Conformidade AML em sistemas ERP: Conheça seu cliente e monitoramento de transações

A conformidade com o combate à lavagem de dinheiro (AML) não é mais uma preocupação exclusiva dos bancos e instituições financeiras. Empresas de todos os setores – desde serviços profissionais e imobiliário até bens de luxo, bolsas de criptomoedas e qualquer empresa que processe volumes de pagamentos significativos – enfrentam obrigações de AML que os seus sistemas ERP devem suportar. As normas do Grupo de Acção Financeira (GAFI), implementadas através de legislação nacional em mais de 200 jurisdições, criam uma rede de obrigações que abrangem o processamento de pagamentos, a integração de clientes, a monitorização de transacções, a manutenção de registos e a comunicação de actividades suspeitas.

Os sistemas ERP são um risco e um controle de LBC. Eles processam pagamentos de clientes, gerenciam contas a receber, lidam com transações de fornecedores e geram trilhas financeiras que os reguladores examinam. Configurar o seu ERP para apoiar a conformidade AML — e evitar tornar-se um veículo para o crime financeiro — requer a compreensão tanto das obrigações legais como dos controlos técnicos.

Principais conclusões

• As obrigações de LBC aplicam-se a uma vasta gama de empresas não financeiras: agentes imobiliários, contabilistas, advogados, negociantes de bens de elevado valor, fundos fiduciários e prestadores de serviços empresariais
• Know Your Customer (KYC) e Customer Due Diligence (CDD) são fundamentais – verifique a identidade do cliente antes de estabelecer um relacionamento comercial
• A Devida Diligência Aprimorada (EDD) é necessária para clientes de alto risco, incluindo PEPs (Pessoas Politicamente Expostas), jurisdições de alto risco e estruturas de propriedade complexas
• O monitoramento das transações deve detectar padrões incomuns: estruturação, movimentação rápida de fundos, transações inconsistentes com o perfil do cliente, países de destino de alto risco
• Os Relatórios de Atividades Suspeitas (SARs) devem ser arquivados nas Unidades de Inteligência Financeira (UIFs) nacionais quando atividades suspeitas são identificadas – alertar o assunto é uma ofensa criminal
• As 40 recomendações do GAFI constituem o padrão global de combate à lavagem de dinheiro; jurisdições implementam através da legislação nacional
• Configuração de ERP para AML: classificação de clientes, triagem de pagamentos, regras de transação, trilhas de auditoria e integração de fluxo de trabalho SAR
• Penalidades por não conformidade: processo criminal, multas substanciais (mais de US$ 5 bilhões para grandes bancos), revogação de licença comercial, destruição de reputação

---

O Marco Regulatório AML

GAFI e as 40 recomendações

O Grupo de Acção Financeira (GAFI) é um órgão intergovernamental que estabelece padrões internacionais para prevenir o branqueamento de capitais, o financiamento do terrorismo e o financiamento da proliferação. As suas 40 recomendações (última atualização em 2023) são a referência mundialmente reconhecida para programas de LBC/CFT (Combate ao Financiamento do Terrorismo). O GAFI realiza avaliações mútuas dos países membros; os países com classificação baixa enfrentam a designação de lista cinzenta ou lista negra, afetando significativamente o acesso financeiro.

Principais recomendações do GAFI para empresas:

• Recomendação 10: Due Diligence do Cliente (CDD)
• Recomendação 11: Manutenção de registos (mínimo de 5 anos)
• Recomendação 12: Requisitos PEP
• Recomendação 13: Correspondente bancário
• Recomendação 14: Serviços de transferência de dinheiro ou valores
• Recomendação 15: Novas tecnologias e ativos virtuais
• Recomendação 20: Comunicação de transações suspeitas
• Recomendação 22: Empresas e profissões não financeiras designadas (APNFD)

Quem está sujeito às obrigações de LBC?

Instituições financeiras: Bancos, instituições de crédito, prestadores de serviços de pagamento, bolsas de valores, empresas de valores mobiliários, companhias de seguros, prestadores de serviços de criptoativos (sob o MiCA na UE)

Empresas e Profissões Não Financeiras Designadas (EPNFDs):

• Agentes imobiliários (para compra/venda de imóveis)
• Advogados, notários, contadores (quando envolvidos em transações financeiras, formação de empresas, acordos fiduciários)
• Provedores de serviços fiduciários e empresariais (TCSPs)
• Revendedores de metais e pedras preciosas (transações que excedem os limites, normalmente US$ 10.000 ou € 10.000)
• Cassinos (incluindo cassinos online)

Bens de alto valor: negociantes de arte (transações acima de € 10.000 na UE), negociantes de bens de luxo acima dos limites, corretores de iates e aeronaves em algumas jurisdições

Provedores de serviços de criptoativos: De acordo com a Recomendação 15 do GAFI e o MiCA da UE (Regulamento de Mercados de Criptoativos, totalmente aplicável em dezembro de 2024), exchanges de criptoativos, custodiantes e certas plataformas DeFi têm obrigações completas de AML

Alerta do setor empresarial: As empresas comerciais em geral (não pertencentes às categorias APNFD) normalmente não têm obrigações de comunicação de LBC baseadas no GAFI — mas muitas enfrentam requisitos específicos do setor (por exemplo, empresas cotadas em bolsas regulamentadas, prestadores de serviços governamentais) e todas têm obrigações gerais de comunicação de produtos do crime na maioria das jurisdições.

---

Conheça seu cliente (KYC) e due diligence do cliente (CDD)

Requisitos padrão de CDD

O CDD deve ser realizado antes de estabelecer uma relação comercial ou realizar transações ocasionais acima dos limites. O CDD padrão inclui:

1. Identificação do cliente: Obtenha informações de identificação — para pessoas físicas: nome completo, data de nascimento, nacionalidade, endereço residencial, identidade nacional ou número do passaporte. Para pessoas jurídicas: razão social completa, forma jurídica, foro de constituição, endereço da sede social, identidade dos diretores/beneficiários efetivos.

2. Verificação: Verifique as informações fornecidas por meio de fontes confiáveis ​​e independentes. Para indivíduos: documento de identidade com foto emitido pelo governo, contas de serviços públicos para endereço. Para pessoas jurídicas: documentos de registro de empresa, certidão de constituição, contrato social, registros oficiais de registro.

3. Propriedade efetiva: Identifique e verifique os proprietários beneficiários finais (UBOs) de entidades legais — normalmente pessoas físicas que possuem ou controlam 25% ou mais da entidade (algumas jurisdições usam limites mais baixos). Estruturas de propriedade complexas (trustes, nomeados, veículos offshore) exigem o rastreamento até o nível da pessoa física.

4. Compreender a relação comercial: Compreender a natureza e o propósito da relação comercial e a origem dos fundos.

5. Monitoramento contínuo: Monitore o relacionamento comercial e as transações de forma contínua para garantir consistência com o perfil do cliente.

Due Diligence Aprimorada (EDD)

O EDD é necessário para clientes, relações comerciais e transações de alto risco. Os gatilhos incluem:

Pessoas Politicamente Expostas (PEPs): Altos funcionários do governo, altos executivos de empresas estatais, altos funcionários de organizações internacionais, altos membros de partidos políticos — e seus familiares e associados próximos. Para PEPs, o EDD exige: aprovação da alta administração antes de estabelecer um relacionamento; estabelecer a fonte de riqueza e fundos; monitoramento contínuo aprimorado.

Jurisdições de alto risco: Países na lista cinzenta ou na lista negra do GAFI, ou jurisdições com deficiências significativas de AML. As transações que envolvem jurisdições de alto risco exigem EDD, independentemente de outros fatores de risco.

Integração não presencial: risco maior do que a verificação presencial — use a verificação aprimorada (cópias autenticadas de documentos, verificação por vídeo, serviços de verificação de identidade eletrônica).

Estruturas de propriedade complexas: Estruturas corporativas em camadas, trustes, acordos de nomeação — rastreio até a pessoa física UBO; compreender a lógica da estrutura.

Padrões de transação incomuns: Clientes cujas transações são inconsistentes com seu negócio ou perfil de risco declarado.

Due Diligence Simplificada (SDD)

Para clientes e transações de menor risco, o SDD pode ser apropriado – menos requisitos de identificação ou profundidade de verificação reduzida. O SDD não pode ser aplicado a PEPs ou jurisdições de alto risco. Exemplos: empresas públicas estabelecidas cotadas em mercados regulamentados, departamentos governamentais.

---

Configuração ERP para KYC/CDD

Os sistemas ERP modernos podem ser configurados para oferecer suporte a fluxos de trabalho KYC/CDD dentro do processo de integração do cliente. Para Odoo e plataformas semelhantes:

Campos de categorização de clientes:

• Tipo de cliente (pessoa física/corporativa/governamental/instituição financeira)
• Número de registro de pessoa jurídica, país, data de constituição
• Nome do UBO, data de nascimento, nacionalidade, percentagem de propriedade
• Status PEP (Sim/Não/Associado próximo)
• Classificação de risco do cliente (Baixo/Médio/Alto)
• Data de conclusão do CDD e oficial de revisão
• Lista de verificação de documentos (ID verificada, registro da empresa verificado, UBO verificado)
• Data da próxima revisão (com base na classificação de risco — risco alto: anual; médio: 2 anos; baixo: 3 anos)

Gerenciamento de documentos: vincule uploads de documentos aos registros do cliente. Implemente alertas de expiração para documentos de identificação (passaportes, licenças) e registros de empresas.

Automação do fluxo de trabalho:

• A criação de novos clientes aciona a lista de verificação de CDD
• O sinalizador PEP aciona o fluxo de trabalho EDD e a fila de aprovação da alta administração
• Sinalização de jurisdição de alto risco aciona EDD
• Alertas de expiração de documentos acionam fila de revisão
• Lembretes de revisão anual gerados automaticamente

Integração de triagem: o ERP pode ser integrado a serviços de triagem de sanções (Refinitiv World-Check, Dow Jones Risk & Compliance, Comply Advantage) via API para rastrear automaticamente clientes e beneficiários efetivos em relação a:

• Lista OFAC SDN (EUA)
• Lista consolidada de sanções da UE
• Sanções do Conselho de Segurança da ONU
• bancos de dados PEP

---

Monitoramento de transações

O monitoramento de transações é a revisão sistemática das transações do cliente para detectar padrões inconsistentes com o perfil, negócio ou nível de risco do cliente. O monitoramento eficaz de transações requer alertas baseados em regras e detecção de anomalias cada vez mais orientada por IA.

Indicadores de transações de alto risco (sinais de alerta)

Estruturação (Smurfing): Quebra deliberada de grandes transações em valores menores abaixo dos limites de relatório. Sinal de alerta: múltiplas transações abaixo de US$ 10.000 (ou equivalente local) do mesmo cliente ou partes relacionadas.

Movimentação rápida de fundos: fundos recebidos e imediatamente transferidos — "camadas" — com pouco tempo na conta e sem finalidade comercial aparente.

Transações com números redondos: um número incomum de transações com números redondos (exatamente US$ 50.000, US$ 100.000) pode indicar pagamentos estruturados.

Padrões geográficos de alto risco: Pagamentos de ou para jurisdições incluídas na lista negra/cinzenta do GAFI, jurisdições associadas a tipologias criminais específicas (paraísos fiscais, centros financeiros offshore).

Transações inconsistentes com o perfil do negócio: uma empresa de varejo que recebe grandes transferências eletrônicas de contrapartes estrangeiras; um comerciante individual que recebe pagamentos de centenas de indivíduos diferentes.

Transações com uso intensivo de dinheiro: grandes pagamentos em dinheiro (imóveis, bens de alto valor); múltiplos depósitos em dinheiro; receitas em dinheiro inconsistentes com a receita comercial declarada.

Pagamentos de terceiros: Clientes que realizam pagamentos a terceiros não diretamente relacionados ao relacionamento comercial; pagamentos de terceiros desconhecidos em nome de um cliente.

Solicitações urgentes: Pressão para concluir transações rapidamente sem justificativa comercial adequada; ignorando os controles normais alegando urgência.

Regras de monitoramento de transações ERP

Configure as seguintes regras em seu ERP ou sistema de monitoramento de transações:

Rule 1 — Structuring Alert:
TRIGGER if sum of transactions from a single customer within 24 hours
        approaches or exceeds reporting threshold (e.g., $9,500 aggregate)
TRIGGER if multiple transactions in 7 days total exceed 150% of customer's
        historical average transaction volume

Rule 2 — High-Risk Geography Alert:
TRIGGER if payment destination country is on FATF blacklist/greylist
TRIGGER if beneficial owner is resident in high-risk jurisdiction

Rule 3 — Unusual Volume Alert:
TRIGGER if single transaction exceeds 3× the customer's average transaction size
TRIGGER if monthly transaction volume exceeds 5× the historical 12-month average

Rule 4 — Rapid Movement Alert:
TRIGGER if funds received are transferred out within 48 hours
        and transfer exceeds 80% of received amount

Rule 5 — PEP/Sanctions Hit:
TRIGGER if customer or beneficial owner matches sanctions or PEP database
TRIGGER on name change or new beneficial owner addition

---

Relatório de atividades suspeitas (SAR/STR)

Quando um alerta de monitoramento de transação é investigado e atividades suspeitas são confirmadas — ou quando qualquer funcionário identifica atividades suspeitas — um Relatório de Atividades Suspeitas (SAR) ou Relatório de Transações Suspeitas (STR) deve ser arquivado na Unidade de Inteligência Financeira (UIF) nacional.

Principais UIFs por jurisdição:

• EUA: FinCEN (Financial Crimes Enforcement Network) — SARs arquivados via BSA e-Filing
• Reino Unido: Agência Nacional do Crime (NCA) — SARs arquivados via SARs Online
• Estados-membros da UE: Cada um tem uma UIF nacional (por exemplo, BaFin/FIU na Alemanha, TRACFIN em França, CSSF no Luxemburgo)
• Austrália: AUSTRAC — SARs via AUSTRAC Online
• Emirados Árabes Unidos: Unidade de Combate à Lavagem de Dinheiro e Casos Suspeitos (AMLSCU)

Regra crítica: Proibição de denúncias: Depois que um SAR for apresentado ou quando houver motivos razoáveis ​​para registrar um SAR, você não deve informar ao sujeito do SAR que um SAR foi arquivado ou que ele está sob investigação. A denúncia é crime na maioria das jurisdições. Não entre em contato com o cliente sobre atividades suspeitas; não congele fundos óbvios que os alertariam; continuar os negócios normais enquanto o SAR é processado.

Conteúdo SAR:

• Descrição da atividade suspeita
• Datas e valores das transações
• Informações do cliente (nome, identificação, detalhes da conta)
• Descrição do motivo pelo qual a atividade é suspeita
• Qualquer atividade suspeita anterior
• Ações tomadas (se houver) — documente qualquer decisão comercial para continuar ou encerrar o relacionamento

Retenção de registros: retenha os registros SAR por pelo menos cinco anos. Esses registros são frequentemente exigidos pelos reguladores durante as inspeções.

---

Requisitos de manutenção de registros

A Recomendação 11 do GAFI e a legislação nacional de implementação exigem a retenção mínima de 5 anos de:

• Registos de identificação e verificação do cliente (desde o final da relação comercial)
• Registros de transação (a partir da data da transação)
• Registros SAR e documentação de apoio

Configuração do ERP para retenção de registros:

• Não permitir a exclusão de registros de identidade do cliente antes que o período de retenção expire
• Arquivar contas encerradas com registros retidos
• Cronograma de retenção automatizado: sinaliza registros para arquivamento/revisão em 5 anos
• Registro de auditoria imutável de alterações nos registros do cliente
• Procedimentos de backup e recuperação cobrindo registros AML

---

Avaliação de risco AML para empresas

Todas as empresas sujeitas a obrigações de LBC devem realizar e documentar uma avaliação de risco de LBC que abranja:

1. Risco do cliente: Quem são seus clientes? Algum deles é de alto risco (PEPs, não residentes, estruturas complexas)?
2. Risco de produto/serviço: Quais produtos/serviços apresentam maior risco de BC/FT (aceitação de dinheiro, transações de alto valor, alcance global)?
3. Risco geográfico: você opera ou atende jurisdições de alto risco?
4. Risco de canal de transação/entrega: integração on-line, entrega não presencial, intermediários

A avaliação de risco determina o apetite ao risco, os limites de CDD, as regras de monitoramento de transações e os gatilhos de EDD em seu programa AML.

---

Lista de verificação de conformidade com ERP AML

• [] Avaliação de obrigação de AML concluída para seu tipo de negócio e jurisdição
• Política e procedimentos AML escritos e documentados
• [] Oficial de Relatórios de Lavagem de Dinheiro (MLRO) designado
• Estrutura de classificação de risco do cliente documentada (critérios Baixo/Médio/Alto)
• [] Lista de verificação KYC/CDD implementada no fluxo de trabalho de integração do cliente ERP
• [] Processo de identificação e verificação do UBO documentado
• [] Fluxo de trabalho EDD para PEPs, geografias de alto risco, estruturas complexas
• [] Sanções e triagem PEP integrada ao banco de dados de clientes
• [] Regras de monitoramento de transações configuradas e testadas
• [] Processo de revisão de alerta documentado (quem analisa, escalonamento, cronograma)
• Processo de arquivamento de SAR documentado (formulário, instruções de arquivamento, proibição de denúncia)
• Treinamento de pessoal sobre obrigações AML, sinais de alerta e processo SAR
• Retenção de registros configurada: mínimo de 5 anos para CDD e registros de transações
• Avaliação anual de risco de LBC documentada
• Relatório anual de MLRO para a alta administração concluído

---

Perguntas frequentes

Meu negócio regular precisa de conformidade com AML se não formos um banco?

Depende do seu tipo de negócio, jurisdição e natureza das suas transações. A Recomendação 22 do GAFI aplica obrigações de LBC a APNFD específicas — agentes imobiliários, contabilistas, advogados, TCSP, negociantes de metais/pedras preciosas e casinos. Se a sua empresa se enquadrar nestas categorias, aplicam-se todas as obrigações de AML. Caso contrário, você provavelmente não terá obrigações formais de comunicação de AML, mas ainda enfrentará leis gerais sobre produtos do crime que proíbem facilitar conscientemente a lavagem de dinheiro. Setores específicos (criptografia, jogos, serviços de pagamento) têm obrigações adicionais de LBC, independentemente do seu estatuto de APNFD.

Qual é o limite para preencher um Relatório de Atividades Suspeitas?

Não há limite monetário para a apresentação de SAR – a obrigação surge da suspeita e não do tamanho da transação. Se tiver conhecimento ou suspeita, ou motivos razoáveis ​​para suspeita, de que um cliente ou os seus fundos estão relacionados com branqueamento de capitais ou financiamento do terrorismo, deverá ser apresentado um SAR. Muitas jurisdições têm requisitos separados de relatórios de transações (Relatórios de transações monetárias nos EUA para transações em dinheiro superiores a US$ 10.000, por exemplo) — estes são diferentes dos SARs e aplicam-se automaticamente sem exigência de suspeita.

Como selecionamos os clientes em relação às listas de sanções?

Os serviços de triagem de sanções fornecem bancos de dados de indivíduos, entidades e países sancionados e oferecem integração de API com sistemas empresariais. Os principais fornecedores incluem: Refinitiv World-Check, Dow Jones Risk & Compliance, LexisNexis, Comply Advantage, ComplyAdvantage. Eles podem ser integrados ao seu ERP via API para triagem na integração e de forma contínua à medida que ocorrem atualizações da lista. No mínimo, verifique: lista OFAC SDN (EUA), lista consolidada de sanções da UE, lista consolidada do Conselho de Segurança da ONU e lista de sanções nacionais da sua jurisdição. Implemente um processo claro para lidar com ocorrências — nem todas as ocorrências são correspondências verdadeiras (falsos positivos são comuns com nomes semelhantes).

O que acontece se registrarmos um SAR e estivermos errados sobre a atividade suspeita?

Os requerentes de SAR estão geralmente protegidos de responsabilidade civil por apresentarem informações de boa fé – mesmo que a atividade denunciada, em última análise, não se prove ser lavagem de dinheiro. A protecção é forte na maioria das jurisdições: a UIF investigará e determinará se existe actividade criminosa. Apresentar um SAR de boa-fé é sempre mais seguro do que não apresentar um quando você tem suspeitas genuínas. A proibição de denúncia impede que você informe ao cliente que apresentou um SAR. A apresentação deliberada de SARs falsos é uma ofensa separada – mas erros de boa-fé são protegidos.

Quais são as penalidades para empresas em caso de não conformidade com AML?

As penalidades variam drasticamente de acordo com a jurisdição e a natureza da violação. Para as instituições financeiras regulamentadas, as multas são enormes: o HSBC pagou 1,9 mil milhões de dólares (2012), a Goldman Sachs 2,9 mil milhões de dólares (2020), o Commerzbank 1,45 mil milhões de dólares (2015) por falhas de AML. Para as APNFD, as sanções são mais baixas, mas significativas: o HMRC do Reino Unido multou agentes imobiliários até £800.000 por falhas na LBC. Para todas as empresas, o processo criminal por branqueamento de capitais (se as leis relativas aos produtos do crime forem violadas) pode resultar em prisão. Os danos à reputação decorrentes de ações de aplicação da lei muitas vezes excedem as sanções financeiras.

---

Próximas etapas

Integrar a conformidade AML em seu sistema ERP é um investimento que protege sua empresa contra responsabilidades por crimes financeiros, sanções regulatórias e danos à reputação de ser identificado como veículo de lavagem de dinheiro. O trabalho de configuração – classificação de clientes, integração de triagem, regras de monitoramento de transações, fluxo de trabalho SAR – rende dividendos muito além da conformidade AML, melhorando a qualidade dos dados do cliente e a visibilidade das transações.

A equipe de implementação do Odoo da ECOSIRE tem experiência na configuração de sistemas ERP com fluxos de trabalho de suporte AML, incluindo classificação de risco do cliente, gerenciamento de documentos, design de regras de monitoramento de transações e configuração de trilha de auditoria.

Começar: Serviços ECOSIRE Odoo

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. As obrigações ABC são altamente específicas da jurisdição e evoluem regularmente através de atualizações do GAFI e da legislação nacional. Consulte um consultor jurídico qualificado e um profissional certificado em conformidade com AML para obter aconselhamento específico para sua organização.