NOTA EXPLICATIVA À RESOLUÇÃO CVM Nº 50, DE 31 DE AGOSTO DE 2021

Ref: Resolução CVM nº 50, de 31 de agosto de 2021 que dispõe sobre a prevenção à lavagem de dinheiro, ao financiamento do terrorismo e ao financiamento da proliferação de armas de destruição em massa (PLD/FTP) no âmbito do mercado de valores mobiliários.

INTRODUÇÃO

A presente Nota Explicativa tem por objetivo fornecer esclarecimentos mais detalhados acerca da execução da Resolução CVM nº 50, de 31 de agosto de 2021, dentre as quais destacam-se:

a) a inserção da Abordagem Baseada em Risco como principal ferramenta de governança da prevenção à lavagem de dinheiro, ao financiamento do terrorismo e ao financiamento da proliferação de armas de destruição em massa (PLD/FTP), o que resulta na necessidade, por parte dos agentes regulados:

(i) de estruturação de uma Política de PLD/FTP;

(ii) de elaboração periódica de uma avaliação interna de risco; e

(iii) de reformulação de suas regras, procedimentos e controles internos;

b) o aprimoramento das funções do diretor responsável pela norma, bem como a apresentação de deveres vinculados à alta administração;

c) a definição das etapas vinculadas à condução da Política “Conheça seu Cliente”, incluindo o detalhamento das rotinas relacionadas ao pleno conhecimento do beneficiário final; e

d) o maior detalhamento dos sinais de alerta a serem monitorados e dos pontos que devem integrar a análise da operação ou situação atípica que foi detectada, assim como a apresentação dos elementos mínimos que devem integrar um reporte para o Conselho de Controle de Atividades Financeiras – COAF.

Destaque-se que o conteúdo desta Nota Explicativa está alinhado com Ofícios-Circulares já publicados pelas áreas técnicas da CVM, assim como com publicações do GAFI e do Comitê de Basiléia. Ademais, cabe alertar que a edição desta Nota Explicativa não restringe ou substitui a futura divulgação dos Ofícios-Circulares que porventura se façam pertinentes.

Além desta breve introdução, o documento contém três capítulos, a saber:

(a) Considerações sobre a Atuação do Diretor Responsável e da Alta Administração;

(b) Regras, Procedimentos e Controles Internos; e

CONSIDERAÇÕES SOBRE A ATUAÇÃO DO DIRETOR RESPONSÁVEL E DA ALTA ADMINISTRAÇÃO

O § 2º do art. 4º da Resolução CVM nº 50, de 2021, estabelece que as pessoas jurídicas mencionadas nos incisos I e III do art. 3º que pertençam a um mesmo conglomerado financeiro devem estabelecer em suas políticas de PLD/FTP mecanismos de intercâmbio de informações entre suas áreas de controles internos. Vale destacar que é possível a adoção de uma política única para todo conglomerado; neste caso, é importante detalhar as instituições abrangidas e as respectivas peculiaridades de cada uma delas.

O intuito da regulação é enfrentar o risco de que falhas na comunicação entre as unidades de controles internos impeçam o cumprimento das obrigações previstas no dispositivo, independentemente da adoção ou não de uma política única para o conglomerado. Naturalmente, o intercâmbio de informações deve considerar a relevância do risco identificado em cada caso, sempre em alinhamento com a respectiva avaliação interna de risco, conforme Seção II do Capítulo II da Resolução CVM nº 50, de 2021.

Note-se que tal dispositivo não colide com os §§ 4º e 5º do art. 8º, especialmente quando fica claro que manter um único, ou mais diretores, para desempenhar os deveres descritos na Resolução será uma escolha das instituições que compõem o conglomerado financeiro.

Em qualquer hipótese, deve ser enfatizado que o diretor responsável pela Resolução deve ter amplo, irrestrito e tempestivo acesso a qualquer informação relacionada à atuação do ente regulado no mercado de capitais, possibilitando, dessa forma, que os dados necessários para o exercício de suas atribuições e de seus funcionários, especialmente no que tange ao efetivo gerenciamento dos riscos de lavagem de dinheiro, ao financiamento do terrorismo e ao financiamento da proliferação de armas de destruição em massa (LD/FTP), possam ser eficaz e tempestivamente utilizados.

Os responsáveis pelas atividades de gerenciamento de riscos de LD/FTP e de auditoria interna, quando aplicável, devem basear suas análises em todas as informações que julgarem relevantes, incluindo, quando apropriado, informações restritas ou mesmo confidenciais obtidas por meio de mecanismos internos, que possibilitem o referido acesso, assim como informações provenientes de linhas diretas do canal de denúncia.

Desse modo, em nenhuma situação as pessoas jurídicas elencadas nos incisos I a III do art. 3º poderão alegar qualquer modalidade de restrição de acesso a qualquer dado corporativo por parte do referido diretor, tais como – por exemplo – questões derivadas de um eventual regime de sigilo (legal, comercial, dentre outros), ou demais restrições legais, tais como eventos no âmbito da Lei Geral de Proteção de Dados ou decorrentes de normas que regulamentem a existência de segregação de atividades (chinese wall) entre algumas áreas da referida instituição.

A forma como tais dados serão disponibilizados para o diretor responsável pela Resolução e seus funcionários deverá ser parte integrante das regras, procedimentos e controles internos da instituição. Ademais, os sistemas responsáveis pelo fluxo interno de dados da instituição devem ser norteados para que se evite a possiblidade de que as rotinas inerentes ao gerenciamento de riscos de LD/FTP possam ser prejudicadas por eventual assimetria de informações, pelo recebimento intempestivo de dados ou mesmo pela não recepção de alguma informação.

Ou seja, é fundamental a implementação de processos adequados de comunicação interna, assim possibilitando que o diretor responsável e seus funcionários acessem sem demora qualquer informação sensível relacionada à temática da gestão de riscos de LD/FTP.

Alerte-se que a alta administração deve não apenas estar ciente dos seus deveres dispostos na Seção II do Capítulo III da Resolução, mas também deve se assegurar que:

a) está tempestivamente ciente dos riscos de conformidade relacionados à LD/FTP;

b) o diretor responsável tem independência, autonomia e conhecimento técnico suficiente para o pleno cumprimento dos seus deveres, assim como tem pleno acesso a todas as informações que julgar necessárias para que a respectiva governança de riscos de LD/FTP possa ser efetuada;

c) os sistemas responsáveis pela coleta, atualização e guarda das informações relacionadas à Política “Conheça seu Cliente” descritas no Capítulo IV da Resolução são adequados para o fim a que se destinam;

d) os sistemas de monitoramento das operações e situações atípicas estão alinhados com o “apetite de risco” da instituição, assim como podem ser prontamente customizados na hipótese de qualquer alteração na respectiva matriz de riscos de LD/FTP; e

e) foram efetivamente alocados recursos humanos e financeiros suficientes para cumprimento dos pontos anteriormente descritos.

REGRAS, PROCEDIMENTOS E CONTROLES INTERNOS

A natureza e a extensão das regras, procedimentos e controles internos de PLD/FTP dependerão de uma série de fatores, incluindo o escopo, escala e complexidade da atuação do ente regulado no mercado de valores mobiliários.

Isso inclui, mas não se restringe, ao que segue:

a) a diversidade de suas operações;

b) a localização geográfica;

c) a base de clientes;

d) o perfil dos produtos e das atividades ofertadas; e

e) o grau de risco associado às peculiaridades inerentes a todas as linhas de negócio (por exemplo, em que medida se tem, ou não, relacionamento direto com o investidor, ou relacionamento comercial com outras pessoas que integrem os incisos de I a III do art. 3º da Resolução).

Dessa maneira, o gerenciamento de riscos de LD/FTP deve necessariamente:

a) priorizar o acompanhamento dos produtos e serviços da instituição que sejam mais vulneráveis aos riscos de LD/FTP, customizando, sempre que necessário, regras, procedimentos e controles internos para o tratamento específico de um evento com maior probabilidade de dano;

b) assegurar a existência de um processo regular de revisão de todas as rotinas de avaliação e gerenciamento desses riscos, levando em consideração o ambiente em que a instituição atua;

c) verificar, antes da oferta de novos produtos ou serviços, ou mesmo da utilização de novas tecnologias, a existência de avaliações prévias e a respectiva propositura de controles adequados dos riscos de LD/FTP;

d) monitorar a atuação profissional de seus funcionários, tendo em conta a relevância de suas atribuições para a execução de PLD/FTP; e

e) providenciar treinamento inicial e de reciclagem apropriados para todas as pessoas previstas no inciso II do art. 7º da Resolução.

POLÍTICA “CONHEÇA SEU CLIENTE”

A “Política Conheça seu Cliente” é um dos principais pilares da PLD/FTP e deve ser compreendida como a adoção mínima de 4 (quatro) etapas distintas, a saber:

a) a identificação do cliente;

b) o cadastro;

c) a condução de diligências devidas; e

d) o processo de identificação do beneficiário final.

A identificação do cliente compreende a implementação de procedimentos adequados ao objetivo de assegurar a sua real identidade, haja vista se tratar do momento preliminar ao início do relacionamento do investidor com a instituição. Existe, no mínimo, a necessidade de certificação de que o investidor possuiu, de fato, um número de documento de identidade ou respectiva inscrição no CNPJ. No caso de investidores não residentes, independentemente do uso do cadastro simplificado, tal informação também deverá contemplar o número do “código CVM”.

Cabe enfatizar que esse primeiro contato não necessariamente será realizado in loco, nas dependências da instituição. Muitas vezes esse momento será marcado pela utilização de diversas tecnologias, devendo assim as rotinas relacionadas a essa etapa observar, para efeitos de futura classificação de riscos, que a continuidade do relacionamento com esse cliente poderá, de fato, ser conduzido em ambientes não presenciais.

Paralelamente, esse também é o momento em que os procedimentos de qualificação devem possibilitar uma primeira abordagem na coleta preliminar e validação de algumas informações relevantes desse investidor, as quais provavelmente serão necessárias ao adequado monitoramento futuro de suas transações.

Assim, nos termos do § 2º do art. 5º da Resolução, deve ser passível de evidenciação a tentativa de, por exemplo, verificar se o cliente pessoa natural é uma pessoa exposta politicamente (PEP). Na hipótese de o investidor ser uma pessoa jurídica, identificar se esse investidor é controlado por uma PEP, ou, alternativamente, se pode ser classificado como uma organização sem fins lucrativos, nos termos da legislação em vigor. Tais informações, por si só, não possuem qualquer caráter restritivo nem tampouco são suficientes para concluir a respectiva classificação de risco desse cliente.

Posteriormente, tem início o processo de coleta de todas as informações cadastrais, nos termos do Anexo B da Resolução. A critério da instituição, tal processo poderá ser realizado por meio de sistemas alternativos de cadastro, inclusive por meio eletrônico, desde que as soluções adotadas satisfaçam aos objetivos das normas vigentes e os procedimentos sejam passíveis de verificação.

Para tanto, as instituições que optarem pelo sistema alternativo de cadastro devem necessariamente:

a) atender às funções essenciais do processo de cadastramento de clientes, com evidências de que foram garantidos:

(i) a proteção ao cliente, por meio do provimento de informações preliminares e básicas que mitiguem sua assimetria informacional com relação às condições do contrato e aos serviços ofertados (disclosure);

(ii) o cumprimento das normas legais e regulamentares, especialmente aquelas relativas à PLD/FTP, a processos de adequação dos produtos ao perfil do investidor (suitability) e ao combate à utilização de informações privilegiadas (insider trading); e

(iii) a administração dos demais riscos inerentes à atuação dessa instituição no mercado de valores mobiliários;

b) aumentar a segurança e a confiabilidade dos dados cadastrais por meio de consultas a fontes oficiais de validação das informações;

c) garantir que todas as mudanças e atualizações no âmbito do cadastro sejam rastreáveis e auditáveis;

d) mitigar o risco de informações falsas ou imprecisas no processo de cadastro; e

e) implementar um processo permanente de coleta e atualização dos dados cadastrais dos clientes, e que permita o acesso sem demora a tais as informações.

Note-se que, em qualquer hipótese, as informações serão declaradas pelo próprio cliente, devendo então passar por um processo de validação pela instituição, por meio de bases de dados públicas ou privadas de reconhecida confiabilidade, podendo tal consulta ser realizada nos dois ambientes.

Assim, divergências eventualmente apontadas durante o processo de análise e validação dos dados cadastrais fornecidos deverão ser dirimidas junto aos clientes e tratadas pelas respectivas áreas e instâncias hierárquicas responsáveis pela aprovação e manutenção do relacionamento com clientes.

Note-se que, independentemente da existência, ou não, de divergências nas bases cadastrais, a instituição deve ser sempre proativa e pautar tais rotinas nos termos dos incisos II e III do art. 4º, dos §§ 1º e 3º do art. 11, e do inciso I do art. 17.

Para se atingir os preceitos anteriormente enfatizados, as instituições que optarem pelo sistema alternativo de cadastro devem observar:

a) a manutenção do conteúdo, data, horário, origem e identificação do responsável pelo fornecimento e atualização de todas as informações cadastrais realizadas no período de, no mínimo, 5 (cinco) anos;

b) a capacidade do sistema para retroagir a uma data anterior, pelo prazo mínimo de 5 (cinco) anos, de forma a mostrar os dados constantes do cadastro vigente naquela data;

c) controles e procedimentos de segurança que permitam bloquear o acesso aos dados cadastrais por pessoas não autorizadas, bem como a identificação dos usuários que tiveram acesso ou realizaram alterações nos dados cadastrais no período de, no mínimo, cinco anos;

d) mecanismos de alerta de vencimento e bloqueio para a realização de novas operações por clientes com cadastros desatualizados, exceto nas hipóteses de pedidos de encerramento de conta ou de alienação ou resgate de ativos, sempre em observância aos termos do § 3º do art. 11, assim como dos arts. 16 a 18 da Resolução; e

e) descrição dos procedimentos analíticos e processos de aprovação que evidenciem as diligências adicionais cabíveis para:

(i) confirmar as informações cadastrais de seus clientes, mantê-las atualizadas e monitorar as operações por eles realizadas, de forma a evitar o uso da conta por terceiros e identificar os beneficiários finais das operações;

(ii) identificar as pessoas consideradas politicamente expostas, assim como as organizações sem fins lucrativos; e

(iii) tentar, no limite das atribuições da instituição, identificar a origem dos recursos envolvidos nas transações dos clientes e dos beneficiários identificados como pessoas expostas politicamente.

Cabe aqui reiterar que a assinatura do cliente ou de seu procurador no cadastro pode ser efetuada por meio digital, que vincula o certificado digital ao documento eletrônico que está sendo assinado, no caso a ficha cadastral, ou, no caso de sistemas eletrônicos, pelos quais é realizado o cadastramento com a digitação dos dados cadastrais diretamente pelo investidor, futuro cliente, suprida por outros mecanismos, desde que os procedimentos adotados permitam confirmar com precisão a identificação do cliente.

Uma vez concluída a fase da coleta das informações cadastrais, tem início a condução contínua de diligências, que vigorará ao longo de todo o relacionamento comercial com o cliente, visando:

a) reforçar a verificação da veracidade das informações coletadas;

b) coletar informações suplementares, quando for o caso; assim como

c) mantê-las atualizadas, na hipótese de detecção de fato novo que justifique a antecipação do prazo estabelecido pela instituição para a atualização cadastral.

Na condução dessas diligências contínuas devem ser envidados e evidenciados esforços para a busca de informações suplementares visando a devida classificação e gerenciamento de riscos de LD/FTP desse cliente. A busca por dados adicionais deve inicialmente compreender todas as áreas da instituição, assim como outras informações eventualmente disponíveis em outros entes que possam fazer parte do mesmo conglomerado financeiro, nos termos do § 2º do art. 4º da Resolução.

Nada obstante, a instituição deve, no âmbito de sua metodologia de abordagem em risco, permanentemente avaliar como serão obtidas informações suplementares perante terceiros fora do conglomerado financeiro, se for o caso, observados eventuais regimes de sigilo ou restrição de acesso previstos na legislação.

Cabe esclarecer que, conforme já definido na Resolução, considera-se como beneficiário final pessoa natural ou pessoas naturais que, isoladamente ou em conjunto, possuam, controlem ou influenciem significativamente, direta ou indiretamente, um cliente em nome do qual uma transação esteja sendo conduzida ou dela se beneficie.

Assim, quando for aplicável a condução do processo de identificação do beneficiário final, deve ser notado o valor mínimo de referência, que foi definido em 25% (vinte e cinco por cento) do capital social das pessoas jurídicas ou do patrimônio líquido dos fundos de investimento e demais entidades nos casos de que tratam os incisos II a V do art. 1º do Anexo B, sem prejuízo da utilização eventual de cadastro simplificado de que trata o Anexo C. Tal parâmetro deve estar alinhado com os resultados da avaliação interna de risco e pode ser inferior a esse percentual em situações de maior risco.

Além disso, deve ser observado que o processo de identificação de um ou mais beneficiários finais ultrapassa os parâmetros definidos nos conceitos de controle ou de propriedade. Por vezes o nexo causal dessa identificação deverá focar o ato ou efeito da influência significativa, quanto ao que podem existir uma ou mais pessoas que participam de fato da tomada de decisões estratégicas daquele investidor, e que não necessariamente vão, por exemplo, compor o quadro societário de uma empresa, e nem tampouco constarão como seus administradores ou mesmo funcionários.

Outro ponto a ser verificado é que em muitas situações nas pessoas jurídicas, ou mesmo em arranjos legais de investidores não residentes, o beneficiário final será tão somente aquele que em última instância se beneficie direta ou indiretamente dos ativos de propriedade daquele cliente, sem que necessariamente exista qualquer registro formal de que ele compõe o quadro de acionistas, ou mesmo o quadro de administradores ou de funcionários.

Todo o acima exposto reforça a necessidade de condução permanente de diligências visando o pleno conhecimento do cliente, incluindo aí a compreensão de sua natureza jurídica e de seu processo de tomada de decisões, numa abordagem baseada em risco, e no limite das atribuições da instituição.

Já em se tratando especificamente do cadastro simplificado do investidor não residente, previsto no Anexo C da Resolução, caberá inicialmente às pessoas jurídicas mencionadas nos incisos I a III do art. 3º da norma identificar a classificação correta para o referido investidor estrangeiro. Sequencialmente, as diligências devem nortear as situações em que são possíveis a individualização de uma pessoa natural ou de pessoas naturais como beneficiários finais desses investidores, devendo ser evidenciados os melhores esforços para identificá-los.

A adoção do cadastro simplificado para os investidores não residentes permite que a instituição brasileira detenha reduzida quantidade de informações cadastrais, todavia não a isenta de conduzir as rotinas previstas no processo de conhecimento do investidor que já foram objeto de menção nesta Nota Explicativa. Tais rotinas devem ser conduzidas em caráter permanente durante o relacionamento comercial da instituição brasileira com o investidor não residente, e não carecem de prévia demanda da CVM ou da entidade autorreguladora para serem implementadas.

Ainda que a instituição estrangeira possa ser considerada como a principal fonte das informações a serem coletadas, caso os dados requeridos pelas normas da CVM realmente não sejam disponibilizados pela instituição estrangeira que detém as informações do cliente não residente para a instituição brasileira, não existe nenhuma restrição a que insumos suplementares sejam obtidos perante terceiros.

Portanto, eventualmente outras informações podem ser coletadas de fontes independentes, bem como serem efetivamente utilizadas, desde que se mostrem úteis e confiáveis como substitutas ou boas referências para o processo do “Conheça o seu Cliente”.

Nesse contexto, caso as informações necessárias não sejam providenciadas pela instituição estrangeira, ou mesmo não possam ser obtidas perante terceiros confiáveis, e que tal lacuna impeça o pleno conhecimento do cliente classificado como investidor não residente, a instituição brasileira deverá adotar as medidas necessárias para, considerando todas as hipóteses previstas nos incisos do art. 20 da Resolução, após a análise da situação em concreto consoante o art. 21, avaliar a pertinência e a oportunidade, de comunicação dos fatos para o COAF.

Além disso, também devem ser adotadas outras medidas, tais como a avaliação da respectiva alta administração sobre a manutenção da relação comercial com aquele investidor não residente.

Cabe enfatizar que, o não conhecimento do beneficiário final, nas situações em que for aplicável, de qualquer cliente brasileiro ou estrangeiro, residente ou não residente, independentemente da utilização do cadastro simplificado, deverá sempre estar pautado em evidências de que foram conduzidas as devidas diligências visando esse fim, no limite das atribuições da instituição.

A instituição deve observar que o não conhecimento do beneficiário final, não é, por si só, elemento suficiente para o envio de uma comunicação para o COAF. Em consequência, tal fato deve proporcionar um monitoramento contínuo mais rigoroso, visando a detecção de outras operações ou situações atípicas, nos termos do art. 20 da Resolução, independentemente da classificação de risco desse investidor.

Finalmente, na hipótese de serem detectadas atipicidades suplementares, a instituição deve conduzir uma análise mais profunda, com vistas à verificação da necessidade das comunicações de que tratam os arts. 22 e 27, sempre atentando para os parâmetros mínimos que devem integrar um reporte para o COAF, conforme o disposto no § 1º do art. 22.

Assinado eletronicamente por

MARCELO BARBOSA

Presidente

_______________________________________________________________________________________________