Avaliação de riscos de conformidade: guia prático

A avaliação de riscos de conformidade é o processo sistemático pelo qual uma organização identifica as obrigações regulatórias que lhe são aplicáveis, mede a probabilidade e o impacto de descumprimento em cada domínio e define controles proporcionais para reduzir a exposição a um nível aceitável. No Brasil, o Banco Central (Bacen), o COAF e a CVM exigem formalmente esse processo para instituições financeiras e demais sujeitos obrigados ao amparo da Lei 9.613/1998 e das circulares e resoluções do Bacen. A complexidade crescente do ambiente regulatório brasileiro — com a convergência entre prevenção à lavagem de dinheiro, proteção de dados pessoais (LGPD) e supervisão prudencial — torna a avaliação de riscos de conformidade uma prioridade estratégica para qualquer empresa que opere no país.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.

Em 2024, o COAF analisou transações suspeitas no valor de R$ 2,9 trilhões, um recorde histórico que evidencia a escala e a complexidade crescentes dos riscos regulatórios enfrentados pelas organizações brasileiras (COAF, Relatório de Atividades 2024).

Este artigo tem finalidade exclusivamente informativa e não constitui assessoria jurídica, financeira ou regulatória. Para questões relativas à sua situação específica, consulte um profissional qualificado.

O que é gestão de riscos de conformidade?

A gestão de riscos de conformidade — em inglês, compliance risk management — é o conjunto integrado de políticas, processos e controles que permite a uma organização identificar, avaliar, monitorar e mitigar os riscos decorrentes do descumprimento de leis, regulamentos, normas e códigos de conduta aplicáveis à sua atividade. Não se trata apenas de evitar multas: uma função de compliance eficaz protege a reputação institucional, preserva a licença para operar e cria uma vantagem competitiva sustentável.

A distinção entre gestão de riscos de conformidade e gestão de riscos em geral é importante. A gestão de riscos cobre todo o espectro de incertezas que podem afetar os objetivos organizacionais — riscos estratégicos, financeiros, operacionais e reputacionais. A gestão de riscos de conformidade foca especificamente nos riscos que emergem de obrigações normativas externas. No entanto, esses dois domínios são interdependentes: um controle de compliance deficiente pode desencadear riscos operacionais e reputacionais significativos.

Em termos práticos, a gestão de riscos de conformidade responde a quatro questões fundamentais: quais são as nossas obrigações regulatórias? Onde estamos mais vulneráveis ao descumprimento? Quais controles temos em vigor e quão eficazes são? O que mais precisamos fazer para reduzir a exposição residual? Esse processo é cíclico, não linear — deve ser revisto com regularidade à medida que as regulamentações evoluem e o modelo de negócio muda.

A abordagem baseada em risco (risk-based approach) é o paradigma dominante nos principais marcos regulatórios contemporâneos, incluindo a Circular Bacen 3.978/2020 e as orientações do COAF — o que significa que as organizações não podem mais aplicar medidas uniformes a todos os clientes e transações, devendo calibrar os controles em função do risco efetivo identificado.

Para uma compreensão mais ampla do enquadramento estratégico em que a gestão de riscos de conformidade se insere, consulte o nosso guia completo de GRC — governança, riscos e conformidade.

As cinco etapas de uma avaliação de riscos de conformidade eficaz

Uma avaliação de riscos de conformidade robusta segue cinco etapas sequenciais que, em conjunto, produzem um mapa de risco acionável e fundamentado em evidências. Os reguladores brasileiros — incluindo o Bacen, o COAF e a CVM — esperam que esse processo seja documentado, repetível e proporcional à complexidade da organização.

Na plataforma CheckFile, a fraude documental gerada por IA representa já 12 % dos casos detetados, contra apenas 3 % em 2024 — uma multiplicação por quatro num único ano.

Etapa 1 — Identificação do universo regulatório

O primeiro passo consiste em mapear de forma exaustiva todas as obrigações normativas aplicáveis à organização: leis federais, resoluções e circulares do Bacen, instruções da CVM, normas setoriais e políticas internas. Esse mapeamento deve ser atualizado sempre que há alteração regulatória relevante ou mudança no modelo de negócio — incluindo a entrada em novos mercados, o lançamento de novos produtos ou a atuação com novos segmentos de clientes.

No Brasil, o universo regulatório para PLD/FTP inclui a Lei 9.613/1998 (com alterações da Lei 12.683/2012), a Circular Bacen 3.978/2020, a Resolução CVM 50/2021, além de normas setoriais emitidas pela SUSEP, ANS e outros órgãos reguladores conforme o setor de atuação.

Etapa 2 — Avaliação da probabilidade e do impacto

Para cada risco identificado, a equipe de compliance avalia duas dimensões: a probabilidade de ocorrência de uma falha de conformidade (considerando a maturidade dos controles existentes) e o impacto potencial caso essa falha se materialize (considerando sanções financeiras, impacto reputacional e interrupção operacional). Essa avaliação pode ser qualitativa, quantitativa ou uma combinação de ambas.

Etapa 3 — Classificação e priorização

Os riscos são classificados numa matriz que combina probabilidade e impacto, gerando um nível de risco inerente e, após considerar os controles existentes, um nível de risco residual. A tabela abaixo apresenta um exemplo de matriz de classificação tipicamente utilizada:

As áreas de risco crítico e elevado exigem revisão trimestral, conforme reconhecido pelas melhores práticas de supervisão e pela Circular Bacen 3.978/2020.

Etapa 4 — Definição e implementação de controles

Para cada risco priorizado, a organização define o plano de tratamento: aceitar o risco (se residual e dentro do apetite), mitigá-lo (reforçar controles), transferi-lo (seguros, contratos) ou eliminá-lo (descontinuar a atividade). Os controles devem ser específicos, com responsável atribuído, prazo de implementação e indicador de eficácia mensurável.

Etapa 5 — Monitoramento, reporte e revisão

A avaliação de riscos de conformidade não termina com a implementação dos controles. A organização deve monitorar continuamente a eficácia dos controles, reportar à diretoria e ao conselho de administração com regularidade e rever o mapa de risco pelo menos anualmente — ou com maior frequência em áreas de risco elevado. O reporte ao órgão de administração é um requisito explícito da Circular Bacen 3.978/2020, art. 8º, que exige que a avaliação interna de risco seja aprovada pelo diretor responsável pela PLD/FTP e reportada à diretoria da instituição.

Uma avaliação de riscos de conformidade bem estruturada deve cobrir o risco inerente, a eficácia dos controles existentes e o risco residual — sendo este último o único valor que os reguladores consideram para avaliar a adequação do programa de compliance.

Para uma abordagem integrada à verificação documental como controle de conformidade, consulte o nosso guia de conformidade documental.

Marco regulatório brasileiro: Bacen, COAF e CVM

O quadro normativo que governa a avaliação de riscos de conformidade no Brasil é composto por diversas camadas legislativas e regulatórias, todas convergindo para o princípio da abordagem baseada em risco.

A base legal primária é a Lei 9.613/1998, que estabelece o regime de prevenção à lavagem de dinheiro e define as obrigações das pessoas sujeitas ao mecanismo de controle. Com as alterações introduzidas pela Lei 12.683/2012, o rol de sujeitos obrigados foi significativamente ampliado, passando a incluir profissões e setores antes não cobertos pela legislação.

O Banco Central do Brasil (Bacen), por meio da Circular 3.978/2020, estabelece os procedimentos para prevenção da lavagem de dinheiro e do financiamento ao terrorismo (PLD/FTP), exigindo que as instituições autorizadas a funcionar realizem avaliações de risco internas com periodicidade mínima anual. A Circular detalha que a avaliação deve considerar os perfis de risco dos clientes, produtos, serviços, canais de distribuição e áreas geográficas de atuação. Em março de 2026, o Bacen supervisiona diretamente mais de 1.700 instituições financeiras autorizadas.

O Conselho de Controle de Atividades Financeiras (COAF) centraliza o recebimento, análise e disseminação de informações sobre operações suspeitas, sendo o destinatário das comunicações de operações incomuns (COI) e de operações em espécie. O COAF tem competência para aplicar sanções administrativas aos sujeitos obrigados que descumprirem as obrigações de PLD/FTP.

A Comissão de Valores Mobiliários (CVM), por meio da Resolução CVM 50/2021, estabelece obrigações específicas de PLD/FTP para os participantes do mercado de capitais, incluindo gestores de fundos, intermediários e consultores de investimento. A CVM exige avaliações de risco documentadas e atualizadas periodicamente.

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) acrescenta uma camada adicional de conformidade: os programas de compliance devem garantir que o tratamento de dados pessoais coletados durante processos de KYC e monitoramento de transações esteja em conformidade com os princípios de finalidade, adequação e necessidade. A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização.

Além do marco federal, as organizações brasileiras devem observar regulamentos setoriais emitidos pela SUSEP (seguros), ANS (saúde suplementar), Receita Federal (obrigações tributárias e identificação de beneficiários finais) e pela Junta Comercial (registro empresarial e documentação societária).

As organizações brasileiras devem iniciar imediatamente a análise de lacunas (gap analysis) para garantir que seus programas de PLD/FTP estejam alinhados com as resoluções mais recentes do Bacen e as orientações do COAF, que evoluem com frequência crescente.

Para uma análise aprofundada das obrigações específicas de PLD/FTP, consulte o nosso artigo AMLD6: o que muda para entidades obrigadas.

Erros frequentes na gestão de riscos de conformidade

Os principais erros na gestão de riscos de conformidade são identificáveis e evitáveis. A experiência regulatória no Brasil aponta consistentemente para os mesmos padrões de falha.

Tratar o compliance como exercício de checklist. O erro mais frequente é reduzir a avaliação de riscos a um documento produzido para satisfazer uma exigência regulatória, sem integração nos processos operacionais. Quando a diretoria trata o compliance como burocracia e não como instrumento de gestão, os controles implementados tendem a ser insuficientes e desatualizados. O resultado é um risco residual superior ao apetite declarado, com exposição a sanções significativas do Bacen e do COAF.

Silos departamentais. A avaliação de riscos de conformidade eficaz requer informação de múltiplas áreas: jurídico, operações, tecnologia, recursos humanos, comercial e financeiro. Quando essas áreas operam em silos, o mapa de risco fica incompleto. Riscos emergentes — como o uso de inteligência artificial generativa no processamento de documentos de clientes — podem não ser capturados se não houver coordenação entre compliance e tecnologia.

Fragmentação de dados. Uma avaliação de risco baseada em dados incompletos ou desatualizados produz conclusões imprecisas. A falta de integração entre sistemas de CRM, KYC, onboarding e monitoramento de transações é uma das causas mais comuns de lacunas de controle identificadas em inspeções do Bacen. A Receita Federal, por meio do eSocial e do SPED, exige cada vez mais integração de dados — e a fragmentação sistêmica dificulta o cumprimento dessas obrigações.

Periodicidade inadequada. Realizar apenas uma avaliação anual para todas as áreas de risco, independentemente do perfil de risco de cada uma, não é compatível com os requisitos regulatórios. As melhores práticas indicam revisão trimestral para áreas de risco elevado e contínua para áreas críticas. A Circular Bacen 3.978/2020 exige periodicidade mínima anual, mas organizações com operações de alto risco devem adotar frequências mais curtas.

Ausência de teste de eficácia dos controles. Documentar um controle não equivale a demonstrar que ele funciona. As organizações frequentemente omitem testes de eficácia — como auditorias de transações, exercícios de amostragem e testes de penetração de processos — o que resulta em controles que existem no papel mas não operam na prática.

A falha de controle mais cara não é a ausência de uma política — é a existência de uma política que ninguém aplica, documentada num manual que ninguém lê e aprovada por uma diretoria que nunca a discutiu operacionalmente.

A plataforma CheckFile permite integrar a verificação documental diretamente no fluxo de onboarding, eliminando a fragmentação de dados entre sistemas e garantindo que os controles de KYC funcionem na prática — e não apenas no papel.

Como a tecnologia fortalece o programa de conformidade

A tecnologia não substitui o julgamento humano em compliance risk management, mas amplifica significativamente a capacidade de detecção, documentação e resposta. As organizações que adotam soluções tecnológicas adequadas conseguem processar volumes de dados impossíveis de analisar manualmente, reduzir o risco de erro humano em controles críticos e produzir evidência auditável de forma sistemática.

Automatização da verificação documental. A verificação manual de documentos de identidade (RG, CNH, CPF), comprovantes de residência e certidões empresariais (Certidão Simplificada da Junta Comercial, consulta de CNPJ na Receita Federal) é lenta, inconsistente e difícil de escalar. Soluções de verificação documental automatizada, como as disponibilizadas pela CheckFile, utilizam reconhecimento óptico de caracteres (OCR) avançado, detecção de adulteração e validação cruzada de dados para processar documentos em segundos, com rastreabilidade completa para efeitos de auditoria regulatória.

Monitoramento contínuo de risco. Os sistemas de monitoramento de transações e de comportamento de clientes permitem identificar padrões anômalos em tempo real, alertando as equipes de compliance para operações que devem ser analisadas antes de serem processadas. Essa capacidade é particularmente relevante no contexto das crescentes exigências do Bacen e do COAF para monitoramento reforçado de categorias de clientes de alto risco.

Gestão centralizada de alertas e casos. A fragmentação de alertas entre múltiplos sistemas é um dos principais obstáculos à eficácia dos controles PLD/FTP. Plataformas integradas permitem centralizar a gestão de alertas, atribuir casos a analistas, documentar as decisões tomadas e produzir relatórios regulatórios de forma automatizada — reduzindo o esforço manual e o risco de omissão.

Rastreabilidade e evidência auditável. Em caso de inspeção regulatória — pelo Bacen, CVM, COAF ou Receita Federal —, a organização deve demonstrar que seus controles funcionaram. Sistemas tecnológicos que registram automaticamente cada ação de verificação, com carimbo de data/hora e identificação do operador, produzem evidência que documentos em papel ou planilhas não conseguem igualar.

As organizações que automatizaram a verificação documental no processo de onboarding reportam reduções de 60% a 80% no tempo de processamento de novos clientes, segundo dados da indústria — um ganho de eficiência que libera recursos para análise de risco genuinamente complexa.

Conheça a política de segurança e conformidade da CheckFile para compreender como os dados documentais dos seus clientes são tratados com os mais elevados padrões de proteção, incluindo conformidade com a LGPD e certificação ISO 27001.

Para entender como a verificação documental automatizada se integra num programa de conformidade mais amplo, consulte o nosso guia de verificação documental automatizada. Os nossos planos e preços foram concebidos para organizações de diferentes portes, desde PMEs a grandes grupos financeiros.

Para uma visão completa, consulte nosso guia completo de conformidade documental.

Perguntas frequentes

O que é uma avaliação de riscos de conformidade?

Uma avaliação de riscos de conformidade é um processo estruturado que permite a uma organização identificar suas obrigações regulatórias, medir a probabilidade e o impacto de eventuais falhas de conformidade e definir controles proporcionais para reduzir o risco a um nível aceitável. O resultado é um mapa de risco que prioriza as áreas que requerem atenção imediata e fundamenta as decisões de investimento em controles. No Brasil, esse processo é exigido formalmente pelo Bacen ao amparo da Circular 3.978/2020, pelo COAF ao amparo da Lei 9.613/1998 e pela CVM por meio da Resolução 50/2021.

Com que frequência deve ser realizada uma avaliação de riscos de conformidade?

A frequência depende do perfil de risco de cada área. As melhores práticas reconhecidas pelos reguladores brasileiros indicam: revisão anual do mapa de risco geral; revisão trimestral para áreas de risco elevado; monitoramento contínuo para áreas de risco crítico. Adicionalmente, qualquer alteração regulatória significativa, mudança no modelo de negócio ou incidente de conformidade deve desencadear uma revisão ad hoc. A Circular Bacen 3.978/2020 estabelece periodicidade mínima anual para a avaliação interna de risco.

Quais são os cinco passos de uma avaliação de riscos de conformidade?

Os cinco passos de uma avaliação de riscos de conformidade eficaz são: (1) identificação do universo regulatório aplicável; (2) avaliação da probabilidade e impacto de cada risco identificado; (3) classificação e priorização dos riscos numa matriz de risco; (4) definição e implementação de controles proporcionais ao nível de risco residual; (5) monitoramento contínuo, reporte à diretoria e revisão periódica. Esse ciclo repete-se com a periodicidade adequada ao perfil de risco da organização.

Qual é a diferença entre risco inerente e risco residual em compliance?

O risco inerente é o nível de exposição antes de qualquer controle ser aplicado — é o risco bruto associado a uma atividade ou obrigação regulatória específica. O risco residual é o nível de exposição que permanece após a aplicação dos controles existentes. Os reguladores brasileiros — incluindo o Bacen e o COAF — avaliam a adequação do programa de compliance com base no risco residual: se os controles são suficientemente robustos para reduzir o risco inerente a um nível consistente com o apetite de risco declarado pela organização.

O que acontece se a avaliação de riscos de conformidade for inadequada?

As consequências de uma avaliação de riscos inadequada no Brasil incluem: sanções financeiras (as multas ao amparo da Lei 9.613/1998 podem atingir R$ 20 milhões ou o dobro do valor da operação irregular, conforme o art. 12); processos administrativos sancionatórios por parte do Bacen ou da CVM, conforme o setor; suspensão ou cancelamento de licenças de funcionamento; e dano reputacional que pode ter impacto duradouro na relação com clientes e parceiros. O COAF pode aplicar penalidades administrativas aos sujeitos obrigados que descumprirem as obrigações de comunicação, e a ANPD pode sancionar violações da LGPD decorrentes de falhas nos processos de coleta e tratamento de dados em programas de compliance.

---

Este artigo é fornecido a título meramente informativo e não constitui aconselhamento jurídico, financeiro ou regulamentar. Os requisitos regulatórios descritos aplicam-se de forma diferente conforme o setor de atividade e o perfil específico de cada organização, dentro do quadro regulatório brasileiro. Consulte um advogado ou consultor de compliance qualificado para questões relativas à sua situação específica.