A nova regulamentação mudará fundamentalmente o cenário para as maiores empresas de tecnologia – principalmente os provedores de nuvem, diz um novo artigo do JWG, o think tank com sede em Londres que rastreia e analisa a regulamentação de serviços financeiros.
Gerenciamento de riscos
“Gerenciando o risco da infraestrutura digital: um caminho colaborativo para a segurança dos serviços financeiros”, está disponível online do JWG. Sua análise, baseada em 287.897 páginas de novas regras apenas em 2022, é um alerta para as empresas que precisam definir ‘como é bom’ antes que multas maciças comecem a chegar.
A empresa usa um processador de linguagem natural para vasculhar os regulamentos. “Nós modelamos todos os termos que sabemos que os reguladores falam e exploramos tópicos que não entendemos e tentamos ter uma noção de como tudo se encaixa”, disse Di Giammarino.
Os novos regulamentos abrangerão a gestão de risco de tecnologia da informação e comunicação (TIC), estratégia de gestão de risco de terceiros, planejamento de cenários, resiliência operacional e governança de tecnologia. E, é claro, os requisitos serão um pouco diferentes na UE, no Reino Unido e nos EUA, sem mencionar a Ásia.
Fica muito complicado, disse PJ Di Giammarino, CEO da JWG. “Já temos uma grande divisão entre Ásia, Estados Unidos e Europa. A Europa é centrada no cliente e regula para proteger o indivíduo. Os EUA protegem a corporação e o direito de fazer negócios com um pouco de proteção para as pessoas também, e a China tem tudo a ver com os direitos do Estado.”
Isso pode adicionar um novo nível de complexidade e custos, acrescentou.
“Para resumir os últimos 18 anos de registro, era tudo sobre quem negocia o quê. Agora, o que está acontecendo aqui é uma outra conversa – COMO? Isso está em todo lugar hoje, pequenos pedaços de reg que estão mordiscando o COMO. A menos que você faça isso de cima para baixo, você morrerá com muitos e muitos cortes de papel e multas.”
Francis Gross, consultor sênior do Banco Central Europeu, disse que a indústria precisa agir rapidamente. “Fica-se com a sensação de que a indústria e os reguladores precisarão aprender, rápido e juntos, o que a tecnologia é para a competição e o que é melhor para a ação coletiva, além dos silos de hoje”, disse ele, falando a título pessoal.
Os reguladores exigirão que as empresas tenham que ir além dos silos para gerenciamento de risco
As empresas na Europa serão solicitadas a fornecer ao Banco Central Europeu uma lista completa de todos os contratos de terceirização, incluindo 32 campos de dados para cada um, com 19 campos de dados adicionais para aqueles considerados críticos ou importantes, de acordo com o relatório.
“Este estudo do JWG descreve a transição que nosso setor está passando com o gerenciamento de riscos de infraestrutura digital passando do back office para a sala da diretoria”, disse Richard Harmon, vice-presidente e chefe global de serviços financeiros da Red Hat. “Agora, mais do que nunca, o conselho precisará dedicar tempo para entender as interdependências entre modelos de negócios, requisitos regulatórios, tecnologia e cadeia de suprimentos dos bancos.”
Di Giammarino disse que as empresas de serviços financeiros terão que deixar de lado a maneira tradicional de operar em silos – as demandas regulatórias exigirão uma abordagem holística.
“Isso tudo fica muito tribal. Mesmo dentro do risco você tem risco de mercado e risco de crédito, e eles podem não dar atenção ao risco operacional. E agora você também tem resiliência operacional. A maioria dos controles foi desenvolvida ao longo do tempo, mais ou menos como a infraestrutura de TI se desenvolveu. Agora, as empresas enfrentam um grande exercício de limpeza em torno de quais controles temos e se eles são adequados para o propósito das novas regras.”
Embora Chris Skinner, do The Finanser e autor de vários livros perspicazes sobre finanças digitais, tenha reclamado com frequência que os conselhos não têm diretores suficientes com forte conhecimento tecnológico, Di Giammarino acha que agora eles estão bem fundamentados em tecnologia.
“Esses caras no conselho são bastante experientes em tecnologia agora”, disse ele. “Se eles têm menos de 40 anos, cresceram em um mercado que era todo baseado em tecnologia. Acho que a questão do conselho não é tanto se as pessoas lá são experientes, mas como essa segunda linha de defesa funciona em conjunto. Cada organização pode ter diferentes pessoas intensificando. Pode ser a principal função administrativa que reúne finanças, conformidade e risco, ou um banco pode simplesmente dar isso ao risco ou às operações e tecnologia. ”
O JWG recomenda que uma estrutura abrangente de gerenciamento de riscos seja desenvolvida com base nas estruturas atuais vinculadas a regulamentos e padrões. Mas fica bem claro no documento do JWG que os regulamentos em discussão serão amplos e exigirão um exame dos serviços de nuvem existentes. Por exemplo, as empresas na UE podem ter que mostrar como remover serviços de TIC de um provedor existente e transferi-los para um provedor diferente ou trazê-los internamente. Os reguladores terão uma imagem única das interdependências da cadeia de suprimentos e poderão identificar os riscos de concentração pela primeira vez, diz o relatório.
Os reguladores também analisarão a IA para ver como a infraestrutura, os dados e os aplicativos são tratados.
“Enquanto a UE tem mais obrigações e aparentemente está liderando o ataque, o Reino Unido permanece logo atrás e a colaboração com os EUA é de alta probabilidade… Infelizmente, descobrimos que não há muita conexão entre as muitas comunidades de risco que deveriam estar se unindo por trás dessas iniciativas. Conformidade, risco operacional, tribos de dados e tecnologia geralmente parecem estar trabalhando em silos e, embora algumas práticas recomendadas tenham surgido, hoje não há um corpo ou uma abordagem unificada para controles holísticos. No geral, esta é uma receita para 3 anos muito complexos, frustrantes e caros.”
As empresas que trabalham em várias jurisdições, como a maioria das grandes IFs, precisam descobrir seu caminho através de regimes regulatórios sobrepostos.
“Por exemplo, como uma instituição financeira dos EUA certifica que seu aplicativo de crédito, hospedado no Reino Unido, atende clientes italianos com IA que atende aos requisitos da Lei de IA da UE, incluindo design, dados, testes e controles que precisam ser registrados nas autoridades da UE? ?”
O setor tem uma janela curta para criar um conjunto harmonizado de controles, alerta o relatório.
“Os esforços de implementação são fragmentados e exigem esforços de mapeamento redundantes. Um enorme fardo administrativo pode aumentar o custo da tecnologia e sufocar a inovação.”
