DEVER DE CONTROLO - Gestão dos Riscos de BC/FT

A gestão dos riscos de BC/FT assenta em três pilares essenciais: identificação, avaliação e mitigação dos riscos. Assim, devem as entidades obrigadas:

a) Identificar os concretos riscos de BC/FT inerentes à sua realidade operativa específica, incluindo os riscos associados:

• à natureza, dimensão e complexidade da atividade prosseguida;
• aos respetivos clientes;
• às áreas de negócio desenvolvidas, bem como aos produtos, serviços e operações disponibilizados;
• aos canais de distribuição dos produtos e serviços disponibilizados, bem como aos meios de comunicação utilizados no contacto com os clientes;
• aos países ou territórios de origem dos clientes da entidade obrigada, ou em que estes tenham domicílio ou, de algum modo, desenvolvam a sua atividade;
• aos países ou territórios em que a entidade obrigada opere, diretamente ou através de terceiros, pertencentes ou não ao mesmo grupo;

b) Avaliar o risco de BC/FT associado à sua realidade operativa específica, designadamente através da determinação:

• do grau de probabilidade e de impacto de cada um dos riscos concretamente identificados, tendo em atenção, para o efeito, todas as variáveis relevantes no contexto da sua realidade operativa, incluindo a finalidade da relação de negócio, o nível de bens depositados por cliente ou o volume das operações efetuadas e a regularidade ou a duração da relação de negócio;
• do risco global da entidade obrigada e, se aplicável, das respetivas áreas de negócio, a aferir com base na ponderação de cada um dos riscos concretamente identificados e avaliados;

c) Definir e adotar os meios e procedimentos de controlo que se mostrem adequados à mitigação dos riscos específicos identificados e avaliados, adotando procedimentos especialmente reforçados quando se verifique a existência de um risco acrescido de BC/FT;

d) Rever, com a periodicidade adequada aos riscos identificados, ou com a periodicidade definida em regulamentação, a atualidade das práticas de gestão de risco referidas nas alíneas anteriores, de modo a que as mesmas reflitam adequadamente eventuais alterações registadas na realidade operativa específica e riscos a esta associados.

As entidades obrigadas devem ainda:

a)  Adaptar as referidas práticas de gestão do risco de BC/FT (e as respetivas atualizações) à natureza, dimensão e complexidade da sua estrutura e da atividade prosseguida;

b)  Ter em consideração os riscos identificados:

• nas informações disponibilizadas pelas autoridades setoriais com o objetivo de facilitar as avaliações de risco a conduzir pelas entidades obrigadas;
• nos relatórios e pareceres a que se refere o n.º 4 do artigo 8.º da LBCFT, bem como nas respetivas atualizações;
• em quaisquer outras informações relevantes para a condução das avaliações nacionais dos riscos de BC/FT e das respetivas atualizações, designadamente as que forem indicadas pelas autoridades setoriais (através de publicação nos seus websites ou por outro meio) ou pela Comissão de Coordenação das Políticas de Prevenção e Combate ao BC/FT (através do website www.portalbcft.pt);

c) Fazer constar de documentos ou registos escritos que demonstrem detalhadamente:

• os riscos inerentes à realidade operativa específica da entidade obrigada e a forma como esta os identificou e avaliou;
• a adequação dos meios e procedimentos de controlo destinados à mitigação dos riscos identificados e avaliados, bem como a forma como a entidade obrigada monitoriza a sua adequação e eficácia;

d) Conservar esses documentos e registos nos termos previstos no artigo 51.º da LBCFT e colocá-los, em permanência, à disposição das autoridades setoriais.

Quando os riscos específicos inerentes a um determinado setor de atividade sujeito à aplicação da LBCFT se encontrem claramente identificados e compreendidos, as autoridades setoriais podem, através de regulamentação:

• dispensar a realização de avaliações de risco individuais e documentadas ou permitir que as mesmas sejam realizadas em termos simplificados, a definir pela respetiva autoridade setorial;
• estabelecer os procedimentos alternativos à realização das avaliações de risco individuais ou simplificadas.

Sim. As entidades obrigadas devem prestar especial atenção aos riscos de BC/FT que possam derivar:

• da oferta de produtos ou operações suscetíveis de favorecer o anonimato;
• do desenvolvimento de novos produtos e novas práticas comerciais, incluindo novos mecanismos de distribuição e novos métodos de pagamento;
• da utilização de tecnologias novas ou em fase de desenvolvimento, tanto para produtos novos, como para produtos já existentes.

Assim, antes do lançamento de novos produtos, práticas ou tecnologias, as entidades obrigadas:

• analisam os riscos específicos de BC/FT com eles relacionados [fazendo constar essas análises de risco dos documentos ou registos escritos referidos no artigo 14.º/3/c) da LBCFT];
• preveem e adotam procedimentos específicos de mitigação dos riscos associados àqueles produtos, práticas ou tecnologias.

As autoridades setoriais, por seu turno, devem ter em consideração (i) a oferta de produtos ou operações suscetíveis de favorecer o anonimato, (ii) o desenvolvimento de novos produtos e novas práticas comerciais (incluindo novos mecanismos de distribuição e novos métodos de pagamento) e (iii) a utilização de tecnologias novas ou em fase de desenvolvimento quer quando procedem à realização de análises de risco de BC/FT, quer quando disponibilizam às entidades obrigadas informação relevante para a prevenção do BC/FT.