A Ascensão da IA na Gestão de Riscos

A inteligência artificial está se aprofundando cada vez mais nas funções de risco dos bancos e instituições financeiras. Ela é capaz de analisar mais transações, detectar padrões incomuns e atualizar avaliações mais rapidamente do que os sistemas convencionais. A Accenture relata que as empresas financeiras que utilizam IA alcançaram ganhos de eficiência operacional de 20%. No entanto, uma análise mais rápida não significa necessariamente um melhor controle. A qualidade do resultado ainda depende dos dados, das premissas e das pessoas por trás do modelo.

A gestão de riscos sempre envolveu informações incompletas. Os bancos precisam decidir quais mutuários têm maior probabilidade de pagar, quais transações exigem investigação e como as carteiras podem se comportar diante de mudanças nas condições de mercado.

Tradicionalmente, essas decisões baseavam-se em modelos estatísticos, regras estabelecidas e no julgamento de funcionários experientes. Essa abordagem continua sendo importante, mas está se tornando cada vez mais difícil de aplicar na escala e na velocidade exigidas pelo setor financeiro moderno.

Atualmente, as instituições processam um grande número de pagamentos, posições de mercado e registros de clientes. Os riscos podem surgir em diferentes sistemas e jurisdições, muitas vezes antes mesmo de se tornarem visíveis nos relatórios convencionais.

A IA oferece uma maneira de analisar esses sinais em conjunto. Ela é capaz de identificar anomalias, comparar comportamentos em grandes conjuntos de dados e direcionar a atenção humana para casos que merecem uma análise mais detalhada.

Seu principal valor não é a previsão. É a capacidade de pesquisar de forma mais abrangente e responder com maior rapidez.

De regras fixas a padrões em constante mudança

Os sistemas tradicionais de avaliação de risco costumam funcionar com base em limites predefinidos. Uma transação acima de um determinado valor pode acionar uma análise. Um tomador de empréstimo com determinadas características financeiras pode receber uma classificação de crédito específica.

Essas regras são transparentes e relativamente fáceis de auditar. Elas também podem ser inflexíveis.

Os fraudadores adaptam seu comportamento para contornar os controles conhecidos. As relações de mercado mudam. Uma transação que, isoladamente, parece inofensiva pode se tornar suspeita quando comparada a um padrão mais amplo de atividades.

Os modelos de aprendizado de máquina podem analisar essas relações sem depender exclusivamente de regras fixas. Eles podem detectar mudanças sutis no comportamento de pagamento, no acesso às contas ou nas redes de transações que seriam difíceis de identificar manualmente.

O mesmo princípio se aplica ao risco de crédito e ao risco de mercado. A IA é capaz de processar uma gama mais ampla de variáveis e atualizar as avaliações à medida que novas informações são disponibilizadas.

Isso cria um sistema mais ágil. Além disso, torna a supervisão mais exigente, especialmente quando o modelo não consegue explicar suas conclusões com clareza.

O JPMorgan demonstra a vantagem da escala

O JPMorgan Chase tem investido fortemente em inteligência artificial nas áreas de negociação, conformidade, detecção de fraudes e risco operacional.

Para um banco desse porte, o atrativo é evidente. Mesmo melhorias modestas na velocidade ou na precisão da análise de risco podem gerar economias substanciais quando aplicadas a milhões de transações e relacionamentos com clientes.

Ferramentas baseadas em IA podem ajudar os funcionários a identificar atividades incomuns, analisar documentos e priorizar alertas. Elas também podem reduzir o tempo gasto em investigações repetitivas que, no fim das contas, não revelam nenhum problema.

Isso não significa que as decisões sobre riscos sejam delegadas inteiramente às máquinas. Os casos de maior risco ainda exigem interpretação, evidências de apoio e julgamento documentado.

A experiência do JPMorgan reflete uma tendência mais ampla do setor. As grandes instituições estão utilizando a IA para fortalecer os sistemas de controle existentes, em vez de substituir os departamentos de risco por modelos autônomos.

A tecnologia se torna mais útil quando ajuda os especialistas a decidir onde procurar.

A adoção se espalha por todo o setor

Uma pesquisa da Deloitte revelou que 76% das instituições financeiras estavam investindo em IA para aprimorar suas capacidades de gestão de riscos.

A adoção abrange os riscos de crédito, de mercado, de liquidez, operacional e de conformidade. O estágio de desenvolvimento dessas aplicações varia consideravelmente.

A detecção de fraudes está entre os casos de uso mais consolidados, pois as instituições já dispõem de grandes volumes de dados de transações e podem comparar os alertas gerados pelo modelo com resultados conhecidos.

A avaliação de crédito é mais complexa. A IA pode incorporar informações sobre fluxo de caixa, histórico de pagamentos e outras variáveis que os sistemas tradicionais de pontuação não levam em conta. Isso pode proporcionar uma visão mais detalhada do tomador de empréstimo.

Isso também pode tornar as decisões mais difíceis de explicar.

Os modelos de risco de mercado enfrentam um desafio diferente. Eles podem identificar correlações entre títulos e classes de ativos, mas as relações históricas costumam enfraquecer-se durante períodos de tensão.

As aplicações relacionadas ao risco operacional vão desde o monitoramento da segurança cibernética até a análise de processos internos. Nesse contexto, a IA pode detectar atividades incomuns no sistema, comportamentos anormais dos funcionários ou concentrações de transações com falha.

Não existe um único sistema de gestão de riscos de IA. O termo abrange uma variedade de ferramentas que abordam problemas muito diferentes.

As empresas menores obtêm acesso por meio de provedores

O uso da IA não se limita aos bancos globais.

As empresas de fintech e as instituições financeiras de menor porte podem obter ferramentas de gestão de risco por meio de plataformas em nuvem e de fornecedores especializados em tecnologia. Isso reduz o custo da detecção de fraudes, da verificação de identidade e da análise de dados.

A Plaid, por exemplo, utiliza sistemas automatizados para garantir a segurança dos dados e identificar atividades potencialmente fraudulentas nas transações financeiras.

As plataformas externas proporcionam às instituições menores acesso a recursos que elas não teriam condições de desenvolver internamente. Elas também criam novas dependências.

Uma empresa pode terceirizar a tecnologia, mas não pode terceirizar a responsabilidade. Ela precisa entender quais dados o provedor utiliza, como o sistema é testado e o que acontece quando o serviço falha.

A concentração de fornecedores é, por si só, um risco. Se muitas instituições dependem dos mesmos modelos ou da mesma infraestrutura, uma falha técnica poderia afetar simultaneamente grande parte do sistema financeiro.

A conveniência deve, portanto, ser equilibrada com o controle.

A previsão tem limites claros

A análise preditiva é frequentemente apresentada como a principal vantagem da gestão de riscos com IA.

Os modelos podem estimar a probabilidade de inadimplência, fraude ou perda de mercado por meio da análise de resultados anteriores. À medida que novos dados são disponibilizados, essas estimativas podem ser atualizadas.

O processo é útil, mas a linguagem da previsão pode gerar uma falsa confiança.

O risco financeiro raramente surge em condições estáveis. O comportamento dos tomadores de empréstimo muda durante as recessões. A liquidez do mercado pode desaparecer rapidamente. Decisões políticas, ataques cibernéticos e desastres naturais podem gerar eventos que estão mal representados nos dados históricos.

Um modelo pode apresentar bom desempenho em condições normais e falhar justamente quando seu resultado é mais importante.

Por esse motivo, a IA deve complementar, e não substituir, a análise de cenários e os testes de estresse. As instituições devem examinar o que poderia ocorrer fora da faixa de resultados que o modelo considera prováveis.

A gestão de riscos não se refere apenas à probabilidade, mas também às consequências.

A automação libera capacidade, mas pode ocultar pontos fracos

A IA pode automatizar partes do processo de coleta de dados, classificação de alertas, documentação e elaboração de relatórios.

Isso permite que os profissionais da área de risco dediquem mais tempo a investigações complexas e questões estratégicas. Também pode reduzir as inconsistências que surgem quando as verificações de rotina são realizadas manualmente.

O ganho de eficiência é atraente. A Accenture relata melhorias de 20% entre empresas do setor financeiro que utilizam tecnologias de IA.

Mas a automação pode ocultar processos deficientes.

Se um modelo for treinado com base em classificações imprecisas, ele poderá reproduzi-las com maior eficiência. Se diferentes departamentos utilizarem dados inconsistentes sobre clientes ou transações, um processamento mais rápido não resolverá o problema subjacente.

As instituições também podem se tornar menos capazes de funcionar sem sistemas automatizados. Funcionários que raramente realizam uma tarefa manualmente podem ter dificuldade em perceber quando a tecnologia falha.

A resiliência exige a capacidade de desafiar o sistema, e não apenas de usá-lo.

Os modelos de risco refletem as decisões humanas

A inteligência artificial é, por vezes, descrita como mais objetiva do que o julgamento humano. Na prática, os modelos são construídos a partir de escolhas humanas.

Os desenvolvedores decidem quais dados incluir, quais resultados otimizar e como classificar as decisões anteriores. Essas escolhas afetam as conclusões do modelo.

No risco de crédito, os dados históricos podem refletir acesso desigual ao crédito ou tratamento diferenciado de grupos de clientes. Um modelo treinado com base nesses registros pode reproduzir esses padrões sem utilizar explicitamente características protegidas.

Os sistemas de detecção de fraudes podem gerar alertas desproporcionais para clientes cujas transações se diferenciam da maioria, mesmo quando suas atividades são legítimas.

O problema não é resolvido com a remoção de nomes ou informações demográficas. Outras variáveis podem servir como indicadores.

Portanto, as instituições precisam testar os resultados dos modelos em diferentes grupos de clientes e investigar as disparidades inexplicáveis.

Um sistema estatisticamente preciso ainda pode levar a decisões injustas, inadequadas ou difíceis de defender do ponto de vista jurídico.

A explicabilidade passa a ser uma questão regulatória

Modelos complexos podem gerar previsões robustas sem oferecer uma explicação simples de como chegaram a elas.

Isso é particularmente problemático quando uma decisão afeta um cliente. Um pedido de crédito recusado, uma transação bloqueada ou uma classificação de risco mais elevada podem exigir uma explicação compreensível.

Os órgãos reguladores e os órgãos de governança interna também precisam avaliar se os modelos operam dentro dos limites aprovados.

Algumas instituições podem, portanto, dar preferência a modelos mais simples em aplicações de alto risco, mesmo quando sistemas mais complexos oferecem uma precisão preditiva ligeiramente maior.

O dilema está entre desempenho e explicabilidade.

Nem todo modelo de IA precisa revelar todos os cálculos técnicos a todos os usuários. No entanto, as instituições devem ser capazes de descrever os fatores importantes por trás de uma decisão e demonstrar que o sistema foi testado.

É difícil governar com base em um resultado que não pode ser contestado.

A segurança de dados passa a fazer parte da gestão de riscos

Os sistemas de IA precisam de amplo acesso a informações financeiras, transacionais e pessoais.

Isso gera uma tensão evidente. A tecnologia tem como objetivo reduzir os riscos, mas a concentração e o processamento de dados confidenciais podem criar novas vulnerabilidades.

As instituições devem proteger as informações durante a coleta, o armazenamento e a análise. O acesso deve ser restrito, registrado e revisado regularmente.

Os provedores externos de IA exigem um escrutínio especial. As empresas precisam saber se seus dados são utilizados para treinar outros modelos, onde as informações são processadas e com que rapidez os incidentes devem ser comunicados.

Os ciberatacantes também podem tentar manipular sistemas de IA. Ao alterar os dados de entrada ou imitar um comportamento normal, eles podem tentar evitar serem detectados.

O próprio modelo pode, portanto, se tornar um alvo.

A segurança dos dados e a segurança dos modelos não podem ser tratadas como disciplinas distintas. Ambas fazem parte da estrutura mais ampla de gestão de riscos da instituição.

Os modelos precisam de supervisão contínua

Os sistemas de IA costumam ser descritos como capazes de aprender e se aperfeiçoar com o tempo. Esse processo deve ser gerenciado com cuidado.

Um modelo que se atualiza automaticamente, sem controles eficazes, pode se afastar de seu objetivo original. Mudanças nos dados podem alterar gradualmente a forma como ele classifica os riscos, mesmo quando não tenha sido tomada nenhuma decisão formal para revisar a metodologia.

As instituições precisam monitorar a precisão, os falsos positivos e as mudanças inesperadas no comportamento. O desempenho deve ser testado em diferentes condições de mercado e econômicas.

Alterações no modelo de material exigem documentação e aprovação. Os funcionários devem saber qual versão está em uso e em que ela difere das versões anteriores.

A validação independente continua sendo essencial. A equipe responsável pelo desenvolvimento de um modelo não deve ser a única a avaliar se ele funciona.

A aprendizagem contínua não substitui a governança contínua.

O julgamento humano concentra-se nas exceções

A IA mudará a divisão de tarefas nos departamentos de risco.

Os casos rotineiros podem, cada vez mais, ser processados automaticamente. Os funcionários se concentrarão nas exceções, nas situações ambíguas e nos riscos que não se enquadram nos padrões estabelecidos.

Isso torna o julgamento humano mais importante, e não menos.

Os casos encaminhados a especialistas costumam ser os mais complexos. Os funcionários devem compreender o modelo suficientemente bem para questionar suas conclusões e saber quando são necessárias evidências adicionais.

Eles também precisam de autoridade para ignorar as recomendações automáticas.

Um sistema que permite a intervenção humana apenas em teoria não oferece um controle significativo. As empresas devem monitorar com que frequência os funcionários discordam dos modelos e se enfrentam pressão para seguir os resultados gerados automaticamente.

O objetivo não é preservar o trabalho manual apenas por si só. Trata-se de garantir que as decisões de grande impacto continuem a ser justificáveis.

A IA também pode gerar risco sistêmico

A adoção de modelos semelhantes em todo o setor financeiro pode criar novas formas de exposição comum.

Se as instituições utilizarem dados e algoritmos comparáveis, elas poderão responder aos sinais do mercado de maneiras semelhantes. Em períodos de tensão, isso poderia intensificar as vendas, reduzir a liquidez ou provocar mudanças bruscas na disponibilidade de crédito.

Um modelo específico pode ser racional do ponto de vista de uma empresa, mas, ao mesmo tempo, contribuir para a instabilidade em todo o sistema.

A dependência de um número reduzido de provedores de serviços em nuvem e de tecnologia acarreta outro risco de concentração. Uma interrupção que afete um provedor importante poderia comprometer os controles de risco em várias instituições simultaneamente.

Os órgãos reguladores precisarão, portanto, ir além do desempenho de modelos individuais. Eles devem levar em conta como a IA altera o comportamento nas instituições e nos mercados.

Uma maior eficiência no nível das empresas não resulta automaticamente em maior resiliência no nível do sistema.

O valor potencial é substancial

A McKinsey estimou que a IA poderia gerar até $1 trilhão em valor anual para o setor bancário global.

Apenas uma parte desse valor virá diretamente da gestão de riscos. No entanto, uma melhor detecção de fraudes, custos de conformidade mais baixos e decisões de crédito mais precisas poderiam, ainda assim, dar uma contribuição significativa.

Os ganhos não surgirão simplesmente porque as instituições adquiram ferramentas de IA.

As empresas precisam de dados confiáveis, objetivos claros e funcionários capazes de utilizar os resultados dos modelos. Elas devem investir em testes, segurança e governança paralelamente ao desenvolvimento.

Algumas aplicações não conseguirão gerar o retorno prometido. Outras podem se mostrar difíceis demais de explicar ou sensíveis demais às mudanças nas condições.

Os líderes de risco devem, portanto, partir de problemas bem definidos, em vez de ambições genéricas. Um sistema projetado para reduzir alertas falsos de fraude pode ser avaliado com base em um resultado claro. Uma promessa genérica de “transformar a gestão de riscos”, por outro lado, não pode.

O investimento em IA deve ser avaliado pelo seu impacto nas decisões, e não pelo grau de sofisticação da tecnologia.

Avisos mais rápidos, não menos incertezas

É provável que a inteligência artificial se torne um componente padrão da gestão de riscos financeiros.

Ele é capaz de detectar padrões em grandes conjuntos de dados, automatizar controles de rotina e ajudar as instituições a reagirem com mais rapidez. Essas capacidades são valiosas em um sistema financeiro onde os riscos evoluem rapidamente e, muitas vezes, ultrapassam as fronteiras organizacionais.

Elas não tornam as instituições imunes ao erro.

Os modelos de IA podem interpretar erroneamente condições incomuns, reproduzir preconceitos históricos e criar dependências difíceis de serem percebidas. A rapidez com que geram resultados pode levar as empresas a depositar mais confiança nas previsões do que as evidências subjacentes justificam.

As estruturas de gestão de riscos mais sólidas combinarão análises automatizadas com revisão humana, validação independente e responsabilização clara.

A IA pode aprimorar o sistema de alerta. Ela não pode decidir quais riscos uma instituição deve aceitar, quanto de incerteza ela pode suportar ou qual ação continua sendo responsável quando os dados são inconclusivos.

Essas escolhas ainda pertencem às pessoas.