Avaliação de riscos de conformidade: guia prático 2026

A avaliação de riscos de conformidade é o processo sistemático pelo qual uma organização identifica as obrigações regulatórias que lhe são aplicáveis, mede a probabilidade e o impacto de incumprimento em cada domínio, e define controlos proporcionados para reduzir a exposição a um nível aceitável. Em Portugal, o Banco de Portugal e a CMVM exigem formalmente este processo para instituições financeiras; no Brasil, o BACEN e o COAF estabelecem requisito equivalente ao abrigo da Lei 9.613/1998 e das circulares emitidas. A Diretiva (UE) 2024/1640 (AMLD6), com transposição obrigatória em julho de 2027, reforça os requisitos de avaliação de risco a nível europeu e, por extensão, para todas as entidades obrigadas a operar em Portugal.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.

Para saber mais, consulte identificar PEP.

Em 2024, o COAF analisou transações suspeitas no valor de BRL 2,9 trilhões no Brasil, um recorde histórico que evidencia a escala e a complexidade crescentes dos riscos regulatórios que as organizações enfrentam (COAF, Relatório de Atividades 2024).

Este artigo tem finalidade exclusivamente informativa e não constitui assessoria jurídica, financeira ou regulatória. Para questões relativas à sua situação específica, consulte um profissional qualificado.

O que é gestão de riscos de conformidade?

A gestão de riscos de conformidade — em inglês, compliance risk management — é o conjunto integrado de políticas, processos e controlos que permite a uma organização identificar, avaliar, monitorizar e mitigar os riscos decorrentes do incumprimento de leis, regulamentos, normas e códigos de conduta aplicáveis à sua atividade. Não se trata apenas de evitar multas: uma função de compliance eficaz protege a reputação institucional, preserva a licença para operar e cria uma vantagem competitiva sustentável.

A distinção entre gestão de riscos de conformidade e gestão de riscos em geral é importante. A gestão de riscos cobre toda a espectro de incertezas que podem afetar os objetivos organizacionais — riscos estratégicos, financeiros, operacionais e reputacionais. A gestão de riscos de conformidade foca especificamente nos riscos que emergem de obrigações normativas externas. No entanto, estes dois domínios são interdependentes: um controlo de compliance deficiente pode desencadear riscos operacionais e reputacionais significativos.

Em termos práticos, a gestão de riscos de conformidade responde a quatro questões fundamentais: quais são as nossas obrigações regulatórias? Onde estamos mais vulneráveis ao incumprimento? Quais controlos temos em vigor e quão eficazes são? O que mais precisamos de fazer para reduzir a exposição residual? Este processo é cíclico, não linear — deve ser revisto com regularidade à medida que as regulamentações evoluem e o modelo de negócio muda.

A abordagem baseada em risco (risk-based approach) é o paradigma dominante nos principais quadros regulatórios contemporâneos, incluindo o Regulamento (UE) 2024/1624 (AMLR) e as orientações do Banco de Portugal — o que significa que as organizações não podem mais aplicar medidas uniformes a todos os clientes e transações, devendo calibrar os controlos em função do risco efetivo identificado.

Para uma compreensão mais ampla do enquadramento estratégico em que a gestão de riscos de conformidade se insere, consulte o nosso guia completo de GRC — governança, riscos e conformidade.

As cinco etapas de uma avaliação de riscos de conformidade eficaz

Uma avaliação de riscos de conformidade robusta segue cinco etapas sequenciais que, em conjunto, produzem um mapa de risco acionável e fundamentado em evidências. Os reguladores — incluindo o Banco de Portugal, o BACEN e a Autoridade Bancária Europeia (EBA) — esperam que este processo seja documentado, repetível e proporcional à complexidade da organização.

Na plataforma CheckFile, a fraude documental gerada por IA representa já 12 % dos casos detetados, contra apenas 3 % em 2024 — uma multiplicação por quatro num único ano.

Etapa 1 — Identificação do universo regulatório

O primeiro passo consiste em mapear de forma exaustiva todas as obrigações normativas aplicáveis à organização: leis nacionais, regulamentos setoriais, diretivas europeias transpostas, orientações das autoridades de supervisão e políticas internas. Este mapeamento deve ser atualizado sempre que há alteração regulatória relevante ou mudança no modelo de negócio — incluindo a entrada em novos mercados ou o lançamento de novos produtos.

Etapa 2 — Avaliação da probabilidade e do impacto

Para cada risco identificado, a equipa de compliance avalia duas dimensões: a probabilidade de ocorrência de uma falha de conformidade (considerando a maturidade dos controlos existentes) e o impacto potencial caso essa falha se materialize (considerando sanções financeiras, impacto reputacional e interrupção operacional). Esta avaliação pode ser qualitativa, quantitativa ou uma combinação de ambas.

Etapa 3 — Classificação e priorização

Os riscos são classificados numa matriz que combina probabilidade e impacto, gerando um nível de risco inerente e, após considerar os controlos existentes, um nível de risco residual. A tabela abaixo apresenta um exemplo de matriz de classificação tipicamente utilizada:

As áreas de risco crítico e elevado exigem revisão trimestral, conforme reconhecido pelas melhores práticas de supervisão e pelo BACEN na Circular 3.978/2020.

Etapa 4 — Definição e implementação de controlos

Para cada risco priorizado, a organização define o plano de tratamento: aceitar o risco (se residual e dentro do apetite), mitigá-lo (reforçar controlos), transferi-lo (seguros, contratos) ou eliminá-lo (descontinuar a atividade). Os controlos devem ser específicos, com responsável atribuído, prazo de implementação e indicador de eficácia mensurável.

Etapa 5 — Monitorização, reporte e revisão

A avaliação de riscos de conformidade não termina com a implementação dos controlos. A organização deve monitorizar continuamente a eficácia dos controlos, reportar ao conselho de administração com regularidade e rever o mapa de risco pelo menos anualmente — ou com maior frequência em áreas de risco elevado. O reporte ao órgão de administração é um requisito explícito do Banco de Portugal ao abrigo da Lei n.º 83/2017 e da Lei n.º 58/2020, que transpõe a AMLD5 para o ordenamento jurídico português.

Uma avaliação de riscos de conformidade bem estruturada deve cobrir o risco inerente, a eficácia dos controlos existentes e o risco residual — sendo este último o único valor que os reguladores consideram para avaliar a adequação do programa de compliance.

Para uma abordagem integrada à verificação documental como controlo de conformidade, consulte o nosso guia de conformidade documental.

Marco regulatório: Portugal, Brasil e a Diretiva AMLD6

O quadro normativo que governa a avaliação de riscos de conformidade difere entre Portugal e o Brasil, mas converge em vários princípios fundamentais: abordagem baseada em risco, documentação probante, periodicidade das avaliações e responsabilidade do órgão de administração.

Em Portugal, a base legal primária é a Lei n.º 83/2017, de 18 de agosto, que transpôs a AMLD4 e parcialmente a AMLD5, complementada pela Lei n.º 58/2020, de 31 de agosto, que completa a transposição da AMLD5. Em março de 2026, o Banco de Portugal exige que as entidades obrigadas mantenham uma política de avaliação e gestão de riscos atualizada, calibrada segundo os fatores de risco do cliente, produto, canal de distribuição e área geográfica. A CMVM aplica requisitos equivalentes às entidades sob a sua supervisão, designadamente gestoras de fundos de investimento, intermediários financeiros e consultores para investimento. O DCIAP tem competência para investigar e acusar crimes de branqueamento de capitais quando a avaliação de risco falha na deteção de operações suspeitas.

No Brasil, a Lei 9.613/1998 estabelece o regime de prevenção à lavagem de dinheiro e define as obrigações das pessoas sujeitas ao mecanismo de controlo. O BACEN, por meio da Circular 3.978/2020, estabelece os procedimentos para prevenção da lavagem de dinheiro e do financiamento ao terrorismo, exigindo que as instituições autorizadas a funcionar realizem avaliações de risco internas com periodicidade mínima anual. O COAF centraliza o recebimento, análise e disseminação de informações sobre operações suspeitas, sendo o destinatário das comunicações de operações incomuns (COI).

A nível europeu, a Diretiva (UE) 2024/1640 (AMLD6) deve ser transposta pelos Estados-Membros até julho de 2027. Esta diretiva reforça os requisitos de avaliação de risco ao nível das entidades, exige que a Autoridade de Branqueamento de Capitais (AMLA) — operacional desde julho de 2025, com sede em Frankfurt — emita orientações sobre metodologias de avaliação de risco, e alarga o perímetro das entidades obrigadas a prestadores de serviços de criptoativos, negociantes de bens de elevado valor e clubes de futebol profissional. O Regulamento (UE) 2024/1624 (AMLR) aplica-se diretamente, sem necessidade de transposição, a partir de 10 de julho de 2027.

Para uma análise aprofundada das obrigações específicas decorrentes da AMLD6, consulte o nosso artigo AMLD6: o que muda para entidades obrigadas.

As organizações com operações em Portugal devem iniciar já a análise de lacunas (gap analysis) relativamente aos requisitos da AMLD6 e do AMLR, uma vez que a AMLA pode iniciar supervisão direta das entidades de maior risco antes mesmo da data formal de aplicação.

Erros frequentes na gestão de riscos de conformidade

Os principais erros na gestão de riscos de conformidade são identificáveis e evitáveis. A experiência regulatória em Portugal, no Brasil e a nível europeu aponta consistentemente para os mesmos padrões de falha.

Tratar o compliance como exercício de caixa de verificação. O erro mais frequente é reduzir a avaliação de riscos a um documento produzido para satisfazer uma exigência regulatória, sem integração nos processos operacionais. Quando o conselho de administração trata o compliance como burocracia e não como instrumento de gestão, os controlos implementados tendem a ser insuficientes e desatualizados. O resultado é um risco residual superior ao apetite declarado, com exposição a sanções significativas.

Silos departamentais. A avaliação de riscos de conformidade eficaz requer informação de múltiplas funções: jurídico, operações, tecnologia, recursos humanos, vendas e finanças. Quando estas funções operam em silos, o mapa de risco fica incompleto. Riscos emergentes — como o uso de inteligência artificial generativa no processamento de documentos de clientes — podem não ser capturados se não houver coordenação entre compliance e tecnologia.

Fragmentação de dados. Uma avaliação de risco baseada em dados incompletos ou desatualizados produz conclusões imprecisas. A falta de integração entre sistemas de CRM, KYC, onboarding e monitorização de transações é uma das causas mais comuns de lacunas de controlo identificadas em inspeções regulatórias — tanto pelo Banco de Portugal como pelo BACEN.

Periodicidade inadequada. Realizar apenas uma avaliação anual para todas as áreas de risco, independentemente do perfil de risco de cada uma, não é compatível com os requisitos regulatórios. As melhores práticas, confirmadas pelas orientações da EBA, indicam revisão trimestral para áreas de risco elevado e contínua para áreas críticas.

Ausência de teste de eficácia dos controlos. Documentar um controlo não equivale a demonstrar que ele funciona. As organizações frequentemente omitem testes de eficácia — como auditorias de transações, exercícios de amostragem e testes de penetração de processos — o que resulta em controlos que existem no papel mas não operam na prática.

A falha de controlo mais cara não é a ausência de uma política — é a existência de uma política que ninguém aplica, documentada num manual que ninguém lê e aprovada por um conselho que nunca a discutiu operacionalmente.

A plataforma CheckFile permite integrar a verificação documental diretamente no fluxo de onboarding, eliminando a fragmentação de dados entre sistemas e garantindo que os controlos de KYC funcionam na prática — e não apenas no papel.

Como a tecnologia fortalece o programa de conformidade

A tecnologia não substitui o julgamento humano em compliance risk management, mas amplifica significativamente a capacidade de deteção, documentação e resposta. As organizações que adotam soluções tecnológicas adequadas conseguem processar volumes de dados impossíveis de analisar manualmente, reduzir o risco de erro humano em controlos críticos e produzir evidência auditável de forma sistemática.

Automatização da verificação documental. A verificação manual de documentos de identidade, comprovativos de morada e certidões empresariais é lenta, inconsistente e difícil de escalar. Soluções de verificação documental automatizada, como as disponibilizadas pela CheckFile, utilizam reconhecimento ótico de caracteres (OCR) avançado, deteção de adulteração e validação cruzada de dados para processar documentos em segundos, com rastreabilidade completa para efeitos de auditoria regulatória.

Monitorização contínua de risco. Os sistemas de monitorização de transações e de comportamento de clientes permitem identificar padrões anómalos em tempo real, alertando as equipas de compliance para operações que devem ser analisadas antes de serem processadas. Esta capacidade é particularmente relevante no contexto da AMLD6, que exige monitorização reforçada para categorias de clientes de alto risco.

Gestão centralizada de alertas e casos. A fragmentação de alertas entre múltiplos sistemas é um dos principais obstáculos à eficácia dos controlos AML. Plataformas integradas permitem centralizar a gestão de alertas, atribuir casos a analistas, documentar as decisões tomadas e produzir relatórios regulatórios de forma automatizada — reduzindo o esforço manual e o risco de omissão.

Rastreabilidade e evidência auditável. Em caso de inspeção regulatória — pelo Banco de Portugal, CMVM, BACEN ou COAF —, a organização deve demonstrar que os seus controlos funcionaram. Sistemas tecnológicos que registam automaticamente cada ação de verificação, com carimbo de data/hora e identificação do operador, produzem evidência que documentos em papel ou folhas de cálculo não conseguem igualar.

As organizações que automatizaram a verificação documental no processo de onboarding reportam reduções de 60% a 80% no tempo de processamento de novos clientes, segundo dados da indústria — um ganho de eficiência que libera recursos para análise de risco genuinamente complexa.

Conheça a política de segurança e conformidade da CheckFile para compreender como os dados documentais dos seus clientes são tratados com os mais elevados padrões de proteção, incluindo conformidade com o RGPD e certificação ISO 27001.

Para perceber como a verificação documental automatizada se integra num programa de conformidade mais amplo, consulte o nosso guia de verificação documental automatizada. Os nossos planos e preços foram concebidos para organizações de diferentes dimensões, desde PME a grandes grupos financeiros.

Para uma visão completa, consulte nosso guia completo conformidade documental.

Perguntas frequentes

O que é uma avaliação de riscos de conformidade?

Uma avaliação de riscos de conformidade é um processo estruturado que permite a uma organização identificar as suas obrigações regulatórias, medir a probabilidade e o impacto de eventuais falhas de conformidade, e definir controlos proporcionados para reduzir o risco a um nível aceitável. O resultado é um mapa de risco que prioriza as áreas que requerem atenção imediata e fundamenta as decisões de investimento em controlos. Este processo é exigido formalmente pelo Banco de Portugal ao abrigo da Lei n.º 83/2017, pelo BACEN ao abrigo da Circular 3.978/2020, e pela Diretiva AMLD6 a partir de julho de 2027.

Com que frequência deve ser realizada uma avaliação de riscos de conformidade?

A frequência depende do perfil de risco de cada área. As melhores práticas reconhecidas pelos reguladores europeus e brasileiros indicam: revisão anual do mapa de risco geral; revisão trimestral para áreas de risco elevado; monitorização contínua para áreas de risco crítico. Adicionalmente, qualquer alteração regulatória significativa, mudança no modelo de negócio ou incidente de conformidade deve desencadear uma revisão ad hoc. A AMLD6 reforçará estes requisitos para as entidades obrigadas a partir de julho de 2027.

Quais são os cinco passos de uma avaliação de riscos de conformidade?

Os cinco passos de uma avaliação de riscos de conformidade eficaz são: (1) identificação do universo regulatório aplicável; (2) avaliação da probabilidade e impacto de cada risco identificado; (3) classificação e priorização dos riscos numa matriz de risco; (4) definição e implementação de controlos proporcionados ao nível de risco residual; (5) monitorização contínua, reporte ao órgão de administração e revisão periódica. Este ciclo repete-se com a periodicidade adequada ao perfil de risco da organização.

Qual é a diferença entre risco inerente e risco residual em compliance?

O risco inerente é o nível de exposição antes de qualquer controlo ser aplicado — é o risco bruto associado a uma atividade ou obrigação regulatória específica. O risco residual é o nível de exposição que permanece após a aplicação dos controlos existentes. Os reguladores — incluindo o Banco de Portugal e o BACEN — avaliam a adequação do programa de compliance com base no risco residual: se os controlos são suficientemente robustos para reduzir o risco inerente a um nível consistente com o apetite de risco declarado pela organização.

O que acontece se a avaliação de riscos de conformidade for inadequada?

As consequências de uma avaliação de riscos inadequada incluem: sanções financeiras (em Portugal, as coimas ao abrigo da Lei n.º 83/2017 podem atingir 5 milhões de euros para pessoas coletivas; a AMLD6 harmonizará o máximo a 10 milhões de euros ou 10% da faturação anual a nível europeu); suspensão ou revogação de licenças de atividade; medidas de supervisão reforçada; e dano reputacional que pode ter impacto duradouro na relação com clientes e parceiros. No Brasil, o incumprimento das obrigações da Lei 9.613/1998 e das circulares do BACEN pode resultar em multas aplicadas pelo COAF e em processos administrativos sancionatórios por parte do BACEN ou da CVM, consoante o setor.

---

Este artigo é fornecido a título meramente informativo e não constitui aconselhamento jurídico, financeiro ou regulamentar. Os requisitos regulatórios descritos aplicam-se de forma diferente consoante a jurisdição, o setor de atividade e o perfil específico de cada organização. As referências a Portugal aplicam-se ao ordenamento jurídico português no âmbito do Espaço Económico Europeu; as referências ao Brasil aplicam-se ao quadro regulatório brasileiro, que é jurisdicionalmente distinto. Consulte um advogado ou consultor de compliance qualificado para questões relativas à sua situação específica.