fiber optic cables transmitting data forming a data tree.

Três ações estratégicas para os CROs de seguros em 2026

Autores

  • Stu Doyle

    Líder de Risco Não Financeiro de Seguros da EY Americas

  • Jonathan Zhao

    Líder Global de Seguros da EY; Sócio-Gerente de Serviços Financeiros da EY Hong Kong

Responsáveis pelas contribuições para esta publicação

8 minutos de leitura 21 abr. 2026
Tópicos relacionados
Insurance

A terceira pesquisa anual da EY/IIF revela que os CROs de seguros enfrentam um cenário de risco em evolução, definido por velocidade, volatilidade e interconexão.

Em resumo

  • Os riscos de seguro estão aumentando rapidamente e se tornando mais complexos à medida que as forças não lineares da geopolítica, da tecnologia, do clima e da regulamentação convergem.
  • Os riscos cibernéticos, de terceiros, a resiliência operacional e a IA continuam sendo prioridades em nível empresarial para os CROs.
  • As CROs veem tecnologias avançadas, como IA, dados de alta qualidade e uma força de trabalho digitalmente capacitada como componentes essenciais para o gerenciamento de riscos da próxima geração.

Oritmo e a complexidade dos riscos se intensificaram. Os riscos que antes surgiam gradualmente agora surgem sem aviso. As janelas de decisão foram reduzidas. As interrupções que começam em um canto da organização podem afetar em cascata a tecnologia, terceiros, operações e mercados de uma forma que poucas estruturas de gerenciamento de riscos foram projetadas para prever.

Este é um mundo NAVI — definido por mudanças não lineares, aceleradas, voláteis e profundamente interconectadas. E está reformulando fundamentalmente o que significa ser um CRO (Chief Risk Officer).

Como o cenário de risco de seguro continua a mudar

Os resultados da terceira pesquisa anual EY/Institute of International Finance (IIF) Global Insurance Risk Management Survey apontam para três ações-chave que significam uma mudança da melhoria incremental para uma liderança de risco mais integrada e focada na execução.

O foco não está mais em proteger a organização dos riscos tradicionais relacionados aos negócios, mas sim em prever como a próxima ameaça, interrupção ou inovação forçará a organização a mudar e, ao mesmo tempo, alinhar-se aos objetivos estratégicos. Os riscos cibernéticos e tecnológicos dominam a agenda de curto prazo. A IA e a automação estão passando rapidamente dos pilotos para a implementação em escala. A resiliência operacional não é mais tratada como uma obrigação de conformidade — ela se tornou uma expectativa da empresa e do cliente, e as organizações de risco estão sendo reformuladas para fornecer insights mais prospectivos aos seus parceiros de negócios.

O perfil do CRO deixou de ser puramente técnico e passou a ser visto como um consultor de confiança para os conselhos de administração.

Respondente do inquérito

Com base em percepções de CROs de todas as regiões, linhas de negócios e tamanhos organizacionais, a pesquisa revela uma profissão em um ponto de inflexão. À medida que a volatilidade se torna a norma e a disrupção o padrão, a liderança de risco está evoluindo de uma função defensiva para uma capacidade estratégica — que ajuda as seguradoras a resistir a choques, permitir o crescimento e avançar com confiança.

"O perfil do CRO evoluiu de puramente técnico para ser visto como um consultor de confiança para os conselhos de administração", disse um entrevistado da pesquisa.

Faça o download da pesquisa EY/IIF global bank risk management

PDF (13 MB)

1. Fortalecer as defesas cibernéticas e da linha de frente

O risco cibernético continua sendo a principal prioridade das CROs, impulsionado pelo aumento das ameaças digitais — incluindo ataques habilitados para IA — juntamente com a expansão de ecossistemas de terceiros, tensões geopolíticas e operações cada vez mais intensivas em dados. O que mudou não foi apenas a escala da ameaça, mas sua natureza interconectada. Os incidentes cibernéticos agora se propagam rapidamente entre fornecedores, serviços essenciais e canais de clientes, transformando falhas localizadas em eventos de nível empresarial.

Para as seguradoras, essa realidade expõe uma fraqueza estrutural. Parceiros de distribuição, administradores terceirizados, provedores de nuvem e fornecedores de modelagem não são mais dependências periféricas — eles estão no centro da prestação de serviços.

Como resultado, o risco de terceiros tornou-se uma exposição sistêmica primária. Tratar o risco cibernético, o risco de terceiros e a resiliência operacional como disciplinas separadas não reflete mais como as interrupções realmente ocorrem.

As CROs líderes estão respondendo unificando esses recursos em um modelo único e integrado. Isso significa mudar de avaliações periódicas para monitoramento contínuo e de propriedade fragmentada para governança em nível empresarial.

"A crescente complexidade da segurança de TI e do risco de terceiros está exigindo mais atenção e recursos do que nunca", disse um entrevistado da pesquisa.

As etapas práticas incluem:

  • Manter um inventário em camadas de fornecedores terceirizados e terceirizados mapeados para serviços comerciais essenciais
  • Ampliação do monitoramento contínuo de exposições e riscos de concentração
  • Aumento dos testes de cenários e relatórios de resiliência para as diretorias
  • Incorporar expectativas de resiliência nos contratos, incluindo objetivos de tempo e ponto de recuperação e evidências de restauração de dados

Os CROs também estão fortalecendo as defesas da linha de frente, reforçando o gerenciamento de identidade e de acesso privilegiado (PAM) e implantando controles mais fortes de perda de dados em ambientes de nuvem e de terceiros. Eles também estão reforçando as proteções contra phishing e comprometimento de e-mail comercial, além de realizar exercícios regulares de mesa para melhorar a resiliência do usuário. Cada vez mais, a IA está sendo usada para dar suporte à detecção de ameaças, triagem e garantia de controle automatizado.

O objetivo é a preparação: a capacidade de absorver choques, recuperar-se rapidamente e demonstrar resiliência com confiança.

A crescente complexidade da segurança de TI e do risco de terceiros está exigindo mais atenção e recursos do que nunca.

Respondente do inquérito

O risco cibernético continua sendo uma das principais prioridades dos CROs
80%
dos entrevistados do CRO dizem que o risco de segurança cibernética exigirá a maior atenção nos próximos 12 meses.
77%
classificou o gerenciamento de riscos cibernéticos de terceiros e fornecedores entre os cinco aspectos mais críticos do risco cibernético.

Como a EY pode ajudar

  • Transformação de negócios em seguros

    Colaboramos com seguradoras em programas de transformação tecnológica e na implantação de ferramentas digitais. Do conceito à implementação, trabalhamos com você para desenvolver estratégias que otimizem o desempenho, impulsionem a eficiência e melhorem a qualidade.

    Leia mais

2. Modernizar a governança, os dados e os controles

Embora o ciberespaço domine a agenda de curto prazo, a pesquisa deixa um ponto inequivocamente claro: a governança e os controles continuam sendo a principal prioridade das seguradoras. Essa tendência é reforçada pela necessidade de amadurecimento contínuo dos mecanismos de governança de IA. À medida que o escrutínio regulatório muda e os requisitos divergem entre as regiões, os CROs estão sob pressão para provar que as estruturas de risco, os controles e as estruturas de responsabilidade podem acompanhar a miríade de riscos emergentes introduzidos pela IA.
 

A modernização da fundação começa com a governança. À medida que a adoção de tecnologias avançadas se acelera, os CROs estão atualizando suas estruturas de governança e risco, renovando taxonomias e padrões de controle, esclarecendo a propriedade, automatizando controles e investindo em testes, monitoramento e detecção de exceções habilitados para IA — incluindo novas abordagens para gerenciar riscos de terceiros em um cenário de riscos em rápida mudança. Os indicadores-chave de desempenho (KPIs) e os indicadores-chave de risco (KRIs) de controle quantitativo estão se tornando padrão, permitindo que os conselhos e os executivos acessem insights de risco em tempo real e de autoatendimento e conduzam uma supervisão baseada no desempenho.
 

Os dados são uma peça fundamental. Ambientes legados fragmentados e qualidade de dados inconsistente continuam sendo as maiores barreiras para a adoção de IA e insights de risco em tempo real. Em resposta, as principais organizações estão criando hubs de dados de risco com linhagem clara, metadados e uma única fonte de verdade para dados críticos de risco e regulatórios. Automatizar a agregação e racionalizar os feeds legados reduz ainda mais o atrito e melhora a capacidade de resposta.
 

Uma área menos madura, mas cada vez mais importante, é a dos ativos digitais. Muitas seguradoras ainda não definiram uma posição de risco clara sobre criptografia, ativos tokenizados ou exposição a stablecoin. Isso cria uma oportunidade para os CROs liderarem desde o início: definindo limites de exposição, atualizando políticas e incorporando controles e diligência de terceiros antes que essas atividades aumentem.
 

Em última análise, os CROs que fortalecerem a governança, modernizarem as bases de dados e lidarem proativamente com as áreas de risco emergentes estarão mais bem posicionados para oferecer controles dimensionáveis, instilar confiança regulamentar e fornecer insights de risco em tempo real à medida que a complexidade se acelera.

Usando a tecnologia para gerenciar riscos
60%
das CROs estão priorizando as soluções de gerenciamento de risco habilitadas pela GenAI para aprimorar seus recursos de tecnologia de risco.
57%
das organizações identificam o uso do chatbot, por exemplo, a integração com o LLM, como sua principal aplicação de IA no gerenciamento de riscos.
33%
das CROs afirmam que melhorar o acesso e o uso de dados para fornecer insights melhores e mais frequentes é uma prioridade máxima.

3. Transformar a força de trabalho de risco e o modelo operacional para um futuro digital

A tecnologia não está apenas mudando a natureza dos riscos, mas também transformando a forma como o trabalho de risco é realizado. A IA está se expandindo rapidamente em operações de subscrição, sinistros, fraudes, controles, operações cibernéticas e de clientes, tornando cada vez mais essenciais as estruturas de governança dinâmica e as abordagens flexíveis de gerenciamento de riscos. Para as funções de risco, essa mudança tem menos a ver com o número de funcionários e mais com o aprimoramento dos recursos.

Quando a tecnologia não é mais uma barreira, qualidades como curiosidade e criatividade tornam-se ainda mais essenciais para nossas equipes.

Respondente do CRO

Os resultados da pesquisa mostram que as CROs estão redesenhando modelos operacionais para oferecer maior produtividade com equipes estáveis ou em crescimento modesto. A automação está absorvendo as tarefas de rotina. A IA está acelerando as análises e os testes. O que permanece — e cresce em importância — é o julgamento, a interpretação e o envolvimento com os negócios.

Como observou um CRO, "quando a tecnologia não é mais uma barreira, qualidades como curiosidade e criatividade tornam-se ainda mais essenciais para nossas equipes".

Para apoiar essa mudança, as CROs devem:

  • Investir em programas de capacitação direcionados que desenvolvam a alfabetização em IA, a fluência em dados, as habilidades de automação e as formas ágeis de trabalho, complementadas por contratações seletivas de especialistas em áreas como a cibernética
  • Redesenhar as organizações de risco para se alinharem em torno de produtos e plataformas, com o apoio de centros de capacidade globais e fluxos de trabalho com tecnologia de IA
  • Criar funções híbridas de especialista em risco de IA - profissionais que combinam experiência de domínio com habilidades de IA e dados, capazes de traduzir insights técnicos em decisões de negócios
  • Desenvolver planos de carreira que vão além de escadas rígidas e se transformam em grades flexíveis, recompensando a adaptabilidade, a curiosidade e a experiência multifuncional

A função de risco do futuro será mais enxuta, mais fluente digitalmente e profundamente incorporada às operações de negócios e à inovação. O desafio do CRO é garantir que essa transformação fortaleça, em vez de enfraquecer, a independência e a percepção dos riscos.

Principais conjuntos de habilidades para gerenciar melhor os riscos nos próximos três anos:

  1. Capacidade de adaptação a um ambiente de risco em constante mudança (66%)
  2. Perspicácia digital, por exemplo, tecnologia, dados, IA, programação (55%)
  3. Habilidades interpessoais, por exemplo, liderança, construção de relacionamentos, comunicação, negociação, trabalho em equipe ativo (49%)
  4. Entendimento do negócio e dos produtos (45%)
  5. Especialização mais profunda em pelo menos um domínio, por exemplo, crédito, cibernético (24%)
Transformando a força de trabalho de risco
78%
espera reduzir as funções tradicionalmente manuais, por exemplo, testes, análise de dados e relatórios.
63%
esperam enfatizar cada vez mais a capacitação em análise de dados, interpretação de modelos e ferramentas de IA.
50%
espera que surjam especialistas híbridos em risco de IA, combinando conhecimento de domínio com habilidades de IA.

O futuro da liderança em riscos de seguros

No ambiente atual, a resiliência não se trata mais apenas de resistir a choques; trata-se de estar preparado para o que vem a seguir. As tecnologias emergentes, as estruturas de mercado em evolução e a persistente incerteza geopolítica continuarão a remodelar a agenda de riscos - muitas vezes mais rapidamente do que as organizações esperam e de maneiras que desafiam o planejamento linear.

Para as CROs, a implicação é clara. A função é ajudar a organização a prever interrupções, responder de forma decisiva e manter a confiança em meio à incerteza. Isso requer colaboração com as equipes de negócios e de tecnologia; maior integração entre riscos cibernéticos, de terceiros e resiliência operacional; governança, dados e controles mais sólidos para apoiar a transformação digital; e uma força de trabalho de risco equipada com fluência digital e discernimento para operar com velocidade.

Os CROs que agirem de acordo com essas prioridades farão mais do que mitigar os riscos. Ao se apoiarem em análises voltadas para o futuro, liderança empresarial e modelos operacionais habilitados digitalmente, eles ajudarão a moldar o crescimento de suas organizações, tornando o gerenciamento de riscos uma fonte de vantagem estratégica e não uma restrição.

Faça o download da pesquisa EY/IIF global bank risk management

PDF (13 MB)

Sumário

Os resultados da terceira pesquisa anual EY/IIF Global Insurance Risk Management Survey mostram que os líderes de risco estão mudando da supervisão e da conformidade para a liderança estratégica de risco. Os CROs de hoje operam em um cenário em que os riscos surgem mais rapidamente e se espalham pelas empresas de uma forma que os modelos tradicionais têm dificuldade de prever. Três ações podem ajudar os CROs a reagir: fortalecer as defesas cibernéticas; modernizar a governança, os dados e os controles para permitir a transformação digital; e remodelar a força de trabalho de risco e o modelo operacional para um futuro mais digital e focado na execução.

Sobre este artigo

Autores

  • Stu Doyle
    Líder de Risco Não Financeiro de Seguros da EY Americas
  • Jonathan Zhao
    Líder Global de Seguros da EY; Sócio-Gerente de Serviços Financeiros da EY Hong Kong

Responsáveis pelas contribuições para esta publicação

Tópicos relacionados
Insurance

EY refere-se à organização global e pode se referir a uma ou mais das firmas-membro da Ernst & Young Global Limited, cada uma das quais é uma entidade legal separada. A Ernst & Young Global Limited, uma empresa britânica limitada por garantia, não presta serviços a clientes.