Como a IA generativa pode ajudar os bancos a gerir os riscos e a conformidade

A IA generativa (gen AI, na abreviação em inglês de “generative AI”) está bem-posicionada para ser uma catalisadora da próxima onda de ganhos de produtividade em todos os setores, entre eles o de serviços financeiros. Desde analytics de modelagem até a automação de tarefas manuais, passando pela síntese de conteúdo não estruturado, a tecnologia já está mudando a operação das áreas bancárias, inclusive a maneira pela qual as instituições financeiras fazem a gestão de riscos e mantêm a conformidade com os regulamentos.

É imperativo que as áreas de riscos e de conformidade coloquem barreiras de proteção em torno do uso da gen AI em uma organização. No entanto, a tecnologia pode ajudar as próprias áreas a aumentar sua eficiência e eficácia. Neste artigo, discutimos como os bancos podem desenvolver uma abordagem flexível e poderosa do uso da gen AI na gestão de riscos e conformidade e identificamos alguns aspectos essenciais que os líderes de área devem levar em consideração.

Aproveitar o potencial da gen AI

A gen AI tem o potencial de, nos próximos três a cinco anos, revolucionar a gestão de riscos pelos bancos. Isso pode permitir que as áreas façam uma transição de atividades orientadas por tarefas para parcerias com as linhas de negócios na prevenção de riscos estratégicos e para controles no início das novas jornadas do cliente, abordagem que costuma ser chamada de “virada à esquerda”. Essas medidas, por sua vez, liberariam profissionais da área de riscos para assessorar a empresa no desenvolvimento de novos produtos e nas decisões estratégicas de negócios, explorar tendências e cenários de riscos emergentes, aumentar a resiliência e melhorar proativamente os processos relacionados a riscos e controle.

Tais avanços podem levar à criação de centros de inteligência de riscos movidos a IA e gen AI que atendam a todas as linhas de defesa (LDs): negócios e operações, auditorias e as áreas de riscos e de conformidade. Um centro desse tipo permitiria a geração automatizada de relatórios, melhor transparência dos riscos e maior eficiência na tomada de decisões relacionadas a riscos, além de automação parcial da elaboração e atualização de políticas e procedimentos, de modo a refletirem as mudanças dos requisitos regulatórios. Ele atuaria como uma fonte confiável e eficiente de informações, permitindo a tomada de decisões embasadas, rápidas e corretas pelos gestores de riscos.

A título de exemplo, a McKinsey desenvolveu um especialista virtual baseado em gen AI que é capaz de dar respostas personalizadas com base em recursos e informações de propriedade da empresa. A área de riscos dos bancos e seus stakeholders podem desenvolver ferramentas semelhantes que fazem uma varredura das transações com outros bancos, de possíveis sinais de alerta, de notícias do mercado, de preços de ativos e de muito mais para fundamentar as decisões relacionadas aos riscos. Esses especialistas virtuais também podem coletar dados e analisar as avaliações de riscos climáticos para responder às perguntas das contrapartes.

Por fim, a gen AI pode promover uma melhor coordenação entre a primeira e a segunda LDs na organização, mantendo, ao mesmo tempo, a estrutura de governança de todas as três. Essa melhor coordenação propiciaria mecanismos aprimorados de monitoramento e controle, fortalecendo, assim, a estrutura de gestão de riscos da organização.

Aplicações emergentes da gen AI em riscos e conformidade

Das muitas aplicações promissoras da gen AI em instituições financeiras, há um conjunto de candidatas que os bancos estão explorando para uma primeira onda de adoção: conformidade regulatória, crimes financeiros, riscos de crédito, analytics de modelagem e dados, riscos cibernéticos e riscos climáticos. Em termos gerais, vemos aplicações da gen AI nas áreas de riscos e de conformidade através de três arquétipos de casos de uso.

Por meio de um especialista virtual, um usuário pode fazer uma pergunta e receber uma resposta resumida que é gerada a partir de documentos em versão longa e de dados não estruturados. Com a automação de processos manuais, a gen AI executa tarefas demoradas. Com a aceleração de código de computador, a gen AI atualiza ou traduz código antigo ou escreve código totalmente novo. Todos esses arquétipos podem desempenhar papéis nas principais responsabilidades das áreas de riscos e conformidade:

• Conformidade regulatória. As empresas estão usando a gen AI como especialista virtual em regulamentação e políticas treinando-a para responder a perguntas sobre políticas da empresa, diretrizes e regulamentos. A tecnologia também pode comparar políticas, regulamentos e procedimentos operacionais. Como aceleradora de código, ela pode verificar o código quanto a desalinhamento e lacunas de conformidade. Pode automatizar a verificação da conformidade regulatória e gerar alertas de possíveis violações.
• Crimes financeiros. A gen AI pode gerar relatórios de atividades suspeitas com base em informações de transações e de clientes. Também pode automatizar a criação e atualização das classificações de risco dos clientes de acordo com mudanças nos atributos de know your customer (“conheça seu cliente”). Ao gerar e aprimorar código de computador para detectar atividades suspeitas e analisar transações, a tecnologia pode melhorar o monitoramento destas últimas.
• Riscos de crédito. Ao resumir as informações dos clientes (por exemplo, transações com outros bancos) para embasar as decisões de crédito, a gen AI pode ajudar a acelerar todo o processo de crédito dos bancos. Após uma decisão de crédito, ela pode redigir o contrato e a nota de crédito. As instituições financeiras estão usando a tecnologia para gerar relatórios de riscos de crédito e extrair insights sobre os clientes a partir das notas de crédito. A gen AI pode gerar código para adquirir e analisar dados de crédito a fim de obter uma visão dos perfis de risco dos clientes e gerar estimativas de probabilidade de inadimplência e prejuízo por meio de modelos.
• Analytics de modelagem e dados. A gen AI pode acelerar a migração de linguagens de programação preexistentes – por exemplo, fazer a mudança de SAS e COBOL para Python. Também pode automatizar o monitoramento do desempenho dos modelos e gerar alertas se as métricas ficarem fora dos níveis de tolerância. As empresas também estão usando a gen AI para elaborar a documentação dos modelos e os relatórios de validação.
• Riscos cibernéticos. Ao verificar as vulnerabilidades da segurança cibernética, a gen AI pode usar linguagem natural na geração de código para regras de detecção e acelerar o desenvolvimento de código seguro. Pode ser útil em “red teaming” (simulação de estratégias de adversários e teste de situações de ataque). A tecnologia também pode atuar como especialista virtual para investigar dados de segurança. Pode tornar a detecção de riscos mais inteligente, acelerando e agregando tendências e insights de segurança relacionados a eventos de segurança e anomalias de comportamento.
• Riscos climáticos. Como aceleradora de código, a gen AI pode sugerir trechos de código, facilitar o teste de unidades e auxiliar na visualização de riscos físicos com mapas de alta resolução. Pode automatizar a coleta de dados para avaliações de riscos de transição de contrapartes e gerar sinais de alerta antecipado com base em eventos desencadeadores. Como especialista virtual, a gen AI pode gerar automaticamente relatórios sobre tópicos ambientais, sociais e de governança (ESG, na sigla em inglês) e as seções de sustentabilidade dos relatórios anuais (vide box “Como a IA generativa pode acelerar as avaliações de riscos climáticos das instituições financeiras”).

Como a IA generativa pode acelerar as avaliações de riscos climáticos das instituições financeiras

A área de riscos pode se beneficiar da IA generativa (gen AI) em uma variedade de análises. No caso das avaliações de riscos climáticos, a tecnologia – por meio de ferramentas baseadas em transformadores pré-treinados generativos – pode extrair instantaneamente dados de múltiplos relatórios longos e destilar respostas de fontes primárias (quadro).

Além disso, a gen AI pode dar suporte aos gestores de relacionamento para acelerar a avaliação dos riscos climáticos para suas contrapartes. Ela pode gerar automaticamente sínteses dos planos de transição das contrapartes e compará-los com as emissões reais para avaliar o progresso em direção às metas.

Além da medição, a gen AI pode ajudar na análise do impacto climático automatizando relatórios sobre tópicos ambientais, sociais e de governança. Pode ajudar nos riscos automatizando a elaboração de materiais sobre riscos climáticos e pode estimular o crescimento usando dados de clientes para personalizar produtos financeiros verdes.

Imagine as vantagens da automação por gen AI para ajudar os clientes a migrar para as emissões líquidas zero. A tecnologia pode identificar as tendências do mercado e o impacto ambiental a partir de anos de relatórios da empresa. Por sua vez, as instituições financeiras podem usar essas novas informações para encontrar oportunidades de investimento.

Uma vez incorporada a gen AI a essas funções e áreas, as empresas observaram uma segunda onda de casos de uso emergentes em outros aspectos da gestão de riscos. A gen AI pode resumir os riscos empresariais elaborando sínteses de gestão desses riscos a partir de relatórios e dados existentes. Pode ajudar a acelerar o processo interno de avaliação da adequação do capital e modelar a adequação do capital por meio da obtenção de dados pertinentes. Os bancos também podem usá-la para resumir as posições de risco e elaborar briefings executivos e relatórios de riscos para a alta administração.

Outro domínio no qual a gen AI pode desempenhar um papel importante é o dos riscos operacionais. Os bancos podem usá-la na automação operacional de controles, no monitoramento e na detecção de incidentes. Ela também pode elaborar de maneira automática autoavaliações de riscos e controle ou analisar a qualidade das avaliações existentes.

Principais considerações na adoção da gen AI

Embora existam vários casos de uso convincentes nos quais a gen AI pode impulsionar a produtividade, priorizá-los é fundamental para gerar valor enquanto, ao mesmo tempo, se adota a tecnologia de forma responsável e sustentável. Vemos três dimensões críticas que os líderes de riscos podem avaliar para determinar a priorização de casos de uso e maximizar o impacto (quadro).

Os diretores de riscos podem basear suas decisões em avaliações feitas em dimensões qualitativas e quantitativas de impacto, riscos e viabilidade. Esse processo inclui alinhar-se à visão geral que seu banco tem da gen AI e das respectivas barreiras de proteção, entender os regulamentos pertinentes (como a Lei de IA da União Europeia) e avaliar a sensibilidade dos dados. Todos os líderes precisam estar cientes dos riscos inéditos relacionados a essa nova tecnologia. Em linhas gerais, esses riscos podem ser divididos em oito categorias:

• prejuízo à imparcialidade, quando as saídas (“outputs”) de um modelo de gen AI podem ser inerentemente tendenciosas contra um grupo específico de usuários
• violação de propriedade intelectual, como violações de direitos autorais e incidentes de plágio, já que os modelos de fundação costumam usar dados da internet
• questões de privacidade, como divulgação pública não autorizada de informações pessoais ou confidenciais
• uso mal-intencionado, como disseminação de conteúdo falso e uso da gen AI por criminosos para criar identidades falsas, arquitetar ataques de phishing ou aplicar golpes em clientes
• ameaças à segurança, quando vulnerabilidades presentes nos sistemas de gen AI podem ser violadas ou exploradas
• riscos de desempenho e “explicabilidade”, como modelos que fornecem respostas factualmente incorretas e informações desatualizadas
• riscos estratégicos relacionados ao descumprimento de normas ou regulamentos de ESG, criando riscos sociais ou de reputação
• riscos de terceiros, como vazamento de dados privados para o domínio público por meio do uso de ferramentas de terceiros

Estratégias vencedoras para planejar uma jornada de gen AI

As organizações que podem extrair valor da gen AI devem empregar uma abordagem focada, de cima para baixo, para iniciarem a jornada. Dada a escassez de talentos para dar escala às capacidades de gen AI, as organizações devem começar com três a cinco casos de uso de riscos e conformidade de alta prioridade que estejam alinhados a suas prioridades estratégicas. Elas podem executar esses casos de uso em três a seis meses, seguidos por uma estimativa do impacto nos negócios. Dar escala às aplicações exigirá o desenvolvimento de um ecossistema de gen AI com foco em sete domínios:

• um catálogo de serviços e soluções (casos de uso) de gen AI reutilizáveis e prontos para produção que possam ser facilmente conectados a uma variedade de aplicações e cenários de negócios em toda a cadeia de valor bancária
• uma pilha de tecnologia segura e pronta para gen AI que suporte implantações em nuvem híbrida para permitir o suporte a dados não estruturados, incorporação de vetores, treinamento em machine learning, execução e processamento pré e pós-lançamento
• integração a ferramentas e modelos de fundação de nível empresarial para permitir a seleção e orquestração adequadas à finalidade em modelos abertos e exclusivos
• automação de ferramentas de suporte, inclusive MLOps (operações de machine learning, na sigla em inglês), dados e pipelines de processamento, para acelerar o desenvolvimento, lançamento e manutenção de soluções de gen AI
• modelos de governança e de talentos que distribuam prontamente expertise de múltiplas áreas, com vistas à colaboração e à troca de conhecimentos (como linguagem, processamento de linguagem natural e aprendizado de reforço a partir de feedback humano, engenheiros de prompt, especialistas em nuvem, líderes de produtos de IA e especialistas jurídicos e regulatórios)
• alinhamento de processos para o desenvolvimento de gen AI voltada a apoiar a experimentação, validação e implantação rápidas, completas e seguras de soluções
• um roteiro detalhando o cronograma de lançamento e ganho de escala de diversas capacidades e soluções, tudo com alinhamento à estratégia de negócios mais ampla da organização

Em um momento no qual empresas de todos os setores estão fazendo experimentos com gen AI, as organizações que não conseguirem aproveitar o potencial da tecnologia correm o risco de ficar para trás em eficiência, criatividade e engajamento do cliente. Logo de início, os bancos devem ter em mente que a mudança do piloto para a produção leva significativamente mais tempo no caso da gen AI do que no da IA clássica e no do machine learning. Ao selecionarem casos de uso, as áreas de riscos e de conformidade podem ficar tentadas a usar uma abordagem compartimentalizada. Em vez disso, elas devem se alinhar à estratégia e aos objetivos de gen AI de toda a organização.

Para que a adoção da gen AI por grupos de riscos e de conformidade seja eficaz e responsável, é fundamental que esses grupos entendam a necessidade de novos controles e gestão de riscos, a importância das demandas de dados e tecnologia e os novos requisitos de talentos e modelos operacionais.

Controles e gestão de riscos

Com a gen AI, é necessário chegar a um novo patamar em controles e gestão de riscos. Vencer com responsabilidade requer estratégias defensivas e ofensivas. Todas as organizações enfrentam riscos gerados pela gen AI, além daqueles relacionados ao desenvolvimento de casos de uso de gen AI e à incorporação dela às ferramentas normais do local de trabalho. Portanto, os bancos precisarão desenvolver suas capacidades de mitigação de riscos de forma condizente.

A primeira onda se concentra fortemente em análises feitas por humanos no circuito (“humans in the loop”) para garantir a exatidão das respostas do modelo. Usar a gen AI para checar a si mesma – por exemplo, através de citações de fontes e pontuações de risco – pode aumentar a eficiência das análises humanas. Ao passarem as barreiras de proteção da gen AI para tempo real e acabarem com as análises feitas por humanos no circuito, algumas empresas já estão colocando a gen AI diretamente na frente de seus clientes. Para fazerem essa mudança, os profissionais de riscos e de conformidade podem trabalhar com os membros da equipe de desenvolvimento para definir as barreiras de proteção e criar controles desde o início.

A área de riscos precisa estar vigilante para gerir os riscos da gen AI no nível corporativo. Ela pode cumprir essa obrigação tomando as seguintes medidas:

1. Certificar-se de que todas as pessoas de toda a organização estejam cientes dos riscos inerentes à gen AI, explicando o que fazer e o que evitar e estabelecendo barreiras de proteção contra riscos.
2. Atualizar os critérios de identificação de modelos e a política de riscos dos modelos (de acordo com regulamentos como a Lei de IA da União Europeia) para permitir a identificação e classificação de modelos de gen AI e ter uma estrutura de avaliação e controle de riscos apropriada em operação.
3. Formar especialistas em riscos e conformidade de gen AI que possam trabalhar diretamente com as equipes de desenvolvimento da linha de frente em novos produtos e jornadas de clientes.
4. Rever os atuais controles cibernéticos, de know your customer, de combate à lavagem de dinheiro e de fraudes para garantir que continuem eficazes em um mundo dotado de gen AI.

Demandas de dados e tecnologia

Os bancos não devem subestimar as demandas de dados e tecnologia relacionadas a um sistema de gen AI, que requer enormes quantidades de ambos. Por quê? Por um lado, o processo de incorporação de contexto é crucial para garantir a exatidão e a relevância dos resultados. Esse processo requer a entrada de dados apropriados e a abordagem de questões de qualidade de dados. Além disso, os dados disponíveis podem ser insuficientes. As organizações talvez precisem criar ou investir em conjuntos de dados rotulados para quantificar, medir e monitorar o desempenho das aplicações da gen AI com base na tarefa e no uso.

Os dados serão uma vantagem competitiva na extração de valor da gen AI. Uma organização que esteja em busca de automatizar o envolvimento do cliente usando gen AI precisa ter dados fiéis e atualizados. As organizações com plataformas de dados avançadas serão as mais eficientes em aproveitar os recursos da gen AI.

Requisitos de talentos e modelo operacional

Como a gen AI é uma tecnologia transformadora que requer uma mudança organizacional, as organizações precisarão entender os correspondentes requisitos de talentos. Os bancos podem incorporar mudanças de modelo operacional à sua cultura e a seus processos de negócios usuais. Podem treinar novos usuários com relação não só ao uso da gen AI, como também às limitações e aos pontos fortes dela. A montagem de uma equipe de “defensores da gen AI” pode ajudar a moldar essa nova tecnologia, desenvolvê-la e fazê-la ganhar escala.

Prevemos que a gen AI dará poder às áreas de riscos e de conformidade dos bancos no futuro. Isso implica uma profunda mudança cultural que exigirá que todos os profissionais de riscos estejam familiarizados com a nova tecnologia, suas capacidades, suas limitações e a mitigação dessas limitações. A utilização da gen AI será uma mudança significativa para todas as organizações, mas as que conseguirem manter o delicado equilíbrio entre tirar proveito do poder da tecnologia e, ao mesmo tempo, gerir os riscos que ela representa poderão obter ganhos significativos de produtividade.