Ganhos competitivos com adoção de tecnologias dependem da qualidade dos dados e da sinergia com os objetivos do negócio
Em um universo cada vez mais orientado a dados e a tecnologias disruptivas, questões relativas à governança e gestão de risco se fazem ainda mais presentes no mercado corporativo. De acordo com um estudo da consultoria Gartner, os investimentos das empresas em digitalização dos dados devem chegar a US$ 3,9 trilhões em 2020, sendo que grande parte desse esforço financeiro será destinado a ferramentas tecnológicas que auxiliem a transformação e a gestão digital.
No Brasil, os mercados securitário e financeiro são considerados pioneiros na adoção de tecnologias em risk management, como inteligência artificial (IA) e machine learning, principalmente nas áreas de crédito e riscos, aplicadas em métodos quantitativos para previsão ou resposta a cenários de exposição ao risco. Tal (quase) maturidade, no entanto, não é observada em ramos sem direta relação com o risco de mercado ou crédito, uma constatação que precisa ser modificada.
Uma vez que as organizações estão cientes do valor fornecido aos negócios por meio da obtenção de dados, aquelas que nunca cuidaram da qualidade das informações que armazenam ou capturam durante a cadeia de processos estão em grande desvantagem. De acordo com Thiago Labliuk, COO & principal innovation da Bravo GRC, a falta de qualificação dos dados pode inviabilizar iniciativas de análise e o avanço da implementação de tecnologias na gestão de risco.
“Acredito que muitas empresas já decidiram ter uma abordagem de dados, e agora precisam se conhecer melhor e cuidar dos dados internos. De forma geral, a própria transformação da cadeia de valor para fazer negócios está em processo de transformação. Por este motivo, podemos afirmar que estamos em um processo de experimentação de forma geral, e não em um cenário de maturidade adequada”, afirma.
Ainda segundo Labliuk, para além das áreas de risco de mercado ou crédito, o departamento de risco operacional não acompanha a mesma sofisticação de seus pares, seja por “comodismo de aceitar que as contingências judiciais representam o tema, e nunca se investiu em telemetria e análise do backoffice”, seja porque há ainda um processo de experimentação dos métodos quantitativos pelas empresas, geralmente devido à ausência de dados qualificados, como já citado, e à falta de perguntas claras a serem respondidas pelas áreas de risco, o que pode levar a iniciativas de monitoramento contínuo sem um propósito claro.
Na era da personalização atual, em que produtos são segmentados de acordo com os desejos e necessidades de cada consumidor, a gestão dessas informações com o olhar de potenciais ameaças ao negócio é fundamental. Segundo o COO da Bravo GRC, a velocidade do consumo é a mesma para fraudes ou para o surgimento da reputação negativa.
“Pensar na transformação do business para um aplicativo e não se atentar na revisão de um backoffice seguro e controlado pode aumentar a velocidade da sensação de transformação, mas, na realidade, é um caminho na direção da ineficiência e de perdas”, diz Labliuk. Por isso, a abordagem tecnológica precisa ser desenvolvida lado a lado a de risk management das empresas.
Empresas brasileiras imersas na aplicação de tecnologias em suas gestões de risco buscam maximizar sua presença estratégica e aproximação ao core business. Alguns exemplos de aplicações de recursos de IA são:
– Monitoramento do arcabouço regulatório para otimização do processo de qualificação e avaliação de impacto interno nos processos, frente a uma mudança ou nova exigência regulatória;
– Identificação de sentimento dos canais de atendimento para antecipação de problemas nos processos internos ou produto;
– Antecipação de problemas de indisponibilidade de soluções que sustentem o negócio, seja pelo monitoramento de incidentes de TI, simulações ou monitoramento de pares de mercado;
– Monitoramento massificado de acessos dos sistemas internos, para identificação e correção de conflitos de interesse;
– Monitoramento do pessoal de campo, para otimização de pessoal, seguros contratados, benefícios, equipamento;
– Identificação de comportamentos inadequados no back office para captura de fraudes internas, seja em transações financeiras, logística, depósito, falhas de produtos, concessão de crédito etc.
“Se formos avaliar como estes exemplos eram feitos, é muito provável encontrarmos um processo de auditoria interna, baseada em amostra e manual, então depende muito da visão do negócio em se contentar com uma observância limitada, seja por escopo ou capacidade de análise e tempo de resposta”, pondera o executivo.
Embora a adoção de IA ou machine learning não signifique um ganho competitivo por si só, ela deve aprimorar os sistemas de identificação de riscos e, por consequência, auxiliar na eficiência e na questão ética e reputacional.
“Hoje, estar em compliance gera admiração e confiança de clientes, funcionários, sociedade e investidores. Ser confiável é a moeda da vez, seja pela segurança, disponibilidade, assertividade na oferta de serviços e respeito à privacidade. É ser humano em meio a um contexto frio de dados. E isso gera empatia e fidelidade”, decreta Labliuk.
Todavia, ainda há desafios para áreas de risk management na implementação dessas inovações. Uma das maiores é a falta de sinergia do monitoramento proposto com os objetivos do negócio, fazendo com que esses esforços quase nunca façam parte do dia a dia do gestor – só diante de resultados efetivos que a alta liderança costuma apoiar certas adoções, como a otimização da cadeia de valor, entregas melhores, crescimento da satisfação de clientes etc.
Outra barreira está na comunicação entre as áreas e as lideranças, segundo Labliuk: “vejo muitos conflitos na falta de clareza que alguns gestores de TI insistem, para justificar erros ou falta de visão sobre o que está sendo investido. Os conselhos precisam de apoio técnico independente para que perguntas difíceis e técnicas sejam feitas, para que seja cobrada maior responsabilidade daqueles gestores que não conseguem apoiar o negócio nas tomadas de decisão e insistem em colocar a culpa nas soluções, em vez de refletir sobre sua própria incapacidade de trazer resultados”.
De acordo com a consultoria EY, é por meio de um gerenciamento de risco sólido de modelos de IA e machine learning que há inovação responsável. Para isso, a estrutura de governança apropriada precisa acompanhar todo o ciclo de vida do modelo a ser implementado, mostrando sua capacidade de cobrir novos riscos que possam surgir. Para isso, há quatro etapas para a adoção dessas tecnologias:
– Desenvolvimento de uma definição de modelo de IA/ML para toda a empresa, de forma a identificar riscos dessas tecnologias;
– Melhoria da gestão de risco existente e das estruturas de controle para lidar com riscos específicos de IA;
– Implementação de um modelo operacional para adoção responsável das tecnologias;
– Investimento em recursos que suportam a adoção das tecnologias em gestão de risco.
Confira outros textos sobre GRC no Fórum Governança 4.0.”