System developers analyzing code on wall screen tv looking for errors while team of coders collaborate on artificial intelligence project. Programmers working together at machine learning software.

Como equilibrar oportunidades e riscos na adoção de tecnologias disruptivas

Autores

  • Todd Marlin

    EY Global Forensic & Integrity Services Technology & Innovation Leader

  • Jim McCurry

    EY Global Forensic & Integrity Services Deputy Leader

12 minutos de leitura 30 nov 2023
Tópicos relacionados
IA

A adoção bem-sucedida de tecnologias disruptivas exige um equilíbrio entre a busca de oportunidades e o gerenciamento de riscos.

Em resumo
  • As leis e diretrizes muitas vezes não conseguem acompanhar o ritmo acelerado da evolução tecnológica, o que torna essencial que as organizações sejam proativas.
  • O investimento em tecnologia de conformidade está crescendo, mas pode não ser suficiente.
  • As organizações precisam priorizar o uso ético da tecnologia e incorporar a inovação em sua estratégia de conformidade mais ampla.

A inteligência artificial(IA), a automação e outros avanços estão transformando a empresa e sua área de conformidade à medida que otimizam as operações e extraem novas percepções dos dados. Contudo, essas tecnologias ampliam os riscos existentes, como violações de dados e danos à reputação, ao mesmo tempo em que criam novas ameaças. A IA generativa (GenAI), juntamente com outros avanços, pode ajudar os departamentos jurídicos e de conformidade a gerenciar melhor os riscos, com o investimento certo. Mas a GenAI e outras tecnologias disruptivas também podem levar a sérios desafios de negócio, como a criação de conteúdo falso ou tendencioso, a violação de leis de direitos autorais e a exploração de dados pessoais.

Um dos principais desafios corporativos na era da privacidade é acompanhar as mudanças regulatórias em muitas jurisdições, mas, no caso da IA, o desenvolvimento ultrapassou em muito as iniciativas em âmbito legislativo. Essa lacuna levou os stakeholders a exigir que as organizações desenvolvam, de forma proativa, uma estrutura pautada pela ética para o uso da IA e de outras tecnologias emergentes.

Como as empresas podem promover uma cultura de conformidade e, ao mesmo tempo, manter-se competitivas?

As empresas precisam desenvolver uma estratégia coesa para utilizar a tecnologia e os dados de forma responsável, do mesmo modo que priorizam sua agenda de sustentabilidade. As organizações podem adotar muitas das medidas usadas para definir metas, gerenciar e relatar iniciativas como a proteção do meio ambiente e a promoção do bem-estar de seus stakeholders e comunidades. Essa estratégia deve estar alinhada com os valores principais da organização, em vez de depender de regulamentos em constante mudança que variam entre as jurisdições. A adoção de tecnologia é fundamental para o crescimento dos negócios, mas a não priorização do seu uso ético pode ser sinônimo de que os riscos legais e de reputação acabam se sobrepondo a quaisquer benefícios.  

Por que não basta confiar totalmente na legislação

Os sistemas de IA coletam e analisam grandes quantidades de dados, aumentando os riscos de ataques cibernéticos e violações de dados. A IA usada para vigilância também pode afetar o direito à privacidade. Utilizá-la para gerar imagens e vídeos pode induzir o público ao erro e implicar violação às leis de direitos autorais. Outros riscos compreendem a geração de conteúdo fictício (alucinações) e a falta de transparência nas decisões com base em dados. Os sistemas de IA também podem ampliar os preconceitos da sociedade ao discriminar um cliente de banco que esteja buscando crédito ou se candidatando a um emprego.

Esses riscos ultrapassaram, e muito, a capacidade de os legisladores e órgãos reguladores controlá-los. Cerca de 40 leis relacionadas à IA foram aprovadas globalmente em 2022,1 antes da explosão do uso da GenAI, e novas regulamentações que abordam a GenAI estão pendentes em muitas jurisdições importantes, incluindo a UE, cuja Lei de IA está pronta para servir como modelo global, assim como o Regulamento Geral de Proteção de Dados (GDPR).

New regulatory requirements
AI-related laws passed globally in 2022

As mudanças nos requisitos regulatórios representam o principal desafio para as grandes empresas ao considerar a adoção de tecnologia para apoiar a governança de dados, o uso responsável de IA e a segurança cibernética, de acordo com uma pesquisa da EY de 2023 produzida pela EI Studios, uma divisão da Economist Impact.

Muitas empresas multinacionais gostariam de aplicar as normas de proteção de dados mais rigorosas de forma holística, mas pode haver conflitos de jurisdição. As organizações precisam decidir qual é a posição mais defensável e, ao mesmo tempo, minimizar a movimentação de dados de uma área geográfica para outra.

Um estudo realizado pela EY sobre oito jurisdições que estão liderando o caminho no desenvolvimento de regulamentações de IA revela abordagens diferentes, mas objetivos semelhantes: reduzir os possíveis danos à IA e, ao mesmo tempo, facilitar seu uso para beneficiar os cidadãos. Todas as jurisdições estão adotando uma abordagem com base em riscos para criar regulamentações que protejam os direitos humanos, a privacidade e a segurança dos dados e, ao mesmo tempo, demonstrem transparência e sustentabilidade. Por exemplo, a Lei de IA da UE exige que os sistemas GenAI divulguem o conteúdo gerado pela IA e publiquem resumos dos dados protegidos por direitos autorais utilizados para treinamento.2

Mas as empresas enfrentam cada vez mais riscos à reputação, mesmo que não haja leis em vigor. Os temores crescentes com relação à IA estão trazendo novas demandas dos stakeholders. Investidores corporativos, colaboradores, parceiros e clientes, ao mesmo tempo em que pressionam os órgãos reguladores a agir mais rapidamente, estão pedindo que as empresas sejam proativas no uso responsável da IA e de outras tecnologias.    

Os líderes mundiais também estão pressionando as organizações para o uso ético da IA. Como precursor das regulamentações nacionais dos EUA, o governo Biden está solicitando compromissos voluntários para desenvolver a IA de forma responsável.3 O secretário-geral da ONU, Antonio Guterres, conclamou os membros do Conselho de Segurança a participarem de "uma corrida para desenvolver a IA para o bem".4 Esses tipos de demandas crescentes significam que as organizações não podem se dar ao luxo de esperar que os reguladores se atualizem antes de definir sua estratégia de IA.

O investimento em tecnologia de conformidade está crescendo, mas demonstra-se suficiente e estratégico?

Os órgãos reguladores esperam cada vez mais que as empresas usem tecnologias avançadas para demonstrar, de forma objetiva, uma conformidade sólida. Por exemplo, o Departamento de Justiça dos EUA (DOJ) pede que as empresas utilizem a análise de dados para avaliar periodicamente sua conformidade.5 Deixar de fazer isso é um fato submetido à análise e considerações da parte dos promotores.

A análise de dados, a IA e a automação melhoram muito a capacidade de detectar riscos jurídicos e de reputação, descrevê-los (normalmente de forma quantitativa) e fornecer insights que podem ser concretizados. Confiar em sistemas manuais simplesmente não é uma opção para a maioria das empresas.

Isso ocorre porque os dados dos clientes, a força vital da maioria dos setores, estão chegando em volumes maiores do que nunca, e o ritmo está aumentando. Os profissionais de dados afirmam que os volumes de dados estão crescendo 63% a cada mês, em média, em suas organizações, com dados provenientes de 400 fontes diferentes, de acordo com uma pesquisa de 2022 da Matillion e da IDG Research.6 O controle eficaz desses dados é um requisito básico que, normalmente, não atrai investimentos suficientes.

Quase metade dos diretores de dados pesquisados em 2022 disse que uma governança de dados clara e eficaz é uma das principais preocupações.7 Antes de investir em tecnologia, as empresas precisam avaliar como gerenciam as informações. E quem tem acesso a que tipo de dados? Como os dados são minimizados, rastreados, validados e transferidos?  Como são protegidos? Muitas organizações talvez precisem investir mais em governança de dados antes de investir em IA.

A maioria das empresas está aumentando seus gastos com tecnologia jurídica e de conformidade, com 87% investindo em IA e aprendizado de máquina, de acordo com a pesquisa 2023 EI Studios encomendada pela EY. No entanto, a maioria das organizações pesquisadas gasta menos de 10% de seu orçamento de TI em tecnologias usadas para identificar e gerenciar riscos jurídicos e de conformidade.

Legal and compliance technology
of companies are investing in AI and machine learning
IT budget allocation
spent on technologies used to identify and manage legal and compliance risk

Qualquer investimento em tecnologia de conformidade deve incluir salvaguardas para garantir que a tecnologia esteja funcionando de forma adequada e eficaz. Por exemplo, o aprendizado de máquina pode ajudar uma empresa a detectar padrões de fraude em transações de vendas ou sinalizar fornecedores problemáticos, mas o uso de dados tendenciosos ou insuficientes pode resultar em falsos positivos.

Também os criminosos estão aproveitando a IA. Os sistemas de IA podem desenvolver malware sofisticado, aprender com ataques malsucedidos e criar campanhas de phishing que acabam inspirando mais confiança nas potenciais vítimas. As empresas que utilizam IA e automação para detectar esses ataques e responder a eles descobrem violações de dados muito mais rapidamente do que aquelas que não usam, reduzindo o custo de uma violação em quase US$ 2 milhões, de acordo com uma pesquisa realizada pela IBM.8 Apesar disso, apenas metade das organizações estudadas planejava aumentar o investimento em segurança após uma violação.

As organizações também devem considerar gastar mais em controles internos, que restringem o acesso aos dados e fornecem prestação de contas nesse sentido. Controles inadequados são identificados como o risco interno mais apontado, conforme relatado na pesquisa EI Studios 2023 encomendada pela EY. A incorporação de fluxos de trabalho com controles integrados reduz erros e fraudes, criando scorecards de conformidade digitalizados que fornecem insights detalhados sobre as principais áreas de risco.

A análise avançada de dados também permite que a empresa integre o gerenciamento de riscos à estratégia e à gestão de desempenho. Por exemplo, uma análise abrangente da exposição ao risco para cenários emergentes ajuda o conselho de administração a determinar se suas estratégias e modelos de negócios são viáveis, conforme descrito na EY Global Board Risk Survey 2023, que constatou que os conselhos de administração altamente resilientes potencializam os dados e a tecnologia de forma eficaz para detectar riscos antecipadamente e melhorar a tomada de decisões.

Desenvolvimento de uma estratégia sustentável de dados e tecnologia que se alinhe aos valores principais

O uso responsável da tecnologia talvez nem sempre seja uma prioridade estratégica para muitas empresas. Quase metade dos entrevistados na pesquisa EI Studios 2023, encomendada pela EY, relatou que sua organização não possui uma estratégia corporativa para a privacidade de dados, que é bem regulamentada na maioria das jurisdições e requer uma sólida governança de dados.

As organizações precisam desenvolver uma estratégia e uma visão abrangentes para gerenciar a tecnologia e os dados de forma ética, assim como muitas empresas fizeram com sua agenda de sustentabilidade. Os avanços nessa área são alarmantes. Menos de um terço dos administradores acredita que sua supervisão dos riscos decorrentes da transformação digital é muito eficaz, de acordo com a EY Global Board Risk Survey (GBRS) 2023.

Uma declaração da missão se faz essencial para mostrar como uma empresa gerencia a tecnologia e os dados de forma adequada e defensável, alinhada com seus valores fundamentais. Por exemplo, a Adobe comunicou claramente seu compromisso com o avanço do uso responsável da tecnologia para o bem da sociedade. Seus Princípios Éticos de IA descrevem as ações que o fabricante de software está realizando para evitar vieses prejudiciais à IA e alinhar seu trabalho com seus valores.9

A abordagem da Microsoft para criar uma IA responsável e confiável é orientada por perspectivas éticas e de prestação de contas.10 A empresa pede que os desenvolvedores de tecnologia estabeleçam órgãos de revisão interna para fornecer supervisão e orientação para que seus sistemas de IA sejam inclusivos, confiáveis, justos, responsáveis, transparentes, privados e seguros.

O uso ético da tecnologia não é possível sem a promoção de uma cultura em que a integridade seja tão importante quanto os lucros. Por exemplo, o Grupo Volkswagen afirma que a integridade e a conformidade têm a mesma prioridade estratégica e operacional que a receita de vendas, o lucro, a qualidade do produto e a atratividade do empregador.11

O custo médio de uma violação de dados cresceu para quase US$ 4,5 milhões em 2023, de acordo com um estudo da IBM.12 As multas regulatórias também estão aumentando, com a Meta sendo punida com uma sanção de € 1,2 bilhão por violações do GDPR.13

As organizações que buscam criar uma estratégia ética e sustentável para o uso de tecnologia e dados podem adaptar medidas usadas para outras iniciativas de sustentabilidade, como proteção ambiental e boa governança. Isso inclui a definição de metas e orçamentos, a medição do desempenho e a divulgação pública do progresso. Esforços consideráveis em prol da sustentabilidade podem contribuir muito para abordar as preocupações dos stakeholders e até mesmo atrair candidatos a emprego.  

Algumas atividades relacionas a sustentabilidade, como ações de natureza climática, já estão passando de compromissos voluntários para práticas de conformidade à medida que os órgãos reguladores estabelecem exigências de divulgação para companhias de capital aberto.14 Espera-se que a estratégia corporativa e os princípios da tecnologia ética tenham o mesmo foco da agenda de sustentabilidade, caso ainda não o tenham.

Garantir a confiança na IA com uma abordagem robusta de governança é uma das cinco iniciativas estratégicas que as equipes da EY recomendam para as organizações que buscam maximizar o potencial da IA e, ao mesmo tempo, enfrentar seus desafios. Essa abordagem inclui:

  • Instituir um conselho ou comitê de IA em conjunto com princípios éticos para orientar políticas e procedimentos
  • Acompanhar todas as regulamentações existentes relevantes e garantir que todos os novos casos de uso estejam em conformidade
  • Definição de controles para lidar com riscos emergentes
  • Preparação para legislação pendente

Priorizar o uso ético da IA e de outras tecnologias emergentes significa dizer que os líderes devem ter cuidado para não cair na cilada do "falar e de fato fazer", em que eles falam da boca para fora na hora de fazer a coisa certa. Essa lacuna ficou claramente aparente no EY Global Integrity Report 2022, no qual 58% dos membros do conselho disseram que ficariam muito ou razoavelmente preocupados se suas decisões estivessem sujeitas ao escrutínio público e 42% relataram que sua empresa está disposta a tolerar comportamentos antiéticos de colaboradores de alto escalão ou com mais senioridade.

O crescimento da GenAI traz novas oportunidades e também novos riscos

Imagine duas portas - uma rotulada como "oportunidade tecnológica" e a outra como "risco tecnológico". Qual porta você abre primeiro? O que é mais importante para sua organização?  O que bloqueia o seu caminho e quem pode estar lhe atrapalhando?

A GenAI tornou mais difícil do que nunca equilibrar oportunidade e risco ao de adotar uma tecnologia. Sua ampla adoção em 2023 aumentou a conscientização sobre o potencial de todos os tipos de IA, juntamente com suas deficiências. As pessoas de modo geral querem saber como a IA pode ser impedida de criar informações falsas, resultados tendenciosos e tirar seus empregos.

Os modelos de linguagem ampla (LLMs), como o ChatGPT, estão se tornando um divisor de águas para as áreas jurídicas e de conformidade com sua capacidade de analisar e resumir um grande número de documentos. Mas os profissionais bem versados em riscos de privacidade e segurança cibernética podem ter dificuldades para avaliar as novas ameaças decorrentes da IA. Já vimos advogados citarem casos inventados pela IA, o que torna essencial que os resultados sejam validados por outras ferramentas e/ou pessoas inteligentes

As organizações que buscam reduzir os riscos da GenAI proibindo seu uso podem ver essa estratégia sair pela culatra. Mais de um quarto dos colaboradores que responderam a uma pesquisa on-line da Reuters-Ipsos em julho de 2023 disseram que usavam regularmente o OpenAI ChatGPT no trabalho, embora apenas 22% desses usuários tenham dito que seus empregadores permitiam seu uso explicitamente.15 Limitar os colaboradores às ferramentas GenAI aprovadas pela empresa pode resultar em soluções alternativas, o que torna fundamental o desenvolvimento de políticas, normas e procedimentos, independentemente de como a IA é acessada em toda a organização.

Mesmo as empresas que autorizam o uso da GenAI podem não ter uma visão completa de como ela está sendo implantada e dos riscos associados. Mais da metade das falhas de IA vem da "IA sombra" ou de ferramentas de terceiros, que são usadas por 78% das organizações em todo o mundo, de acordo com a pesquisa do MIT.16

As empresas que buscam investimentos em GenAI devem se concentrar nos problemas que estão tentando resolver e na função que os dados desempenharão. A organização dispõe dos dados necessários? Você entende como os dados foram gerados, suas limitações e o que eles representam? Os dados podem ser usados para criar LLMs? A falta de uma boa governança de dados pode causar uma série de riscos, desde resultados tendenciosos até violações de dados. Mesmo que uma empresa faça tudo isso corretamente, muitas vezes há falha na comunicação sobre as iniciativas de uma forma que a liderança, os investidores, os colaboradores e outros stakeholders de fato entendam.

A realidade é que, independentemente da porta que você abrir primeiro, acabará na mesma sala. Tecnologias emergentes com potencial de mudança de jogo sempre estarão interligadas a um conjunto de riscos jurídicos e de reputação que devem ser abordados de forma estratégica.

Como a EY pode ajudar

  • Integridade & Conformidade

    À medida que a aplicação da regulamentação e a intolerância pública à má conduta corporativa aumentam, os profissionais da EY ajudam você a fortalecer sua integridade e suas estruturas de conformidade global. E, caso ocorram violações ou surjam alegações de fraude ou corrupção, as equipes da EY Forensics vão ajudar a responder rapidamente para proteger seus negócios.

    Leia mais

Conclusões

As novas exigências regulatórias e as crescentes expectativas dos stakeholders estão levando as empresas a lidar melhor com os riscos decorrentes da adoção de novas tecnologias. Contudo, não estão fazendo o suficiente. A pesquisa de 2023 da EI Studios, encomendada pela EY, revela lacunas alarmantes nas estratégias para lidar com ameaças digitais e investimento insuficiente em TI para gerenciar riscos e manter a conformidade.
 

É essencial contar com uma estratégia sólida e coesa para usar a tecnologia e os dados de forma responsável em toda a empresa, com o apoio de governança e investimento adequados. Acreditamos que as organizações devem considerar a possibilidade de modelar seus esforços de governança de tecnologia e informação de acordo com as principais iniciativas de sustentabilidade.
 

Os líderes que investem na proteção de dados e no uso responsável da tecnologia podem enfrentar com mais eficiência as crescentes ameaças digitais, como violações de dados, violações de privacidade e uso indevido de IA. Eles também podem usar a tecnologia para promover uma tomada de decisões mais eficaz e incorporar o gerenciamento de riscos à estratégia de negócios e à conformidade, criando uma empresa mais resiliente e bem-sucedida.


Sumário

Diante da rápida inovação tecnológica, as organizações estão navegando em um cenário complexo de oportunidades e riscos. Tecnologias como a IA estão transformando as operações, mas também ampliando os riscos, como violações de dados e preocupações de ordem ética. Embora a GenAI possa ajudar os departamentos jurídicos e de conformidade a gerenciar os riscos, o investimento no uso ético da tecnologia pode ficar para trás. Com o rápido desenvolvimento da IA, as regulamentações lutam para acompanhar o ritmo, exigindo que as organizações estabeleçam, de forma proativa, estruturas com base em ética para o uso da tecnologia. As organizações que priorizam a proteção de dados e o uso ético da tecnologia podem navegar melhor no cenário digital, mitigando os riscos e promovendo uma tomada de decisão mais eficaz.

Sobre este artigo

Autores

  • Todd Marlin
    EY Global Forensic & Integrity Services Technology & Innovation Leader
  • Jim McCurry
    EY Global Forensic & Integrity Services Deputy Leader
Tópicos relacionados
IA

EY refere-se à organização global e pode se referir a uma ou mais das firmas-membro da Ernst & Young Global Limited, cada uma das quais é uma entidade legal separada. A Ernst & Young Global Limited, uma empresa britânica limitada por garantia, não presta serviços a clientes.