da estrutura de gestão de risco, o Diretor de Conformidade (MLRO) observa que os gerentes de produto não realizaram uma avaliação de risco de crimes financeiros antes de definir os requisitos técnicos da nova funcionalidade. Considerando o modelo de três linhas de defesa e os princípios de governança, qual deve ser a ação imediata para garantir a conformidade regulatória?
Correct
Correto: No modelo de três linhas de defesa, a primeira linha (unidades de negócio e proprietários de produtos) é responsável por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam. Integrar a avaliação de risco de crimes financeiros no ciclo de desenvolvimento (compliance by design) é essencial para uma governança robusta e para garantir que os controles de AML sejam eficazes antes do lançamento do produto.
Incorreto: A terceira linha de defesa (auditoria interna) deve permanecer independente e não deve participar da execução ou criação de controles operacionais. O apetite de risco é uma decisão da alta gestão e do conselho, não da auditoria externa. Embora a automação via RegTech seja útil, ela não substitui a necessidade de supervisão e governança pela segunda linha de defesa (conformidade), que deve monitorar a eficácia dos controles.
Conclusão: A primeira linha de defesa tem a responsabilidade primária de identificar e mitigar riscos de crimes financeiros durante o desenvolvimento de novos produtos e serviços.
Incorrect
Correto: No modelo de três linhas de defesa, a primeira linha (unidades de negócio e proprietários de produtos) é responsável por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam. Integrar a avaliação de risco de crimes financeiros no ciclo de desenvolvimento (compliance by design) é essencial para uma governança robusta e para garantir que os controles de AML sejam eficazes antes do lançamento do produto.
Incorreto: A terceira linha de defesa (auditoria interna) deve permanecer independente e não deve participar da execução ou criação de controles operacionais. O apetite de risco é uma decisão da alta gestão e do conselho, não da auditoria externa. Embora a automação via RegTech seja útil, ela não substitui a necessidade de supervisão e governança pela segunda linha de defesa (conformidade), que deve monitorar a eficácia dos controles.
Conclusão: A primeira linha de defesa tem a responsabilidade primária de identificar e mitigar riscos de crimes financeiros durante o desenvolvimento de novos produtos e serviços.
-
Question 21 of 28
21. Question
Uma FinTech que atua como Provedora de Serviços de Pagamento (PSP) expandiu recentemente suas operações para três novos mercados internacionais nos últimos seis meses. O Diretor de Prevenção à Lavagem de Dinheiro (MLRO) observa que, embora o volume de transações tenha triplicado, a estrutura de monitoramento de transações ainda utiliza os mesmos limites de alerta e cenários estabelecidos durante a fase de lançamento inicial. Considerando a Abordagem Baseada em Risco (RBA) e as diretrizes de governança, qual deve ser a ação prioritária da instituição?
Correct
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA), a avaliação de risco de uma instituição deve ser um processo dinâmico. Mudanças significativas, como a expansão para novas jurisdições ou o aumento expressivo no volume de transações, exigem uma revisão imediata da avaliação de risco para garantir que os controles de monitoramento de transações sejam proporcionais aos novos riscos identificados.
Incorreto: Aguardar um semestre para coletar dados ignora a vulnerabilidade imediata a que a FinTech está exposta. Embora a segurança cibernética e a proteção de PII sejam importantes, elas não substituem a necessidade de atualizar a governança de AML após uma expansão geográfica. Bloqueios automáticos baseados apenas em médias históricas, sem uma revisão da estratégia de risco, podem gerar falsos positivos excessivos e não abordam a falha estrutural na avaliação de risco.
Conclusão: As avaliações de risco devem ser revisadas e atualizadas sempre que houver mudanças materiais no modelo de negócio, produtos ou presença geográfica da instituição.
Incorrect
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA), a avaliação de risco de uma instituição deve ser um processo dinâmico. Mudanças significativas, como a expansão para novas jurisdições ou o aumento expressivo no volume de transações, exigem uma revisão imediata da avaliação de risco para garantir que os controles de monitoramento de transações sejam proporcionais aos novos riscos identificados.
Incorreto: Aguardar um semestre para coletar dados ignora a vulnerabilidade imediata a que a FinTech está exposta. Embora a segurança cibernética e a proteção de PII sejam importantes, elas não substituem a necessidade de atualizar a governança de AML após uma expansão geográfica. Bloqueios automáticos baseados apenas em médias históricas, sem uma revisão da estratégia de risco, podem gerar falsos positivos excessivos e não abordam a falha estrutural na avaliação de risco.
Conclusão: As avaliações de risco devem ser revisadas e atualizadas sempre que houver mudanças materiais no modelo de negócio, produtos ou presença geográfica da instituição.
-
Question 22 of 28
22. Question
Uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) está expandindo seus serviços para incluir transferências internacionais de alto valor para jurisdições emergentes. O MLRO observa que a estrutura atual de monitoramento de transações foi desenhada originalmente para pagamentos domésticos de baixo valor e baixo risco. Considerando a Abordagem Baseada em Risco (RBA) e os princípios de governança para o setor de FinTechs, qual é o passo fundamental para mitigar os riscos de crimes financeiros associados a essa expansão estratégica?
Correct
Correto: De acordo com a Abordagem Baseada em Risco (RBA), qualquer mudança significativa no modelo de negócios, como a expansão para novos mercados ou produtos de maior valor, exige uma revisão da avaliação de risco institucional. Isso garante que os controles, incluindo o monitoramento de transações e a governança das linhas de defesa, sejam proporcionais aos novos riscos de lavagem de dinheiro e financiamento do terrorismo identificados.
Incorreto: A implementação de monitoramento simplificado em um cenário de maior risco é contrária aos princípios de AML. A transferência total de responsabilidade para bancos correspondentes é inadequada, pois a instituição financeira retém a responsabilidade final por seus próprios clientes e transações. Focar apenas em segurança cibernética ignora os riscos específicos de conformidade e crimes financeiros, como a lavagem de dinheiro, que exigem controles de monitoramento e due diligence específicos.
Conclusão: A expansão para novos produtos ou mercados exige uma atualização proativa da avaliação de risco e dos controles de monitoramento para alinhar a governança ao novo perfil de risco da instituição.
Incorrect
Correto: De acordo com a Abordagem Baseada em Risco (RBA), qualquer mudança significativa no modelo de negócios, como a expansão para novos mercados ou produtos de maior valor, exige uma revisão da avaliação de risco institucional. Isso garante que os controles, incluindo o monitoramento de transações e a governança das linhas de defesa, sejam proporcionais aos novos riscos de lavagem de dinheiro e financiamento do terrorismo identificados.
Incorreto: A implementação de monitoramento simplificado em um cenário de maior risco é contrária aos princípios de AML. A transferência total de responsabilidade para bancos correspondentes é inadequada, pois a instituição financeira retém a responsabilidade final por seus próprios clientes e transações. Focar apenas em segurança cibernética ignora os riscos específicos de conformidade e crimes financeiros, como a lavagem de dinheiro, que exigem controles de monitoramento e due diligence específicos.
Conclusão: A expansão para novos produtos ou mercados exige uma atualização proativa da avaliação de risco e dos controles de monitoramento para alinhar a governança ao novo perfil de risco da instituição.
-
Question 23 of 28
23. Question
Uma FinTech de carteiras digitais, que anteriormente focava apenas em transações domésticas de baixo valor, decide expandir suas operações para permitir remessas internacionais e custódia de criptoativos. O MLRO (Money Laundering Reporting Officer) observa que o apetite de risco atual foi definido com base em um modelo de negócio de baixo risco e transações locais. Considerando a abordagem baseada em risco (RBA) e as diretrizes de governança, qual é o passo fundamental a ser tomado pela alta administração antes do lançamento dessas novas funcionalidades?
Correct
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento ao terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais. A introdução de remessas internacionais e criptoativos altera significativamente o perfil de risco inerente da FinTech, exigindo que a avaliação de risco institucional e o apetite de risco sejam revisados e aprovados pela alta administração antes da exposição a essas novas ameaças.
Incorreto: Aguardar seis meses para uma auditoria é uma prática reativa que expõe a instituição a riscos não mitigados durante o período inicial. Manter os controles existentes é inadequado, pois remessas internacionais e criptoativos possuem tipologias de risco distintas de transações domésticas de baixo valor. O uso de um sandbox regulatório serve para testar inovações sob supervisão, mas não isenta a instituição de realizar sua própria avaliação de risco interna e manter controles de conformidade adequados.
Conclusão: A avaliação de risco institucional e o apetite de risco devem ser revisados proativamente sempre que houver mudanças materiais no modelo de negócios, produtos ou tecnologias.
Incorrect
Correto: De acordo com os princípios da abordagem baseada em risco (RBA), as instituições devem identificar e avaliar os riscos de lavagem de dinheiro e financiamento ao terrorismo que possam surgir em relação ao desenvolvimento de novos produtos e novas práticas comerciais. A introdução de remessas internacionais e criptoativos altera significativamente o perfil de risco inerente da FinTech, exigindo que a avaliação de risco institucional e o apetite de risco sejam revisados e aprovados pela alta administração antes da exposição a essas novas ameaças.
Incorreto: Aguardar seis meses para uma auditoria é uma prática reativa que expõe a instituição a riscos não mitigados durante o período inicial. Manter os controles existentes é inadequado, pois remessas internacionais e criptoativos possuem tipologias de risco distintas de transações domésticas de baixo valor. O uso de um sandbox regulatório serve para testar inovações sob supervisão, mas não isenta a instituição de realizar sua própria avaliação de risco interna e manter controles de conformidade adequados.
Conclusão: A avaliação de risco institucional e o apetite de risco devem ser revisados proativamente sempre que houver mudanças materiais no modelo de negócios, produtos ou tecnologias.
-
Question 24 of 28
24. Question
Um extrato de auditoria interna de uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) revelou que o Money Laundering Reporting Officer (MLRO) também exerce o cargo de Chefe de Desenvolvimento de Novos Produtos. Além disso, a empresa expandiu recentemente suas operações para incluir transferências internacionais de alto valor sem atualizar sua Matriz de Risco Institucional nos últimos 12 meses. Diante dessa estrutura de governança, qual é a principal falha em relação aos princípios de gestão de risco e conformidade?
Correct
Correto: A estrutura de governança de conformidade baseia-se no modelo de três linhas de defesa. O MLRO deve atuar na segunda linha, fornecendo supervisão e desafio independente. Quando o MLRO também é responsável pelo desenvolvimento de produtos (primeira linha), ocorre um conflito de interesses direto, pois a pressão por metas comerciais e inovação pode comprometer a eficácia dos controles de prevenção à lavagem de dinheiro (AML) e a identificação de riscos em novos produtos.
Incorreto: A terceira linha de defesa é a auditoria interna, que deve ser independente, mas não é obrigatório que seja composta apenas por consultores externos. Órgãos reguladores estabelecem diretrizes e licenciam operações, mas não aprovam transações individuais. Classificar clientes internacionais como risco baixo de forma automática viola a abordagem baseada em risco (RBA), especialmente em transações de alto valor que exigem Due Diligence Reforçada (EDD).
Conclusão: A independência do MLRO e a clara distinção entre as linhas de defesa são essenciais para evitar conflitos de interesse e garantir a integridade do programa de conformidade.
Incorrect
Correto: A estrutura de governança de conformidade baseia-se no modelo de três linhas de defesa. O MLRO deve atuar na segunda linha, fornecendo supervisão e desafio independente. Quando o MLRO também é responsável pelo desenvolvimento de produtos (primeira linha), ocorre um conflito de interesses direto, pois a pressão por metas comerciais e inovação pode comprometer a eficácia dos controles de prevenção à lavagem de dinheiro (AML) e a identificação de riscos em novos produtos.
Incorreto: A terceira linha de defesa é a auditoria interna, que deve ser independente, mas não é obrigatório que seja composta apenas por consultores externos. Órgãos reguladores estabelecem diretrizes e licenciam operações, mas não aprovam transações individuais. Classificar clientes internacionais como risco baixo de forma automática viola a abordagem baseada em risco (RBA), especialmente em transações de alto valor que exigem Due Diligence Reforçada (EDD).
Conclusão: A independência do MLRO e a clara distinção entre as linhas de defesa são essenciais para evitar conflitos de interesse e garantir a integridade do programa de conformidade.
-
Question 25 of 28
25. Question
Durante uma auditoria interna em uma FinTech de rápido crescimento que opera como Provedora de Serviços de Pagamento (PSP), observou-se que a última Avaliação de Risco Institucional (Enterprise-Wide Risk Assessment – EWRA) foi concluída há 18 meses. Nos últimos seis meses, a empresa lançou uma funcionalidade de transferência internacional instantânea e expandiu sua base de clientes para jurisdições com monitoramento intensificado pelo GAFI. De acordo com os princípios da abordagem baseada em risco (RBA), qual deve ser a ação prioritária do Oficial de Relatórios de Lavagem de Dinheiro (MLRO) para garantir a conformidade regulatória?
Correct
Correto: A abordagem baseada em risco (RBA) exige que a avaliação de risco de uma instituição seja um documento dinâmico e não estático. Eventos gatilhos, como o lançamento de novos produtos (transferências instantâneas) e a entrada em novos mercados (jurisdições de alto risco), alteram o perfil de risco inerente da FinTech. Portanto, a revisão imediata da EWRA é essencial para garantir que o apetite de risco e os controles de mitigação estejam alinhados com a nova realidade operacional.
Incorreto: Aguardar auditorias externas ou ciclos anuais fixos é inadequado quando ocorrem mudanças significativas no modelo de negócios, pois deixa a instituição exposta a riscos não mitigados. Aplicar EDD apenas a novos clientes é uma medida reativa e insuficiente, pois não aborda as vulnerabilidades sistêmicas introduzidas pelos novos produtos. Solicitar uma auditoria de sandbox é um procedimento regulatório específico para testes de inovação e não substitui a responsabilidade interna de governança e gestão de risco da própria instituição.
Conclusão: A avaliação de risco institucional deve ser revisada periodicamente e sempre que houver mudanças significativas em produtos, serviços, clientes ou áreas geográficas de atuação da FinTech.
Incorrect
Correto: A abordagem baseada em risco (RBA) exige que a avaliação de risco de uma instituição seja um documento dinâmico e não estático. Eventos gatilhos, como o lançamento de novos produtos (transferências instantâneas) e a entrada em novos mercados (jurisdições de alto risco), alteram o perfil de risco inerente da FinTech. Portanto, a revisão imediata da EWRA é essencial para garantir que o apetite de risco e os controles de mitigação estejam alinhados com a nova realidade operacional.
Incorreto: Aguardar auditorias externas ou ciclos anuais fixos é inadequado quando ocorrem mudanças significativas no modelo de negócios, pois deixa a instituição exposta a riscos não mitigados. Aplicar EDD apenas a novos clientes é uma medida reativa e insuficiente, pois não aborda as vulnerabilidades sistêmicas introduzidas pelos novos produtos. Solicitar uma auditoria de sandbox é um procedimento regulatório específico para testes de inovação e não substitui a responsabilidade interna de governança e gestão de risco da própria instituição.
Conclusão: A avaliação de risco institucional deve ser revisada periodicamente e sempre que houver mudanças significativas em produtos, serviços, clientes ou áreas geográficas de atuação da FinTech.
-
Question 26 of 28
26. Question
Uma FinTech que opera como Provedora de Serviços de Pagamento (PSP) e utiliza processos de eKYC para integração rápida de clientes observa, através de seu sistema de monitoramento, um aumento súbito em transações internacionais de baixo valor, mas alta frequência, originadas por um grupo de contas abertas nos últimos 30 dias. O Money Laundering Reporting Officer (MLRO) nota que essas contas compartilham endereços IP semelhantes, embora os dados de identificação digital pareçam legítimos. Diante dessa situação e considerando a abordagem baseada em risco (RBA), qual deve ser a prioridade da instituição para mitigar vulnerabilidades de crimes financeiros?
Correct
Correto: A abordagem baseada em risco (RBA) exige que as instituições monitorem e respondam a riscos específicos de forma dinâmica. Ao identificar um novo padrão de transações (como o smurfing ou uso de IPs compartilhados), a FinTech deve ajustar seus controles e sua avaliação de risco para mitigar essa ameaça específica, garantindo que os recursos de conformidade sejam alocados onde o risco é maior.
Incorreto: Suspender o eKYC ou implementar bloqueios universais são medidas desproporcionais que não seguem a lógica da RBA e podem prejudicar a operação comercial legítima. Além disso, a responsabilidade pela conformidade e gestão de riscos é da própria instituição financeira e não pode ser delegada integralmente a terceiros ou provedores de tecnologia.
Conclusão: A gestão eficaz de riscos em FinTechs requer a atualização contínua dos cenários de monitoramento e da avaliação de risco institucional sempre que novas tipologias ou comportamentos suspeitos são detectados.
Incorrect
Correto: A abordagem baseada em risco (RBA) exige que as instituições monitorem e respondam a riscos específicos de forma dinâmica. Ao identificar um novo padrão de transações (como o smurfing ou uso de IPs compartilhados), a FinTech deve ajustar seus controles e sua avaliação de risco para mitigar essa ameaça específica, garantindo que os recursos de conformidade sejam alocados onde o risco é maior.
Incorreto: Suspender o eKYC ou implementar bloqueios universais são medidas desproporcionais que não seguem a lógica da RBA e podem prejudicar a operação comercial legítima. Além disso, a responsabilidade pela conformidade e gestão de riscos é da própria instituição financeira e não pode ser delegada integralmente a terceiros ou provedores de tecnologia.
Conclusão: A gestão eficaz de riscos em FinTechs requer a atualização contínua dos cenários de monitoramento e da avaliação de risco institucional sempre que novas tipologias ou comportamentos suspeitos são detectados.
-
Question 27 of 28
27. Question
Um extrato de auditoria interna de uma FinTech que atua como Provedora de Serviços de Pagamento (PSP) revelou que, após o lançamento de um serviço de remessas transfronteiriças há oito meses, a Avaliação de Risco Institucional (IRA) não foi atualizada. O relatório indica que os parâmetros de monitoramento de transações ainda são baseados exclusivamente em transações domésticas de baixo valor, apesar do novo produto permitir transferências de alto valor para jurisdições de risco elevado. Diante dessa deficiência na estrutura de gestão de risco, qual deve ser a prioridade imediata do MLRO (Money Laundering Reporting Officer) para alinhar a instituição à Abordagem Baseada em Risco (RBA)?
Correct
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as diretrizes de governança para FinTechs, a Avaliação de Risco Institucional deve ser um processo dinâmico. O lançamento de novos produtos ou a expansão para novas geografias altera o perfil de risco da instituição, exigindo uma revisão imediata da avaliação de risco e a calibração dos sistemas de monitoramento de transações para mitigar as novas vulnerabilidades identificadas.
Incorreto: Suspender transações é uma medida de interrupção de negócios que não aborda a falha de governança subjacente na avaliação de risco. Notificar a unidade de inteligência financeira sobre processos internos de gestão de risco não é o procedimento padrão, pois a responsabilidade pela estrutura de conformidade é da própria instituição. Manter critérios de monitoramento desatualizados para preservar a consistência dos dados é um erro grave, pois deixa a instituição vulnerável a crimes financeiros que os parâmetros antigos não conseguem detectar.
Conclusão: A Avaliação de Risco Institucional deve ser revisada e atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica da FinTech.
Incorrect
Correto: De acordo com os princípios da Abordagem Baseada em Risco (RBA) e as diretrizes de governança para FinTechs, a Avaliação de Risco Institucional deve ser um processo dinâmico. O lançamento de novos produtos ou a expansão para novas geografias altera o perfil de risco da instituição, exigindo uma revisão imediata da avaliação de risco e a calibração dos sistemas de monitoramento de transações para mitigar as novas vulnerabilidades identificadas.
Incorreto: Suspender transações é uma medida de interrupção de negócios que não aborda a falha de governança subjacente na avaliação de risco. Notificar a unidade de inteligência financeira sobre processos internos de gestão de risco não é o procedimento padrão, pois a responsabilidade pela estrutura de conformidade é da própria instituição. Manter critérios de monitoramento desatualizados para preservar a consistência dos dados é um erro grave, pois deixa a instituição vulnerável a crimes financeiros que os parâmetros antigos não conseguem detectar.
Conclusão: A Avaliação de Risco Institucional deve ser revisada e atualizada sempre que houver mudanças significativas no modelo de negócios, produtos ou exposição geográfica da FinTech.
-
Question 28 of 28
28. Question
Uma FinTech que atua como Provedora de Serviços de Pagamento (PSP) observou um aumento de 40% no volume de transações transfronteiriças nos últimos seis meses após o lançamento de uma nova funcionalidade de carteira digital. Durante uma revisão interna, o MLRO (Money Laundering Reporting Officer) identificou que o perfil de risco de vários clientes não reflete mais o comportamento transacional atual, e alguns alertas de monitoramento estão sendo encerrados sem uma investigação aprofundada devido ao alto volume de falsos positivos. Diante dessa mudança no cenário operacional e de risco, qual deve ser a prioridade da instituição para manter a conformidade com a Abordagem Baseada em Risco (RBA)?
Correct
Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem, avaliem e compreendam seus riscos de forma contínua. Quando ocorrem mudanças significativas, como o lançamento de novos produtos ou expansão para novos mercados, a Avaliação de Risco Institucional deve ser atualizada. Isso permite que a FinTech recalibre seus sistemas de monitoramento de transações para focar nos riscos reais, garantindo que os recursos de conformidade sejam alocados de maneira eficiente e eficaz.
Incorreto: Suspender serviços abruptamente (de-risking) sem uma análise técnica é uma medida extrema que não resolve a falha estrutural na gestão de riscos. Focar apenas em sanções ignora outras tipologias de crimes financeiros, como lavagem de dinheiro e financiamento ao terrorismo, que a RBA deve cobrir. Delegar a gestão de riscos exclusivamente para a primeira linha de defesa (vendas) sem a supervisão e independência da função de conformidade/MLRO viola os princípios fundamentais de governança e as três linhas de defesa.
Conclusão: A Avaliação de Risco Institucional deve ser um processo dinâmico, atualizado sempre que houver mudanças significativas no modelo de negócio, produtos ou exposição geográfica da FinTech.
Incorrect
Correto: A Abordagem Baseada em Risco (RBA) exige que as instituições identifiquem, avaliem e compreendam seus riscos de forma contínua. Quando ocorrem mudanças significativas, como o lançamento de novos produtos ou expansão para novos mercados, a Avaliação de Risco Institucional deve ser atualizada. Isso permite que a FinTech recalibre seus sistemas de monitoramento de transações para focar nos riscos reais, garantindo que os recursos de conformidade sejam alocados de maneira eficiente e eficaz.
Incorreto: Suspender serviços abruptamente (de-risking) sem uma análise técnica é uma medida extrema que não resolve a falha estrutural na gestão de riscos. Focar apenas em sanções ignora outras tipologias de crimes financeiros, como lavagem de dinheiro e financiamento ao terrorismo, que a RBA deve cobrir. Delegar a gestão de riscos exclusivamente para a primeira linha de defesa (vendas) sem a supervisão e independência da função de conformidade/MLRO viola os princípios fundamentais de governança e as três linhas de defesa.
Conclusão: A Avaliação de Risco Institucional deve ser um processo dinâmico, atualizado sempre que houver mudanças significativas no modelo de negócio, produtos ou exposição geográfica da FinTech.
