Com o avanço da tecnologia, terá o conceito de accountability os dias contados?

À medida que a tecnologia se dissemina, o conceito de accountability deve evoluir para que possa continuar a ser um elemento essencial nas ferramentas de governação dos bancos.

A tecnologia está pronta para ajudar os bancos a melhorarem a gestão de risco, mas também exige que os conceitos tradicionais de accountability sejam reavaliados. Das estruturas de gestão e controlo às relações com parceiros externos, as lideranças vão precisar de encontrar novas respostas.

Há o perigo da tecnologia diminuir a vontade humana de participar e intervir. Este perigo resulta de as pessoas sentirem que a sua ligação pessoal aos consumidores diminuiu e que já não influenciam escolhas – a lógica da máquina pode sobrepor-se à da responsabilidade individual.
Charles Randell
Presidente da Autoridade para a Conduta Financeira do Reino Unido (FCA) - ver referência do artigo #1

O nono estudo anual da EY e do Instituto de Finanças Internacionais (IIF) sobre gestão de risco bancário global revela que a transformação digital do setor está a acontecer mais depressa que o previsto há apenas um ano.

A gestão de risco, potenciada pelas tecnologias, desempenhará um papel crítico nessa transformação e apresenta alguns desafios significativos para as instituições financeiras em todo o mundo. Porém, algumas das maiores questões envolvem o conceito de responsabilização obrigatória. À medida que as máquinas tomam mais decisões, as instituições financeiras terão de trabalhar mais para incorporar a intervenção e validação humana nestes processos automatizados.

Accountability está na linha da frente

As tecnologias e a digitalização estão a transformar em quase tudo a forma como os bancos fazem negócios e interagem com os clientes. Em resposta, a regulação também está a mudar e a tornar-se mais complexa (consulte o item). Muitas regras continuam a diferir entre regiões, mas é possível identificar uma mensagem comum sobre o que esperar da utilização de novas tecnologias – a accountability permanece firmemente ligada à gestão de topo, tanto executiva como não executiva.

  • Em resumo: como estão os reguladores a nível global a dar resposta aos desafios da tecnologia

    Responsabilidade individual

    Os reguladores em países como a Austrália, Hong Kong, Singapura e EUA, estão a seguir as orientações do Regime de Gestores de Topo do Reino Unido e implementaram, ou estão a desenvolver, regimes que atribuem maior responsabilidade individual pelo risco, conformidade e governação à gestão de topo.

    Criar novas diretrizes tecnológicas

    Outra tendência é o desenvolvimento de diretrizes específicas em torno do uso da tecnologia na gestão do risco. Exemplos chave são os da Autoridade Monetária de Hong Kong (HKMA)2 e da Autoridade Monetária de Singapura (MAS),3 a defenderem claramente que "o conselho de administração e a gestão de topo devem assegurar que uma estrutura sólida e robusta de gestão de risco tecnológico é estabelecida e mantida".

    Definir responsabilidades específicas para os algoritmos

    A Autoridade de Regulação Prudencial do Reino Unido (PRA) definiu as funções específicas dentro das entidades reguladas que são responsáveis por algoritmos e especificou até que ponto os conselhos de administração das instituições reguladas devem ser considerados responsáveis pela sua utilização.4 Estas responsabilidades incluem a aprovação, os testes, a implementação, a documentação e a auditoria.

Como as tradicionais três linhas de defesa (3LoD) concentram mais responsabilidades nas linhas da frente, os gestores de topo das instituições financeiras reguladas encontram-se a rever as suas abordagens mediante um ambiente de risco em constante mutação. Como podem aproveitar ao máximo a transformação tecnológica, sem deixar de satisfazer as crescentes exigências regulatórias e ainda contribuir para a segurança e estabilidade dos mercados financeiros?

Três questões, em particular, destacam-se hoje entre os desafios que os líderes dos bancos enfrentam nesta área da accountability:

  1. Explicar decisões tomadas por máquinas
  2. Monitorizar relações com fornecedores externos
  3. Conter o crescimento do risco sistémico 
Brainstorming feminino para programar dados
(Chapter breaker)
1

Capítulo 1

Explicar decisões tomadas por máquinas

Como podem as empresas continuar no comando quando as máquinas tomam decisões.

O potencial da tomada de decisão automatizada permanece em grande parte inexplorado no setor financeiro – a nossa pesquisa de risco revela que a maioria das instituições utiliza automatismos apenas para tomar decisões com um grau de importância baixo ou médio. Mas à medida que a adoção de mecanismos de automação acelera, o funcionamento complexo destes mecanismos de decisão autónomos pode trazer problemas às instituições financeiras.

O Regulamento Geral de Proteção de Dados (GDPR) da UE garante ao indivíduo o "direito a uma explicação" ou a possibilidade de pedir intervenção humana, sempre que uma decisão automatizada tenha sobre si um grande impacto. Mas com a crescente sofisticação dos algoritmos de inteligência artificial será cada vez mais difícil compreender e articular a forma como as decisões são tomadas.

Trabalhar na clarificação, accountability e na confiança dos sistemas de IA será crítico para que as instituições financeiras possam intensificar o uso destas ferramentas. Como identificou o estudo recente da EY, How do you teach AI the value of trust?, isto pode ser alcançado com uma abordagem holística destes sistemas, que considere não apenas as implicações comerciais e tecnológicas, mas também os impactos éticos, sociais, ambientais e regulatórios ao longo do seu ciclo de vida (da conceção à implementação). Desta forma, as empresas conseguirão entender como o sistema funciona e evolui e poderão definir de forma clara as linhas de accountability.

As instituições que melhor o estão a fazer estão a implementar políticas e normas robustas, específicas para o desenvolvimento de IA, a usar ferramentas de validação, realizar inventários regulares e a promover auditorias independentes, para garantir que todos os algoritmos de IA funcionam e são geridos como se pretende.

Mulher de negócios a beber café noite dentro no escritório
(Chapter breaker)
2

Capítulo 2

Monitorizar relações com fornecedores externos

Neste novo contexto, os deveres de accountability devem estender-se às relações com os fornecedores em outsourcing.

Noção de risco

44%

dos líderes na área financeira querem que os reguladores esclareçam até onde devem ir as obrigações dos prestadores de serviços em outsourcing, no que se refere à gestão de risco em torno do uso de novas tecnologias. Fonte: EY/IIF.

À medida que o ecossistema financeiro se expande, os gestores de topo estão a rever rapidamente as relações com os seus parceiros em outsourcing. As principais prioridades incluem:

  • Criar contratos de serviços com fornecedores que incluam obrigações claramente definidas
  • Confirmar que os parceiros externos têm em vigor políticas adequadas de gestão de risco e de governance
  • Considerar a possibilidade de exigir auditorias independentes a estes fornecedores, para validar o cumprimento das obrigações de controlo de risco (por exemplo, através de auditorias SSAE 16 e relatórios SOC1)

Mesmo nos casos em que os esforços internos aumentam, as instituições financeiras consultadas no estudo confirmaram que gostariam de ter orientação externa. A clarificação de expectativas por parte dos reguladores, sobre a gestão de risco associada às novas tecnologias usadas pelos fornecedores de serviços em outsourcing, ajudaria a definir uma framework de accountability alinhada com as novas necessidades.

Por sua vez, os reguladores reconhecem a necessidade de atualizar os requisitos regulatórios aplicáveis às empresas de outsourcing que operam em mercados regulados. No seu recente relatório sobre inovação no setor financeiro,5 o Tesouro dos EUA teceu uma série de recomendações, incluindo "... estabelecer expectativas claras e adequadamente adaptadas para o outsourcing na cadeia de valor.” As recomendações da Autoridade Bancária Europeia (EBA) sobre outsourcing para a cloud entraram em vigor a 1 de julho de 2018.6

Um dos maiores desafios para os reguladores relativamente ao tema dos fornecedores incide sobre os serviços de conectividade com que ligam parceiros, instituições, setores e geografias. Compreender e testar como uma falha ou vulnerabilidade na tecnologia de um fornecedor de serviços em outsourcing pode impactar o ecossistema financeiro de forma mais ampla é uma prioridade regulatória.

Na nossa perspetiva, À medida que a tecnologia avança, será a adoção de serviços partilhados a medida a tomar?, analisamos com mais detalhe as questões que podem emergir do uso de serviços partilhados.

Perícia feminina em destaque nas salas de servidores
(Chapter breaker)
3

Capítulo 3

Conter o crescimento de risco sistémico

Considerando o recurso extensivo do setor ao outsourcing, controlar o risco sistémico é um desafio.

Responsabilizar as instituições financeiras pelas ações dos seus fornecedores e parceiros externos não será suficiente para prevenir, ou evitar, a crescente ameaça de risco sistémico. A rapidez com que os serviços baseados em cloud foram incorporados nas infraestruturas de serviços financeiros é um bom exemplo – concentrar num gestor de topo a responsabilidade por qualquer falha, nada faz para mitigar o risco sistémico ou reduzir as perdas financeiras que daí possam resultar.

Os reguladores estão a trabalhar em diferentes respostas. Uma das hipóteses consideradas está em alargar o perímetro de accountability aos fornecedores de soluções de infraestruturas, quando as instituições decidem escalar operações via outsourcing, para adotar soluções cloud ou externalizar determinado processo. Alguns analistas de mercado questionam mesmo se os reguladores não deviam exigir que os principais fornecedores de serviços de infraestrutura prestem informação sobre os seus planos de continuidade de negócio e assegurem um nível mínimo de liquidez, como acontece com as empresas dentro do perímetro regulatório.

No entanto, é claro que uma possível extensão do perímetro regulatório não deixará menos responsabilidades aos gestores de topo. As instituições financeiras continuarão a ter de conhecer e entender os processos que controlam e os riscos associados, embora sejam executados por um outsourcer na cloud, ou por um algoritmo.

Engenheiro mede, robot calibra
(Chapter breaker)
3

Capítulo 4

Novas abordagens para reforçar a accountability

Para que o conceito de accountability continue a fazer sentido na era digital a avaliação de compliance deve munir-se de um conjunto de novas ferramentas.

Identificamos quatro áreas-chave onde novas ferramentas podem ajudar os gestores de topo a melhorar a accountability nas suas organizações:

1. Definir novas abordagens para novas tecnologias

À medida que a tecnologia muda a natureza do risco e dos mecanismos de responsabilização, as frameworks de gestão de risco devem expandir-se para incluir a identificação, monitorização e gestão de potenciais resultados adversos das decisões tomadas por máquinas. Clarificar e documentar a accountability em torno destes processos, bem como criar mecanismos para investigar eventos adversos e comunicar as lições aprendidas, são elementos-chave. A tecnologia está a evoluir à velocidade da luz – e os erros podem acontecer e ganhar escala, exatamente à mesma velocidade. É vital que os mecanismos de resposta consigam acompanhar o ritmo.

2. Integrar a accountability nas melhorias ao controlo de risco do modelo 3LoD  

O nosso estudo global de 2018 (EY/IIF) sobre gestão de risco bancário mostra que a maioria dos bancos está a passar por uma transformação acelerada, impulsionada por uma revolução tecnológica e destaca várias áreas-chave, que também podem dar um contributo crucial para as obrigações de accountability:

  • Integrar no negócio um princípio de equilíbrio entre risco assumido e disciplina de risco
  • Transformação digital da gestão de risco; possibilitando uma gestão de risco que acomode novas realidades como a automação, o machine learning e a inteligência artificial
  • O modelo 3LoD; desenvolver o seu modelo operativo e funções

3. Documentar processos em outsourcing

Com o outsourcing a desempenhar um papel cada vez mais relevante nas operações das instituições financeiras, implementar planos de contingência e documentar processos e responsabilidades será crítico para o novo mandato de accountability. Isto não é apenas uma boa prática. É essencial – as últimas orientações da Autoridade Bancária Europeia recomendam que estes registos estejam disponíveis para consulta do regulador.

A documentação de processos cruciais, especialmente quando atravessam as fronteiras institucionais, ajuda a conter o risco sistémico. Também facilita a definição de regras de accountability pelos reguladores, para componentes específicos do processo, e permite definir claramente onde e quando ocorrem as transferências de responsabilidade entre instituições. Para as instituições, este mapeamento é sem dúvida uma tarefa onerosa, mas que traz benefícios a longo prazo. Os gestores de topo estão agora a perceber a importância de monitorizar de perto os riscos dos processos pelos quais os próprios ou as suas empresas são responsáveis, e a determinar como essa informação deverá ser partilhada com reguladores e com outros intervenientes da cadeia de valor.

Muitas instituições falham ao não considerar eventuais mudanças na relação com os parceiros externos, ou ao não definirem estratégias de saída dessas relações comerciais. A importância deste aspeto não pode ser subestimada, tendo em conta a evolução rápida dos modelos de outsourcing, a crescente complexidade da tecnologia, da cloud e da gestão do enorme volume de dados digitais.

4. Usar a tecnologia para melhorar a accountability

As tecnologias avançadas, incluindo a cloud, têm um enorme potencial para proporcionar um nível de accountability ainda maior que o incorporado em sistemas e processos até agora. Por exemplo, um estudo recente da FCA do Reino Unido descobriu que muitas plataformas de investimento direto ao consumidor (D2C) carecem de monitorização eficaz e podem até nem estar em conformidade com as regras básicas de proteção do investidor. Integrar e melhorar capacidades de monitorização iria fortalecer a integridade destas plataformas e ajudar a gestão a demonstrarem capacidade de supervisionar o produto e o seu valor-acrescentado para o cliente.

Casos como este evidenciam como, as instituições individualmente e o setor como um todo, devem considerar que o custo tangível do desenvolvimento de tecnologia pode ser largamente compensado pelo benefício menos tangível de uma accountability mais precisa, que é também um meio de prevenir futuras multas por violação de regras.

A transformação e o governance estão interligados

A transformação tecnológica terá impacto tanto no modelo operacional de uma instituição financeira como no seu modelo de governance – os dois estão interligados. Faz sentido então, que uma empresa progrida na adoção de processos digitais para melhor gerir o risco, incorporando medidas de responsabilização que acompanhem as mudanças do negócio e dos seus parceiros em outsourcing.

  • Mostrar referências de artigos#Ocultar referências aos artigos

    1. How can we ensure that Big Data does not make us prisoners of technology?” FCA, julho 2018
    2. "General Principles for Technology Risk Management", Manual de Política de Supervisão da Autoridade Monetária de Hong Kong módulo TM-G-1
    3.  "Technology Risk Management Guidelines", MAS, junho de 2013.
    4.  “Algorithmic Trading: Supervisory Statement 5/18", PRA, junho de 2018
    5.  “A Financial System That Creates Economic Opportunities: Nonbank Financials, Fintech, and Innovation,” US Treasury, julho de 2018
    6.  “Recommendations on Outsourcing to Cloud Service Providers: Final Report,” EBA, dezembro 2017

Para uma análise mais detalhada das questões abordadas neste artigo, consulte a informação relacionada na nossa área de regulação e tecnologia,  Com o avanço da tecnologia, terá o conceito de accountability os dias contados?

O autor principal deste artigo é Michael Parker, EY Global Regulatory Analyst, Ernst & Young LLP (Reino Unido).

Resumo

Os bancos têm de atualizar as suas ferramentas de compliance para reformular o mandato da accountability e orientá-lo à tecnologia. Há nesse processo três áreas-chave a considerar: explicar as decisões tomadas pelas máquinas, monitorizar as relações com fornecedores externos e conter o crescimento de risco sistémico.