Por que a maioria das empresas diz que tem abordagem baseada em risco mas não tem
Toda empresa regulada no Brasil tem uma política de abordagem baseada em risco. Está no manual de compliance, foi aprovada pela diretoria, passou pelo jurídico.
O problema é que política não é processo. E processo no papel não é processo funcionando.
Na prática, o que vemos na maioria das operações é o seguinte: a ABR existe como documento. As decisões de risco continuam sendo tomadas por intuição, planilha ou memória institucional de um analista específico. Quando esse analista sai, o processo vai junto.
Se você chegou até este artigo, provavelmente está em um desses dois momentos: acabou de receber uma demanda regulatória ou está percebendo que seu processo atual não vai escalar. Em ambos os casos, o diagnóstico abaixo é para você.
O que é abordagem baseada em risco, de verdade
Abordagem baseada em risco (ABR) é o método pelo qual uma organização identifica, avalia, prioriza e monitora riscos de forma proporcional à sua exposição real, em vez de aplicar controles uniformes para todos os clientes, fornecedores ou transações.
O conceito vem do GAFI/FATF e está incorporado na regulação brasileira: Circular BACEN 3.978/2020 para instituições financeiras, SUSEP para seguradoras, Marco Legal dos Criptoativos para exchanges, e referenciado em praticamente toda norma de PLD/FT e KYC emitida nos últimos cinco anos.
Na prática, uma ABR funcional responde a três perguntas com dados, não com julgamento:
- Qual é o perfil de risco deste cliente, fornecedor ou transação?
- Esse perfil mudou desde a última avaliação?
- A profundidade dos controles aplicados é proporcional ao risco identificado?
Se qualquer uma dessas perguntas é respondida com “depende do analista”, a ABR não está operando. Está apenas documentada.
A diferença entre ter a política e ter o processo
Uma política de ABR descreve intenções. Um processo de ABR executa decisões.
A confusão entre os dois é o erro mais comum que times de compliance cometem, e o mais perigoso. Porque quando um regulador audita, ele não quer ver o documento. Ele quer ver a trilha de decisão: quem classificou este cliente como risco médio, com base em quais dados, em qual data, e o que mudou desde então.
A tabela abaixo resume a diferença:
| Critério | ABR no papel | ABR funcionando |
| Classificação de risco | Feita na entrada, raramente revisada | Dinâmica, atualizada por eventos e monitoramento contínuo |
| Critérios de decisão | Documentados em política | Traduzidos em regras operacionais executáveis |
| Rastreabilidade | Inexistente ou manual | Trilha de auditoria automática por decisão |
| Escalabilidade | Depende de contratar mais analistas | Cresce com volume sem aumentar equipe proporcionalmente |
| Resposta a eventos | Reativa, após o fato | Proativa, por alertas e gatilhos configurados |
Os cinco sinais abaixo são os indicadores mais confiáveis de que a ABR da sua empresa está no primeiro grupo.
Sinal 1: A classificação de risco é feita na entrada e nunca mais atualizada
Um cliente classificado como risco baixo no onboarding pode ter acumulado processos judiciais, vínculos com PEPs, ou variações atípicas de comportamento transacional nos meses seguintes. Se o seu processo não monitora isso de forma contínua, a classificação de risco que você tem é uma fotografia de um momento que já passou.
Monitoramento contínuo baseado em risco significa que a classificação é dinâmica: muda quando o perfil muda, não quando alguém lembra de olhar.
Sinal 2: os critérios de risco vivem em planilhas ou na cabeça dos analistas
Se os critérios que definem “risco alto” não estão traduzidos em regras executáveis em um sistema, dois analistas diferentes vão classificar o mesmo cliente de formas diferentes. Isso não é ABR. É julgamento individual não rastreável.
O que vemos nos clientes é que a dependência de planilhas e de conhecimento tácito é o principal gargalo que impede a ABR de escalar. Quando o volume cresce 3x, o processo colapsa porque não foi construído para rodar sem intervenção humana constante.
Sinal 3: Não existe trilha de auditoria das decisões de risco
Uma ABR auditável precisa responder, para qualquer decisão tomada: quem decidiu, com base em quais dados, em qual momento, e qual foi o resultado.
Sem isso, em uma auditoria regulatória, você tem uma política bonita e nenhuma evidência de que ela foi aplicada. A Circular BACEN 3.978/2020 e as normas do COAF são explícitas neste ponto: não basta ter o processo, é preciso provar que ele funcionou.
Sinal 4: O apetite de risco não está traduzido em regras operacionais
O apetite de risco é uma declaração estratégica. “Não aceitamos clientes com vínculos com jurisdições de alto risco” é uma intenção. Para que ela funcione como ABR, precisa estar traduzida em: quais jurisdições, como essa verificação é feita, o que acontece quando um cliente é identificado com esse vínculo, quem aprova exceções e em qual prazo.
Se essa cadeia não existe em um motor de decisão configurável, cada analista vai interpretar a política à sua maneira. O resultado é inconsistência sistemática que, em uma auditoria, parece ausência de processo.
Sinal 5: o volume cresceu, o processo não
Esse é o sinal mais objetivo de todos. Se o seu time de compliance está com fila crescente de análises, se os prazos de onboarding estão aumentando, se há reclamações internas sobre tempo de resposta em due diligence: o processo não está acompanhando o crescimento do negócio.
Uma ABR funcional escala sem ser proporcional ao headcount. Quando a única forma de processar mais é contratar mais, o modelo está quebrado.
Na Top 5 Montadora Mundial que a VAAS atende, havia uma fila de 6 meses de análises atrasadas antes da implementação. O processo existia. Não escalava. Após a automação, 500 análises por mês passaram a ser processadas automaticamente, com +250 horas mensais economizadas e fila zerada.
O que uma ABR funcional precisa ter na prática
1. Matriz de risco operacionalizada: os critérios de classificação traduzidos em variáveis mensuráveis, com pesos definidos e regras configuradas em sistema. Não em documento.
2. Monitoramento contínuo: a classificação de risco não é estática. Eventos como inclusão em listas de sanções, abertura de processos judiciais, ou mudanças societárias precisam atualizar o perfil de risco automaticamente.
3. Proporcionalidade auditável: a profundidade dos controles aplicados precisa ser rastreável e proporcional ao risco classificado. Clientes de alto risco recebem due diligence aprofundada. Clientes de baixo risco passam por fluxo simplificado. Ambos com trilha de decisão registrada.
4. Capacidade de escalar sem depender de headcount: o processo precisa funcionar com o mesmo rigor para 100 ou 10.000 análises por mês. Isso só é possível com automação e motor de decisão no-code que o time de compliance consegue ajustar sem depender de TI.
O custo real de uma ABR que existe só no papel
O risco mais óbvio é regulatório: multas, sanções, intervenções do BACEN, COAF ou SUSEP. Mas o custo operacional que ninguém mede costuma ser maior.
Considere o que acontece quando a ABR não opera automaticamente:
- Cada análise manual consome entre 20 e 90 minutos de um analista sênior.
- Erros de classificação geram retrabalho e, em casos graves, exposição a clientes de alto risco que deveriam ter sido barrados.
- A inconsistência nas decisões cria passivo regulatório difícil de defender em auditoria.
- O crescimento do negócio fica limitado pela capacidade da equipe de compliance, não pela demanda do mercado.
Na NovaDax, 56% dos casos eram analisados manualmente antes da VAAS, com 30 minutos por caso. Após a implementação, 95% das análises passaram a ser automáticas, com apenas 3% indo para mesa de decisão. Resultado: 675 horas por mês recuperadas e +2.000 usuários de alto risco detectados que o processo manual não estava capturando.
A pergunta que realmente importa aqui não é quanto custa implementar uma ABR funcional. É quanto está custando operar sem uma.
Como a VAAS operacionaliza a ABR em escala
A VAAS não é uma ferramenta de compliance. É a infraestrutura que transforma a política de ABR em processo operacional.
Na prática, isso significa:
- Motor de decisão no-code: o time de compliance configura e ajusta regras de risco sem abrir ticket para TI. A matriz de risco vira fluxo executável em dias, não meses.
- +1.400 variáveis de risco prontas e +40 bureaus integrados em um único ambiente. Sem necessidade de integrar APIs individualmente.
- Monitoramento contínuo: clientes, fornecedores e colaboradores são reavaliados automaticamente quando eventos relevantes ocorrem. A classificação de risco se mantém atual, não apenas no onboarding.
- Mesa de Decisão com trilha de auditoria completa: cada decisão registrada, rastreável e exportável para fins regulatórios.
- Agentes de IA para análise de documentos, contratos e planilhas com 99% de precisão, eliminando esforço manual em extração de dados.
Um dos maiores gestores de investimentos do Brasil processava 1.500 análises KYB por mês de forma manual, com 90 minutos por caso. Com a VAAS, 37% das aprovações passaram a ser automáticas e o tempo dos casos manuais caiu para 15 minutos, redução de 83%. Resultado: +2.080 horas economizadas por mês.
Se você identificou dois ou mais dos cinco sinais neste artigo na sua operação, o próximo passo é um diagnóstico. Não uma proposta comercial: um mapeamento do gap entre a política que você tem e o processo que você precisa.
Perguntas frequentes sobre PLD/FT
O que é abordagem baseada em risco (ABR)?
Abordagem baseada em risco é o método pelo qual uma organização identifica, avalia e monitora riscos de forma proporcional à exposição real de cada cliente, fornecedor ou transação. Em vez de aplicar controles uniformes, a ABR concentra esforço e rigor onde o risco é mais alto. O conceito é exigido pelo BACEN (Circular 3.978/2020), SUSEP e COAF para setores regulados no Brasil.
Qual a diferença entre ter a política de ABR e ter o processo funcionando?
Uma política de ABR descreve intenções. Um processo de ABR executa decisões com critérios objetivos, trilha de auditoria e monitoramento contínuo. A maioria das empresas tem a política documentada, mas as decisões de risco ainda dependem de analistas, planilhas e julgamento individual, o que torna o processo inconsistente e impossível de auditar em escala.
Como saber se minha empresa realmente tem ABR implementada?
O teste mais direto é a trilha de auditoria. Para qualquer decisão de risco, você consegue responder quem classificou, com base em quais dados e em qual data? Se a resposta depende de localizar uma planilha ou perguntar a um analista específico, a ABR está documentada mas não está operando na prática.
ABR é obrigatória para empresas fora do setor financeiro?
A obrigatoriedade formal é setorial: BACEN para instituições financeiras, SUSEP para seguradoras, CVM para o mercado de capitais. Empresas fora desses setores adotam ABR como boa prática de gestão de risco, especialmente em due diligence de fornecedores com exposição a ESG, sanções internacionais e trabalho escravo.
Quais são os sinais de que a ABR não está funcionando na prática?
Os cinco principais sinais são: classificação de risco feita apenas no onboarding e nunca atualizada; critérios de risco em planilhas sem regras executáveis em sistema; ausência de trilha de auditoria das decisões; apetite de risco não traduzido em regras operacionais; e crescimento do volume de análises sem capacidade de escalar o processo.
