Como podem as empresas implementar as “Diretrizes de Gestão de Risco de IA” de Singapura

Autor: Zhang Feng

No cenário atual, em que a tecnologia de inteligência artificial varre a indústria financeira, a Autoridade Monetária de Singapura (MAS) publicou, a 17 de novembro de 2025, o “Documento de Consulta sobre as Diretrizes de Gestão de Riscos de Inteligência Artificial”, que surge como um mapa oportuno, orientando as instituições financeiras que navegam nas ondas da inovação para rotas seguras. Este documento não é apenas o primeiro quadro global de gestão de riscos para o ciclo de vida completo da aplicação de IA no setor financeiro, mas representa também uma mudança fundamental do pensamento regulatório, passando da “promoção de princípios” para a “implementação operacional”. Para qualquer empresa relacionada com o mercado de Singapura, compreender profundamente e implementar sistematicamente estas “Diretrizes” deixou de ser uma “opção” para se tornar uma “obrigatoriedade”.

1. Perscrutar o núcleo das “Diretrizes”: procurar o equilíbrio subtil entre incentivo à inovação e prevenção de riscos

O nascimento das “Diretrizes” resulta de uma profunda perceção regulatória: a IA é uma faca de dois gumes. Tecnologias como IA generativa e agentes de IA brilham em cenários como crédito, consultoria de investimento e gestão de risco, mas também trazem riscos sem precedentes, como “alucinações” dos modelos, envenenamento de dados, dependência da cadeia de fornecimento e perda de controlo de decisões autónomas. Se não forem contidos, estes riscos podem desencadear reações em cadeia muito superiores às de crises financeiras tradicionais.

Assim, a lógica regulatória da MAS não é de “corte único”, mas sim de essência “baseada no risco” e “proporcionalidade”. Isto significa que o foco da regulação e os recursos investidos pelas empresas devem corresponder estritamente ao nível de risco da aplicação de IA. Um modelo de IA de alto risco utilizado para aprovação de crédito necessita, naturalmente, de uma governação mais rigorosa do que uma ferramenta de IA usada para análise de documentos internos. Este pensamento diferenciado reconhece a singularidade de diferentes instituições e cenários, visando construir um ecossistema saudável de “inovação sem excesso”, consolidando a posição de Singapura como um hub global de fintech.

2. Construção de uma defesa em três camadas: governação, sistema de risco e ciclo de vida fechado

As “Diretrizes” proporcionam às empresas uma arquitetura sólida de gestão de riscos em três camadas, progressiva e fechada.

A primeira camada é a governação e supervisão, com o objetivo de clarificar “quem é responsável”. As “Diretrizes” atribuem a responsabilidade final de supervisão dos riscos de IA ao conselho de administração e à gestão de topo, exigindo não só a aprovação da estratégia de IA, mas também o aumento da literacia de IA para uma supervisão eficaz. Para instituições com vastas aplicações de IA e grande exposição ao risco, a criação de um “Comité de IA” transversal às áreas de risco, compliance, tecnologia e negócio, reportando diretamente ao conselho de administração, é uma recomendação-chave para assegurar a implementação da governação.

A segunda camada é o sistema de gestão de riscos, que define “o que gerir” e “o que priorizar”. As empresas devem, primeiro, criar um mecanismo que permita identificar e registar todas as aplicações de IA, sejam próprias, adquiridas ou baseadas em ferramentas open source, formando uma “lista de IA” dinâmica e atualizada. Com base nisto, cada aplicação de IA deve ser “examinada” segundo três dimensões: “grau de impacto”, “complexidade técnica” e “dependência externa”, recebendo uma classificação de risco (alta, média ou baixa). Este mapa de calor de riscos é a base científica para a alocação de recursos de controlo.

A terceira camada é o controlo ao longo de todo o ciclo de vida, que estabelece “como gerir”. Esta é a parte mais operacional das “Diretrizes”, integrando os requisitos regulatórios em cada etapa da IA, da conceção à desativação. Desde garantir a legalidade e equidade dos dados de treino, passando pela verificação de interpretabilidade na fase de desenvolvimento, realizando testes de segurança contra “alucinações” e ataques de injeção de prompts antes do lançamento, mantendo interfaces de supervisão humana durante a operação, até à gestão rigorosa de terceiros e normalização da desativação dos modelos, é criada uma cadeia de gestão sem pontos cegos.

3. Características distintas: visão de futuro, operacionalidade e regulação diferenciada

O documento destaca-se por várias características marcantes. A sua visão de futuro manifesta-se no facto de, pela primeira vez a nível mundial, incluir explicitamente IA generativa e agentes de IA no âmbito da regulação, enfrentando os riscos tecnológicos mais avançados. A sua operacionalidade supera largamente a promoção de princípios, sendo um verdadeiro “manual de operações”, onde princípios abstratos como equidade, ética, responsabilidade e transparência (FEAT) são decompostos em elementos concretos como listas de IA e métricas de avaliação quantitativa. Destaca-se ainda o design diferenciado do gradiente regulatório, estabelecendo percursos de conformidade simplificados para pequenas instituições, intermédios para médias e mais complexos para grandes instituições ou com maior risco, demonstrando pragmatismo.

Além disso, as “Diretrizes” não são um documento isolado, mas complementam-se com o “Quadro de Referência para a Governação de IA” e a “Lei de Proteção de Dados Pessoais” (PDPA) de Singapura, entre outros, e promovem a elaboração de manuais de melhores práticas setoriais através de projetos como o Project MindForge, construindo um ecossistema tridimensional de “regulação rígida + orientação flexível”.

4. Caminho de implementação faseada: integração total para empresas domésticas e conformidade precisa para empresas transfronteiriças

Perante as “Diretrizes”, diferentes tipos de empresas devem adotar estratégias de resposta distintas.

Para as instituições financeiras a operar em Singapura, a implementação deve decorrer em três fases:

Até ao fim do período de consulta, em 31 de janeiro de 2026, as empresas devem concluir o trabalho fundamental de “levantamento” — inventariando todos os ativos de IA e realizando uma avaliação inicial de risco, enquanto participam ativamente na apresentação de comentários. Durante o período de transição de 12 meses que se inicia no segundo semestre de 2026, decorre a fase de construção: aperfeiçoamento da estrutura de governação, estabelecimento de processos de gestão do ciclo de vida, reforço da gestão de fornecedores terceiros e formação de compliance para todos os colaboradores. A partir do segundo semestre de 2027 e nos períodos subsequentes de operação normal, o foco passa para a otimização dinâmica, auditorias internas e colaboração setorial, mantendo o sistema de gestão de riscos sempre atualizado.

Para empresas que, embora não tenham presença física em Singapura, já atuam no mercado local (por exemplo, prestando serviços financeiros transfronteiriços ou fornecendo tecnologia de IA a instituições financeiras do país), a estratégia central deve ser “conformidade precisa” e “isolamento de riscos”. Em primeiro lugar, é essencial identificar claramente quais atividades e aplicações de IA estão sob o âmbito das “Diretrizes”. Em seguida, deve ser criado um processo de conformidade e arquivo específico para estas “atividades em Singapura”, assegurando capacidade de resposta pronta a auditorias dos parceiros ou da MAS. Tecnicamente, recomenda-se isolar os sistemas de IA direcionados ao mercado de Singapura e comunicar proativamente e com transparência o estado de conformidade aos parceiros locais, convertendo a capacidade de compliance em confiança de mercado e vantagem competitiva.

5. Para além da conformidade: transformar a gestão de riscos em vantagem competitiva central

A implementação das “Diretrizes” exige a sua integração profunda nos cenários de negócio e fluxos operacionais, alcançando a “fusão perfeita” entre gestão de riscos e operações diárias.

Tomando como exemplo a aprovação de crédito, um cenário de alto risco, as empresas devem definir múltiplos pontos de controlo de conformidade no processo de negócio. Na fase de conceção de requisitos, as equipas de negócio e tecnologia devem avaliar conjuntamente potenciais enviesamentos do modelo, proibindo explicitamente o uso de características sensíveis como raça ou género para decisão; no desenvolvimento do modelo, devem ser implementadas validação independente e testes de equidade para garantir interpretabilidade; após o lançamento, o sistema deve impor revisão manual obrigatória para casos “de alto risco” ou “de fronteira”, com registo completo do histórico de decisões para auditoria. No caso da utilização de IA generativa em atendimento inteligente ao cliente, é necessário embutir mecanismos de deteção de “alucinações” e monitorização em tempo real nos diálogos, prevenindo respostas desviantes e estabelecendo pontos claros de intervenção manual para operações que envolvam transações ou informação sensível.

As empresas devem transformar o “controlo de ciclo de vida completo” das “Diretrizes” noSOP(Procedimento Operacional Padrão) de cada departamento de negócio. Por exemplo, nos processos de recomendação de marketing, desde a recolha de dados é preciso garantir a autorização dos utilizadores e a representatividade dos dados; a iteração de modelos exige não só testes técnicos, mas também revisões conjuntas entre os departamentos de negócio e compliance, baseadas nos requisitos regulatórios mais recentes; os resultados de testes A/B em operações devem incluir avaliações de impacto na equidade. Ao estruturar pontos de controlo de risco de IA nos processos de negócio, as empresas não só cumprem de forma sistemática os requisitos de compliance, como também melhoram a qualidade e robustez das decisões, transformando o quadro regulatório numa vantagem operacional.

A implementação das “Diretrizes” está longe de ser apenas um centro de custos ou um fardo de conformidade. O seu sucesso depende de as empresas conseguirem elevá-la ao nível estratégico. O verdadeiro compromisso da gestão de topo e o investimento contínuo de recursos são a base; o alinhamento profundo entre departamentos de negócio e tecnologia é o sangue vital, pois a gestão de risco de IA não pode ser apenas tarefa das equipas técnicas, mas sim uma colaboração em que o negócio define necessidades, a tecnologia implementa e o compliance supervisiona, num ciclo integrado. Além disso, num contexto de rápida evolução tecnológica e regulatória, criar mecanismos de adaptação dinâmica e melhoria contínua, recorrendo a ferramentas automatizadas de monitorização e avaliação para aumentar a eficiência, é fundamental para manter a agilidade.

Em última análise, as empresas líderes perceberão que uma gestão de riscos de IA robusta, transparente e credível se torna um ativo de marca e vantagem competitiva poderosa. Não só cumpre os requisitos regulatórios, como conquista a confiança dos clientes e do mercado a longo prazo, construindo a mais fiável “muralha” empresarial na era digital incerta. Com a entrada em vigor da versão final em 2026, as empresas que concluírem primeiro a implementação sistémica ganharão, sem dúvida, uma preciosa vantagem de pioneirismo na nova corrida da fintech em Singapura e a nível global.