A Importância da Política de Crédito: Como Transformá-la em um Diferencial Competitivo
Aprenda a importância da política de crédito para empresas e como transformá-la em um diferencial competitivo. Descubra como a VAAS pode ajudar a...
Toda empresa regulada no Brasil tem uma política de abordagem baseada em risco. Está no manual de compliance, foi aprovada pela diretoria, passou pelo jurídico. O problema é que política não é process
Toda empresa regulada no Brasil tem uma política de abordagem baseada em risco. Está no manual de compliance, foi aprovada pela diretoria, passou pelo jurídico.
O problema é que política não é processo. E processo no papel não é processo funcionando.
Na prática, o que vemos na maioria das operações é o seguinte: a ABR existe como documento. As decisões de risco continuam sendo tomadas por intuição, planilha ou memória institucional de um analista específico. Quando esse analista sai, o processo vai junto.
Se você chegou até este artigo, provavelmente está em um desses dois momentos: acabou de receber uma demanda regulatória ou está percebendo que seu processo atual não vai escalar. Em ambos os casos, o diagnóstico abaixo é para você.
Abordagem baseada em risco (ABR) é o método pelo qual uma organização identifica, avalia, prioriza e monitora riscos de forma proporcional à sua exposição real, em vez de aplicar controles uniformes para todos os clientes, fornecedores ou transações.
O conceito vem do GAFI/FATF e está incorporado na regulação brasileira: Circular BACEN 3.978/2020 para instituições financeiras, SUSEP para seguradoras, Marco Legal dos Criptoativos para exchanges, e referenciado em praticamente toda norma de PLD/FT e KYC emitida nos últimos cinco anos.
Na prática, uma ABR funcional responde a três perguntas com dados, não com julgamento:
Se qualquer uma dessas perguntas é respondida com "depende do analista", a ABR não está operando. Está apenas documentada.
Uma política de ABR descreve intenções. Um processo de ABR executa decisões.
A confusão entre os dois é o erro mais comum que times de compliance cometem, e o mais perigoso. Porque quando um regulador audita, ele não quer ver o documento. Ele quer ver a trilha de decisão: quem classificou este cliente como risco médio, com base em quais dados, em qual data, e o que mudou desde então.
A tabela abaixo resume a diferença:
| Critério | ABR no papel | ABR funcionando |
| Classificação de risco | Feita na entrada, raramente revisada | Dinâmica, atualizada por eventos e monitoramento contínuo |
| Critérios de decisão | Documentados em política | Traduzidos em regras operacionais executáveis |
| Rastreabilidade | Inexistente ou manual | Trilha de auditoria automática por decisão |
| Escalabilidade | Depende de contratar mais analistas | Cresce com volume sem aumentar equipe proporcionalmente |
| Resposta a eventos | Reativa, após o fato | Proativa, por alertas e gatilhos configurados |
Um cliente classificado como risco baixo no onboarding pode ter acumulado processos judiciais, vínculos com PEPs, ou variações atípicas de comportamento transacional nos meses seguintes. Se o seu processo não monitora isso de forma contínua, a classificação de risco que você tem é uma fotografia de um momento que já passou.
Monitoramento contínuo baseado em risco significa que a classificação é dinâmica: muda quando o perfil muda, não quando alguém lembra de olhar.
Se os critérios que definem "risco alto" não estão traduzidos em regras executáveis em um sistema, dois analistas diferentes vão classificar o mesmo cliente de formas diferentes. Isso não é ABR. É julgamento individual não rastreável.
O que vemos nos clientes é que a dependência de planilhas e de conhecimento tácito é o principal gargalo que impede a ABR de escalar. Quando o volume cresce 3x, o processo colapsa porque não foi construído para rodar sem intervenção humana constante.
Uma ABR auditável precisa responder, para qualquer decisão tomada: quem decidiu, com base em quais dados, em qual momento, e qual foi o resultado.
Sem isso, em uma auditoria regulatória, você tem uma política bonita e nenhuma evidência de que ela foi aplicada. A Circular BACEN 3.978/2020 e as normas do COAF são explícitas neste ponto: não basta ter o processo, é preciso provar que ele funcionou.
O apetite de risco é uma declaração estratégica. "Não aceitamos clientes com vínculos com jurisdições de alto risco" é uma intenção. Para que ela funcione como ABR, precisa estar traduzida em: quais jurisdições, como essa verificação é feita, o que acontece quando um cliente é identificado com esse vínculo, quem aprova exceções e em qual prazo.
Se essa cadeia não existe em um motor de decisão configurável, cada analista vai interpretar a política à sua maneira. O resultado é inconsistência sistemática que, em uma auditoria, parece ausência de processo.
Esse é o sinal mais objetivo de todos. Se o seu time de compliance está com fila crescente de análises, se os prazos de onboarding estão aumentando, se há reclamações internas sobre tempo de resposta em due diligence: o processo não está acompanhando o crescimento do negócio.
Uma ABR funcional escala sem ser proporcional ao headcount. Quando a única forma de processar mais é contratar mais, o modelo está quebrado.
Na Top 5 Montadora Mundial que a VAAS atende, havia uma fila de 6 meses de análises atrasadas antes da implementação. O processo existia. Não escalava. Após a automação, 500 análises por mês passaram a ser processadas automaticamente, com +250 horas mensais economizadas e fila zerada.
1. Matriz de risco operacionalizada: os critérios de classificação traduzidos em variáveis mensuráveis, com pesos definidos e regras configuradas em sistema. Não em documento.
2. Monitoramento contínuo: a classificação de risco não é estática. Eventos como inclusão em listas de sanções, abertura de processos judiciais, ou mudanças societárias precisam atualizar o perfil de risco automaticamente.
3. Proporcionalidade auditável: a profundidade dos controles aplicados precisa ser rastreável e proporcional ao risco classificado. Clientes de alto risco recebem due diligence aprofundada. Clientes de baixo risco passam por fluxo simplificado. Ambos com trilha de decisão registrada.
4. Capacidade de escalar sem depender de headcount: o processo precisa funcionar com o mesmo rigor para 100 ou 10.000 análises por mês. Isso só é possível com automação e motor de decisão no-code que o time de compliance consegue ajustar sem depender de TI.
O risco mais óbvio é regulatório: multas, sanções, intervenções do BACEN, COAF ou SUSEP. Mas o custo operacional que ninguém mede costuma ser maior.
Considere o que acontece quando a ABR não opera automaticamente:
Na NovaDax, 56% dos casos eram analisados manualmente antes da VAAS, com 30 minutos por caso. Após a implementação, 95% das análises passaram a ser automáticas, com apenas 3% indo para mesa de decisão. Resultado: 675 horas por mês recuperadas e +2.000 usuários de alto risco detectados que o processo manual não estava capturando.
A pergunta que realmente importa aqui não é quanto custa implementar uma ABR funcional. É quanto está custando operar sem uma.
A VAAS não é uma ferramenta de compliance. É a infraestrutura que transforma a política de ABR em processo operacional.
Na prática, isso significa:
Um dos maiores gestores de investimentos do Brasil processava 1.500 análises KYB por mês de forma manual, com 90 minutos por caso. Com a VAAS, 37% das aprovações passaram a ser automáticas e o tempo dos casos manuais caiu para 15 minutos, redução de 83%. Resultado: +2.080 horas economizadas por mês.
Se você identificou dois ou mais dos cinco sinais neste artigo na sua operação, o próximo passo é um diagnóstico. Não uma proposta comercial: um mapeamento do gap entre a política que você tem e o processo que você precisa.
Abordagem baseada em risco é o método pelo qual uma organização identifica, avalia e monitora riscos de forma proporcional à exposição real de cada cliente, fornecedor ou transação. Em vez de aplicar controles uniformes, a ABR concentra esforço e rigor onde o risco é mais alto. O conceito é exigido pelo BACEN (Circular 3.978/2020), SUSEP e COAF para setores regulados no Brasil.
Uma política de ABR descreve intenções. Um processo de ABR executa decisões com critérios objetivos, trilha de auditoria e monitoramento contínuo. A maioria das empresas tem a política documentada, mas as decisões de risco ainda dependem de analistas, planilhas e julgamento individual, o que torna o processo inconsistente e impossível de auditar em escala.
O teste mais direto é a trilha de auditoria. Para qualquer decisão de risco, você consegue responder quem classificou, com base em quais dados e em qual data? Se a resposta depende de localizar uma planilha ou perguntar a um analista específico, a ABR está documentada mas não está operando na prática.
A obrigatoriedade formal é setorial: BACEN para instituições financeiras, SUSEP para seguradoras, CVM para o mercado de capitais. Empresas fora desses setores adotam ABR como boa prática de gestão de risco, especialmente em due diligence de fornecedores com exposição a ESG, sanções internacionais e trabalho escravo.
Os cinco principais sinais são: classificação de risco feita apenas no onboarding e nunca atualizada; critérios de risco em planilhas sem regras executáveis em sistema; ausência de trilha de auditoria das decisões; apetite de risco não traduzido em regras operacionais; e crescimento do volume de análises sem capacidade de escalar o processo.
Abordagem baseada em risco é o método pelo qual uma organização identifica, avalia e monitora riscos de forma proporcional à exposição real de cada cliente, fornecedor ou transação. Em vez de aplicar controles uniformes, a ABR concentra esforço e rigor onde o risco é mais alto. O conceito é exigido pelo BACEN (Circular 3.978/2020), SUSEP e COAF para setores regulados no Brasil.
Uma política de ABR descreve intenções. Um processo de ABR executa decisões com critérios objetivos, trilha de auditoria e monitoramento contínuo. A maioria das empresas tem a política documentada, mas as decisões de risco ainda dependem de analistas, planilhas e julgamento individual, o que torna o processo inconsistente e impossível de auditar em escala.
O teste mais direto é a trilha de auditoria. Para qualquer decisão de risco, você consegue responder quem classificou, com base em quais dados e em qual data? Se a resposta depende de localizar uma planilha ou perguntar a um analista específico, a ABR está documentada mas não está operando na prática.
A obrigatoriedade formal é setorial: BACEN para instituições financeiras, SUSEP para seguradoras, CVM para o mercado de capitais. Empresas fora desses setores adotam ABR como boa prática de gestão de risco, especialmente em due diligence de fornecedores com exposição a ESG, sanções internacionais e trabalho escravo.
Os cinco principais sinais são: classificação de risco feita apenas no onboarding e nunca atualizada; critérios de risco em planilhas sem regras executáveis em sistema; ausência de trilha de auditoria das decisões; apetite de risco não traduzido em regras operacionais; e crescimento do volume de análises sem capacidade de escalar o processo.

Aprenda a importância da política de crédito para empresas e como transformá-la em um diferencial competitivo. Descubra como a VAAS pode ajudar a...
PLD/FT é o conjunto de políticas e controles que uma organização adota para prevenir a lavagem de dinheiro e o financiamento do terrorismo. Neste...
Aprenda a importância da política de crédito para empresas e como transformá-la em um diferencial competitivo. Descubra como a VAAS pode ajudar a...
A VAAS é uma empresa especializada em soluções de compliance e gestão de riscos, oferecendo ferramentas avançadas que permitem a automatização e otimização de processos críticos. Com foco em tecnologias inteligentes, a VAAS auxilia empresas a garantir a conformidade regulatória, proteger suas operações contra crimes financeiros e tomar decisões informadas, minimizando riscos e maximizando a segurança.