
Tecnologia
O banco virou empresa de tecnologia — e o controle interno precisa virar junto
8 de julho de 2026
Bancos devem investir R$ 50,4 bi em tecnologia em 2026, com IA e nuvem no centro. Veja o que isso exige de governança de modelos e auditabilidade.
A edição 2026 da pesquisa de tecnologia bancária conduzida pela federação do setor, divulgada no fim do primeiro semestre, consolidou um retrato que o mercado já intuía: os bancos brasileiros devem investir cerca deR$ 50,4 bilhões em tecnologia em 2026, alta de 8% sobre os R$ 46,8 bilhões aplicados em 2025 — e crescimento de 58% no orçamento de tecnologia em cinco anos. Os investimentos em inteligência artificial somaram R$ 826 milhões em 2025, avanço de 39% sobre o ano anterior; os gastos com migração para nuvem chegaram a R$ 3,9 bilhões, com a nuvem pública concentrando R$ 3,5 bilhões. Do lado do cliente, 83% das transações bancárias já ocorrem em canais digitais — 78% pelo celular. Os números costumam ser lidos como história de eficiência e experiência do usuário. Mas há uma segunda leitura, menos celebrada e mais estrutural: quando modelos de IA e infraestrutura de nuvem passam a executar decisões de crédito, prevenção à lavagem, precificação e atendimento, eles deixam de ser "projetos de tecnologia" e entram no perímetro dos controles internos, da gestão de riscos e da auditoria — com tudo o que isso exige de governança, evidência e rastreabilidade.
Resumo
A pesquisa setorial de tecnologia bancária de 2026 apontaR$ 50,4 bilhões de investimento previsto em tecnologia(+8% sobre 2025), com IA, IA generativa, nuvem e cibersegurança como prioridades estratégicas; a coleta abrangeu 25 bancos, representando cerca de 85% dos ativos da indústria.
IA saiu do piloto e entrou na operação: R$ 826 milhões investidos em 2025 (+39%), com aplicação em backoffice, desenvolvimento de sistemas e experiência do cliente — e percepção crescente de retorno sobre o investimento entre as instituições.
Quando o modelo decide — crédito, suspeita de lavagem, precificação —,a decisão automatizada vira objeto de controle interno: inventário de modelos, validação independente, monitoramento de desempenho e trilha de evidência deixam de ser boas práticas e passam a ser requisito de auditabilidade.
A migração para a nuvem, especialmente pública, desloca parte relevante do ambiente de controle paraterceiros: contratos, segregação de dados, continuidade de negócios, direito de auditoria e relatórios de asseguração de prestadores tornam-se peças centrais do arcabouço de governança exigido de instituições reguladas.
Movimento de investimento | O que muda na operação | Exigência de controle e auditoria |
|---|---|---|
IA e IA generativa em escala | Modelos participam de decisões de crédito, PLD, precificação e atendimento | Governança de modelos: inventário, validação independente, monitoramento de degradação, explicabilidade da decisão |
Nuvem pública como infraestrutura central | Dados e processamento críticos operados por prestadores externos | Gestão de risco de terceiros, requisitos regulatórios de contratação, relatórios de asseguração (tipo ISAE 3402), plano de saída |
83% das transações em canais digitais | O controle deixa de ser manual e passa a ser o próprio sistema | Controles gerais de TI e controles automatizados como objeto direto da auditoria (ambiente digital das NBC TA) |
Cibersegurança como prioridade permanente | Superfície de ataque cresce com integração e APIs | Testes de resposta a incidentes, gestão de acessos, evidência de efetividade — não apenas política escrita |
De projeto de tecnologia a componente do ambiente de controle
Durante anos, tecnologia bancária foi tratada, nas demonstrações e na governança, como centro de custo e habilitador de negócio. O dado de 2026 descreve outra realidade: a tecnologiaéa operação. Quando 83% das transações ocorrem em canais digitais, o processamento, a autorização, o registro contábil e a prevenção a fraudes acontecem dentro de sistemas — e o ambiente de controles internos relevante para o relato financeiro passa a ser, em grande medida, o ambiente de tecnologia. Essa é exatamente a direção da modernização das normas de auditoria: a análise de riscos precisa contemplar controles gerais de TI, integridade de dados e controles automatizados como parte do entendimento da entidade, não como anexo técnico.
Para a administração, a consequência prática é que o investimento em tecnologia precisa vir acompanhado de investimento proporcional emcontrole sobre a tecnologia. A régua não é a sofisticação do modelo, e sim a capacidade de demonstrar — com evidência — que ele faz o que se espera, que alguém independente o validou e que desvios são detectados e tratados.
Governança de modelos: quem responde pela decisão da máquina
A aplicação de IA em backoffice e desenvolvimento é a face menos arriscada do fenômeno. O salto de exigência ocorre quando o modelo participa de decisões com efeito econômico ou regulatório direto: conceder ou negar crédito, apontar ou ignorar uma operação suspeita, precificar um produto. Nesses casos, a instituição precisa de um arcabouço de governança de modelos com componentes mínimos:inventário(quais modelos existem, o que decidem, com que dados);validação independenteantes da entrada em produção, com documentação de premissas, limitações e testes;monitoramento contínuode desempenho e de degradação (drift) conforme o comportamento dos dados muda;explicabilidade proporcional ao risco— a instituição precisa conseguir reconstituir por que o modelo decidiu o que decidiu, especialmente em decisões contestáveis; ealçadas humanasdefinidas para exceção, revisão e desligamento.
Sem esses componentes, a decisão automatizada vira caixa-preta — e caixa-preta não passa por supervisão, não sustenta defesa em questionamento regulatório e não gera evidência de auditoria. O ponto não é jurídico apenas: modelos de crédito alimentam diretamente as estimativas de perda esperada que transitam pelas demonstrações financeiras. Um modelo mal governado é, no limite, uma estimativa contábil mal governada.
Nuvem: o controle que mora na casa de terceiros
Os R$ 3,9 bilhões investidos em migração para nuvem — R$ 3,5 bilhões em nuvem pública — significam que parcela crescente do processamento e da guarda de dados críticos de instituições reguladas opera em infraestrutura de prestadores externos. A regulação prudencial brasileira já disciplina a contratação de serviços relevantes de processamento, armazenamento e computação em nuvem, exigindo, entre outros pontos, governança da contratação, comunicação ao supervisor, requisitos de continuidade e acesso da instituição e do regulador a informações e verificações.
Na prática de controles, isso se traduz em quatro frentes. Primeiro,due diligence e contrato: cláusulas de segregação de dados, localização, subcontratação, níveis de serviço e direito de auditoria. Segundo,asseguração independente do prestador: relatórios de controles de organizações de serviço (no padrão ISAE 3402 e equivalentes) como evidência estruturada de que os controles do terceiro operam — lidos criticamente, inclusive quanto ao escopo e às exceções apontadas. Terceiro,continuidade e plano de saída: a dependência concentrada em poucos provedores é risco operacional em si, e o plano de reversibilidade precisa ser testável, não retórico. Quarto,fronteira de responsabilidade: o modelo de responsabilidade compartilhada da nuvem não transfere ao prestador a responsabilidade da instituição perante o supervisor — quem responde pelo controle é sempre o regulado.
Implicações práticas
Para conselhos e comitês de auditoria, a pergunta de 2026 não é "quanto investimos em IA", e sim "qual é o nosso inventário de decisões automatizadas e quem as valida". Para as áreas de riscos e controles internos, o roteiro é mapear os processos em que modelo e nuvem tocam o relato financeiro e o cumprimento regulatório, atualizar a matriz de riscos e controles para incluir controles gerais de TI e controles automatizados, e organizar a trilha de evidência — logs, versões de modelo, aprovações, relatórios de monitoramento. Para a auditoria interna e a independente, o ambiente digital deixa de ser área de especialista e vira parte do escopo padrão: testar o controle significa, cada vez mais, testar configuração, acesso, integridade de dado e comportamento de modelo.
Um caso anonimizado
Uma instituição financeira de médio porte implantou um modelo de IA para pré-aprovação de crédito de varejo, com ganho expressivo de velocidade. Na revisão do ambiente de controles, constatou-se que o modelo entrara em produção sem validação independente documentada, que as versões não eram controladas e que a área de riscos não recebia indicadores de desempenho — o monitoramento se resumia à esteira comercial. O apontamento não questionou a qualidade estatística do modelo, e sim aausência de evidência: sem documentação de validação e sem trilha de versões, não havia como demonstrar, nem para a auditoria nem para o supervisor, que a decisão automatizada estava sob controle. O plano de remediação — inventário, validação retroativa, monitoramento formal com alçadas — transformou o achado em arcabouço permanente, hoje aplicado a todos os modelos da casa.
Como a MERC pode ajudar
A MERC é a primeira auditoria especializada no mercado financeiro brasileiro, e o ambiente digital das instituições é parte central da nossa prática. A MERC Audit & Advisory avalia controles gerais de TI, controles automatizados e governança de modelos no contexto da auditoria das demonstrações e da asseguração de controles, incluindo a leitura crítica de relatórios de prestadores de nuvem. A M3 Growth apoia o desenho do arcabouço de governança de IA — inventário, políticas, validação e monitoramento — proporcional ao porte e ao apetite de risco da instituição. A MERC Capital incorpora a qualidade da infraestrutura tecnológica e dos controles a avaliações e due diligences de instituições e fintechs, onde a maturidade digital é cada vez mais componente de valor.
Perguntas frequentes
Por que o investimento em IA dos bancos interessa à auditoria?
Porque os modelos passam a executar decisões que alimentam o relato financeiro e o cumprimento regulatório — crédito, perda esperada, prevenção à lavagem. Quando a decisão é automatizada, o controle sobre o modelo vira controle interno relevante, e a auditoria precisa entendê-lo e testá-lo.
O que é governança de modelos, em termos mínimos?
Inventário dos modelos em uso, validação independente antes da produção, monitoramento contínuo de desempenho e degradação, explicabilidade proporcional ao risco da decisão e alçadas humanas para exceção e desligamento — tudo documentado, com trilha de versões e aprovações.
Migrar para a nuvem transfere a responsabilidade pelos controles ao provedor?
Não. O modelo de responsabilidade compartilhada define quem opera cada camada, mas a responsabilidade da instituição regulada perante o supervisor e perante os usuários permanece integral. Relatórios de asseguração do prestador são evidência de apoio — não substituem a governança própria.
Como o relatório ISAE 3402 entra nessa discussão?
É o instrumento pelo qual um auditor independente assevera os controles de uma organização de serviços — como um provedor de nuvem ou processadora. A instituição contratante deve ler o relatório criticamente: escopo coberto, período, controles complementares esperados da própria contratante e exceções identificadas.
Instituições menores precisam do mesmo arcabouço dos grandes bancos?
O princípio é proporcionalidade: a profundidade da governança acompanha o risco e a criticidade das decisões automatizadas, não o tamanho da instituição. Uma instituição pequena cujo modelo decide crédito em escala precisa de validação e monitoramento tanto quanto um banco grande — o que muda é a complexidade da estrutura, não a existência dela.
