O mercado financeiro brasileiro passou os últimos anos construindo estruturas de compliance. Agora enfrenta uma pergunta mais exigente: essas estruturas são efetivas? E, se são, onde estão as evidências?
Durante muito tempo, a discussão gravitou em torno da existência, por si, de mapeamento de riscos, políticas, códigos de conduta e treinamentos periódicos. Esses elementos continuam indispensáveis. Todavia, o amadurecimento regulatório deslocou o eixo da exigência: já não basta demonstrar a existência de mecanismos de conformidade. É preciso evidenciar que eles funcionam.
A distinção parece sutil. Na prática, é o que separa instituições resilientes de instituições vulneráveis.
Quem está no escopo
Esse universo é bem mais amplo. Além de bancos tradicionais, securitizadoras, FIDCs, fintechs de crédito, Sociedades de Crédito Direto (SCD), Sociedades de Empréstimo entre Pessoas (SEP), gestores e administradores de recursos, distribuidoras, corretoras e empresas especializadas na administração de carteiras e cobrança de recebíveis — qualquer agente submetido à supervisão do Banco Central ou da CVM compartilha o mesmo desafio central: demonstrar que conhece seus riscos e que mantém estruturas adequadas para identificá-los, monitórá-los e mitigá-los de forma consistente.
O tamanho da instituição importa para definir a proporcionalidade dos controles. Mas não importa para decidir se eles são exigíveis.
O que o regulatório vigente efetivamente exige
A Lei nº 9.613/1998 consolidou no Brasil a lógica da atuação baseada em risco na prevenção à lavagem de dinheiro e ao financiamento do terrorismo. Desde então, o arcabouço regulatório se densificou de forma consistente: resoluções do CMN, do Banco Central e da CVM estabelecem obrigações específicas de identificação, avaliação, monitoramento e tratamento de riscos, com exigências calibradas à natureza e à complexidade de cada tipo de instituição e atividade.
Mas a agenda contemporânea foi muito além da PLD/FT. Gestão de terceiros, conflitos de interesses, verificação de adequação de produtos ao perfil do cliente, dever fiduciário, segurança da informação, segregação de funções, supervisão de atividades críticas e rastreabilidade de decisões passaram a integrar, de forma permanente, o cotidiano regulatório das instituições financeiras. Nenhum desses temas existe de forma isolada. O que os conecta é sempre a mesma exigência: controles internos que funcionem e possam ser demonstrados.
O que falha quando tudo parece estar em ordem
A observação atenta de estruturas de compliance em diferentes tipos de instituição revela um ponto de atenção.
Os procedimentos existem. As áreas conhecem seus fluxos. As atividades críticas são executadas. O ponto de fragilidade, contudo, quase sempre reside na camada menos visível da governança: a formalização dos controles, a produção de evidências e a capacidade de demonstrar que o processo ocorreu exatamente como deveria.
Quem realizou a diligência? Quem aprovou a exceção? Onde está registrada a justificativa? Qual foi o critério adotado para a classificação de risco de um terceiro? O controle é testado periodicamente? A instituição conseguiria reconstruir sua trilha decisória meses depois?
São perguntas simples. E, com frequência, é exatamente aí que a diferença entre estruturas maduras e estruturas vulneráveis se revela.
A percepção que se consolida ao longo do tempo acompanhando esse ambiente é direta: o que diferencia instituições resilientes de instituições expostas raramente está na qualidade dos discursos institucionais. Está na disciplina dos processos, na consistência dos registros e na capacidade de demonstrar que aquilo que deveria ter acontecido efetivamente aconteceu.
O valor das multas é relevante. Mas o dano real começa antes: na perda de credibilidade perante investidores, na retração de parceiros e no esforço desproporcional que uma instituição sem evidências precisa fazer para responder a uma inspeção que deveria ser rotina. Quem já esteve nessa posição sabe: remediar sempre sai mais caro do que prevenir.
Boas práticas precisam deixar de ser intenções e tornar-se processos. Processos precisam gerar registros e rastreabilidade. E evidências consistentes — testadas, supervisionadas e aperfeiçoadas — são o que, em última análise, se converte em governança.
Por: Karyna Gaya, Sócia | Compliance, Direito Digital & Novos Negócios.
Sócia | Compliance, Direito Digital & Novos Negócios
Mais de 25 anos de atuação no cenário nacional da advocacia empresarial.
Possui ampla experiência jurídica corporativa, tendo assessorado empresas nacionais e multinacionais na indústria, no varejo, assim como nos mercados da educação, energia e tecnologia.
Responsável pela implantação de programas de compliance e proteção de dados, conta ainda com experiência nas posições de Chief Compliance Officer e Data Protection Officer.
Além de manter sua atuação na advocacia, juntamente com sua equipe, leciona em cursos de pós-graduação da Unifor, como professora convidada.
Graduação pela Universidade Federal do Ceará – UFC
Especialista em Direito Empresarial pela PUC/SP
Especialista em Direito Processual Civil pela Universidade de Fortaleza – UNIFOR
MBA em Governança Corporativa pelo BI International e extensão pela Babson College, EUA
Certificação CPC-A em Compliance e Anticorrupção pela LEC/FGV
©2026 – Imaculada Gordiano Sociedade de Advogados – Todos os direitos reservados. Política de privacidade.
