Introdução
A banca e as fintech operam num ambiente definido pela incerteza. Volatilidade dos mercados, ameaças cibernéticas, pressão regulatória, choques geopolíticos, disrupção tecnológica e mudanças nas expectativas dos clientes convergem sobre as instituições financeiras com uma velocidade e intensidade crescentes. Durante décadas, a principal resposta do sector à incerteza foi a gestão de risco: identificar riscos, medi-los e implementar controlos para reduzir a probabilidade ou o impacto de eventos adversos.
Contudo, a história recente expôs os limites desta abordagem. Crises financeiras, pandemias, falhas de serviços na cloud, quebras de terceiros e intervenções regulatórias súbitas demonstraram que nem todos os riscos podem ser previstos, quantificados ou evitados. Esta constatação trouxe a resiliência para o centro do pensamento estratégico, tanto na banca tradicional como nas fintech.
Gestão de risco e resiliência são frequentemente discutidas em conjunto, por vezes de forma intercambiável, mas não são a mesma coisa. Representam filosofias, horizontes temporais e respostas à incerteza diferentes. Compreender em que diferem — e como se complementam — tornou-se agora essencial para conselhos de administração, executivos, profissionais de risco e tecnólogos.
Este artigo explora o que significam gestão de risco e resiliência no contexto da banca e das fintech, como diferem a nível conceptual e operacional, e como as instituições podem utilizá-las em conjunto para navegar um ecossistema financeiro cada vez mais complexo.
Compreender a gestão de risco na banca e nas fintech
A gestão de risco nos serviços financeiros está enraizada no controlo e na prevenção. No seu núcleo, procura identificar potenciais fontes de perda ou dano, avaliar a sua probabilidade e impacto, e implementar medidas para as mitigar até níveis aceitáveis. Esta disciplina evoluiu para um quadro sofisticado que abrange o risco de crédito, risco de mercado, risco de liquidez, risco operacional, risco de compliance e, mais recentemente, risco cibernético e de modelos.
Na banca, a gestão de risco está profundamente integrada nas estruturas de governação e nas expectativas regulatórias. Regras de adequação de capital, testes de stress, controlos internos e obrigações de reporte são todas expressões de uma mentalidade de gestão de risco. O objectivo é a estabilidade: proteger os depositantes, manter a solvabilidade e preservar a confiança no sistema financeiro.
As fintech, embora muitas vezes menos reguladas, também dependem fortemente da gestão de risco — em particular em áreas como a prevenção de fraude, a segurança dos dados e a protecção do cliente. No entanto, as práticas de risco nas fintech tendem a ser mais rápidas, mais orientadas pela tecnologia e mais dependentes de automação e analítica.
Apesar das diferenças de escala e de regulação, a gestão de risco em ambos os sectores partilha uma característica comum: baseia-se largamente em pressupostos sobre aquilo que pode ser antecipado. Os modelos são construídos com base em dados históricos. Os cenários são desenhados em torno de futuros plausíveis. Os controlos são testados face a modos de falha conhecidos.
Isto funciona bem — até deixar de funcionar.
Os limites da gestão de risco tradicional
Uma das lições mais importantes dos últimos anos é que nem todos os riscos são previsíveis. Sistemas complexos falham de formas inesperadas. As correlações mudam. As dependências multiplicam-se. Eventos outrora considerados remotos materializam-se subitamente.
A gestão de risco tende a ter dificuldades em três situações específicas. Primeiro, quando os riscos emergem das interacções entre sistemas, e não de componentes individuais, como falhas em cascata entre fornecedores de cloud, redes de pagamentos e prestadores terceiros. Segundo, quando a velocidade ultrapassa o controlo, como em incidentes de negociação algorítmica ou em corridas digitais a bancos alimentadas pelas redes sociais. Terceiro, quando a própria incerteza é o risco, e as probabilidades não podem ser atribuídas de forma fiável.
Nestas situações, as instituições podem constatar que todos os “controlos certos” estavam em vigor e, ainda assim, o resultado foi danoso. Isto não significa que a gestão de risco tenha falhado; significa que nunca foi concebida para lidar com tudo.
É aqui que a resiliência entra na conversa.
O que significa resiliência nos serviços financeiros
A resiliência não consiste em prever riscos específicos; consiste em assegurar que a instituição consegue continuar a funcionar, adaptar-se e recuperar quando ocorrem perturbações — especialmente aquelas que não foram antecipadas.
Na banca e nas fintech, a resiliência centra-se na capacidade de absorver choques sem falha catastrófica, de manter serviços críticos durante períodos de stress e de recuperar rapidamente, aprendendo com o evento. Está menos preocupada em prevenir todos os incidentes e mais focada em limitar o dano sistémico.
A resiliência operacional tornou-se uma prioridade regulatória em muitas jurisdições, particularmente para instituições de importância sistémica. Os reguladores perguntam cada vez mais não apenas “O que pode correr mal?”, mas também “O que acontece quando corre?”
O pensamento de resiliência desloca a atenção dos eventos de risco individuais para a continuidade de serviços empresariais importantes, como pagamentos, concessão de crédito, acesso dos clientes e integridade dos dados. Dá ênfase à redundância, adaptabilidade e recuperação, em detrimento da precisão e da optimização.
Para as fintech, a resiliência é frequentemente existencial. Uma indisponibilidade prolongada, uma violação de dados ou a perda de confiança dos clientes pode ser fatal. Ao contrário dos grandes bancos, muitas fintech não dispõem de amortecedores de balanço, o que torna a continuidade operacional e a força reputacional factores críticos de sobrevivência.
Principais diferenças entre gestão de risco e resiliência
A distinção entre gestão de risco e resiliência é subtil, mas profunda. A gestão de risco é sobretudo analítica; a resiliência é sobretudo sistémica. A gestão de risco pergunta quão provável é um evento e quão severo poderá ser. A resiliência pergunta se a instituição consegue resistir e adaptar-se ao evento, independentemente da probabilidade.
A gestão de risco tende a focar-se em controlos, limites e compliance. A resiliência foca-se em capacidades, respostas e recuperação. A gestão de risco é frequentemente compartimentada por tipo de risco; a resiliência atravessa funções, tecnologias e fronteiras organizacionais.
O horizonte temporal é outro diferenciador. A gestão de risco é mais forte antes de um evento ocorrer. A resiliência torna-se crítica durante e após o evento. Uma procura reduzir a probabilidade; a outra procura reduzir a fragilidade.
De forma importante, a resiliência aceita a falha como inevitável em sistemas complexos. A questão não é se algo vai correr mal, mas quão mal, quão amplamente e durante quanto tempo.
Como a banca e as fintech devem utilizá-las em conjunto
As instituições mais eficazes não escolhem entre gestão de risco e resiliência. Integram-nas.
A gestão de risco continua a ser essencial para identificar ameaças conhecidas, alocar capital, cumprir expectativas regulatórias e moldar decisões estratégicas. Sem ela, as instituições operariam às cegas. Contudo, a resiliência fornece a rede de segurança quando os pressupostos falham.
Na prática, esta integração exige uma mudança de mentalidade. Em vez de tratar a resiliência como um subconjunto do risco operacional, deve ser encarada como uma capacidade estratégica. Os conselhos de administração e a gestão de topo têm de se envolver em questões sobre tolerância à disrupção, priorização de serviços críticos e compromissos entre eficiência e robustez.
A arquitectura tecnológica desempenha um papel central. Riscos de concentração na cloud, dependências de terceiros e ecossistemas baseados em APIs significam que a resiliência tem de ser concebida desde o início. Redundância, mecanismos de failover e degradação graciosa não devem ser reflexões tardias.
A cultura também é determinante. Organizações que incentivam a transparência, a aprendizagem com incidentes e a colaboração transversal são inerentemente mais resilientes. Culturas orientadas para a culpa podem desencorajar a escalada precoce e amplificar os danos.
Para as fintech, em particular, a resiliência deve ser vista como uma vantagem competitiva, e não apenas como um ónus regulatório. A confiança é a moeda dos serviços financeiros, e a resiliência sob stress é uma das demonstrações mais claras de fiabilidade.
A dimensão regulatória e estratégica
Os reguladores são cada vez mais explícitos na distinção entre gestão de risco e resiliência. Testes de stress, planeamento de recuperação e resolução, e quadros de resiliência operacional reflectem todos o reconhecimento de que a prevenção, por si só, é insuficiente.
Esta mudança regulatória apresenta desafios e oportunidades. As instituições que tratam a resiliência como um exercício de compliance podem ter dificuldades. As que a integram na estratégia — alinhando-a com crescimento, inovação e experiência do cliente — podem diferenciar-se.
Do ponto de vista estratégico, a resiliência sustenta a criação de valor a longo prazo. Permite às instituições inovar com confiança, sabendo que conseguem absorver contratempos. Reforça também a credibilidade junto de reguladores, parceiros e clientes.
Conclusão
Gestão de risco e resiliência não são conceitos concorrentes; são respostas complementares à incerteza na banca e nas fintech. A gestão de risco ajuda as instituições a compreender e mitigar aquilo que conseguem prever. A resiliência prepara-as para aquilo que não conseguem.
Num mundo de crescente complexidade, velocidade e interligação, confiar apenas na previsão já não é suficiente. As instituições financeiras têm de aceitar que a disrupção é inevitável e desenhar-se em conformidade.
O futuro pertence aos bancos e fintech que combinam uma gestão de risco disciplinada com uma resiliência genuína — instituições que não são apenas eficientes em tempos bons, mas fiáveis em tempos difíceis. A estabilidade, afinal, não é a ausência de choques, mas a capacidade de os suportar.
Disclaimer: Este artigo é uma tradução autorizada do original intitulado “Risk Management and Resilience in Banking and Fintech” escrito por Stanley Epstein e publicado originalmente no site Finextra. A tradução foi realizada pela equipa do FintechAO que assume total responsabilidade por eventuais imprecisões na adaptação para o português.
Stanley Epstein
Especialista independente em banca, finanças e fintech, prestando serviços de consultoria e formação nas áreas de Gestão do Risco Operacional, Fintech, Pagamentos, Banca e Processos de Negócio. Formador na Illumeo. Orador regular em webinars e cursos online. Co-fundador e Principal Associate do CITADEL ADVANTAGE GROUP, uma consultora internacional especializada no sector dos serviços financeiros.