Por: Luiz Henrique Lobo
A paisagem da gestão de riscos no Brasil em 2025 pode ser comparada a um grande laboratório vivo, onde todas as tensões, fragilidades e forças do sistema financeiro e corporativo foram expostas em tempo real. O que se viu ao longo deste ano de 2025 não foi apenas a multiplicação de normas, incidentes ou investigações, mas um movimento mais profundo de maturidade institucional: conselhos mais atentos, reguladores mais incisivos, riscos antes tratados como periféricos passando ao centro da estratégia, e uma sociedade cada vez mais consciente de que riscos financeiros, tecnológicos, reputacionais e de conduta não são conceitos abstratos, mas que têm impacto direto em aposentadorias, benefícios, crédito, poupança, confiança e, em última instância, na estabilidade da economia.
A gestão de riscos, que por muito tempo ocupou um papel técnico e até discreto, ganhou em 2025 um protagonismo raro, revelando que a verdadeira resiliência não está em políticas extensas nem em organogramas sofisticados, mas na capacidade das instituições de aprender rapidamente, corrigir com humildade, ajustar rotas com disciplina e assumir a responsabilidade pelo que está sob seu controle.
Esse movimento foi impulsionado por três forças que moldaram o ano de forma decisiva. A primeira delas é a estabilidade macroprudencial, bem mais sólida, mas sob tensão, em que o Banco Central destacou ao mostrar que, embora capitalização e liquidez se mantivessem robustas, havia riscos estruturais vindo de fora do balanço, como o risco fiscal e o cenário internacional, e riscos internos crescendo em frequência e impacto, em especial os operacionais e cibernéticos.
A segunda força é o avanço regulatório, com 2025 marcado por um verdadeiro aperto de parafusos em cibersegurança, pagamentos, PLD/FT, criptoativos, fundos de pensão e inteligência artificial.
A terceira força, talvez a mais reveladora, veio dos casos concretos, como o colapso do Banco Master atingindo fundos de previdência e RPPS, as fraudes em massa como as contra aposentados do INSS, e a escalada global de ataques cibernéticos alimentados por IA, que lembraram que governança não é algo que se escreve, mas algo que se pratica, muitas vezes sob pressão extrema.
O Brasil em 2025 viveu a confirmação de que estabilidade não é sinônimo de ausência de risco, mas é antes de mais nada a capacidade de navegar contradições. E é justamente essa combinação de forças, tensões e aprendizados que ilumina o caminho para 2026: um ano em que a exigência técnica será maior, a cobrança de accountability será mais explícita e a expectativa sobre conselhos e diretoria será marcada não pela promessa de ausência de riscos, mas pela habilidade de identificá-los com precisão, tratá-los com transparência e integrá-los de forma coerente na tomada de decisão.
Dentro desse pano de fundo, vale aprofundar os três grandes eixos que sintetizam o ano: o contexto de estabilidade sob pressão, a agenda regulatória intensa e transformadora, e os casos emblemáticos que redefiniram padrões de governança, gestão e responsabilidade institucional.
O primeiro eixo envolve a compreensão de como o Brasil fechou 2025 com um sistema financeiro considerado robusto, mas sujeito a riscos que se tornaram mais interligados e menos previsíveis. O Relatório de Estabilidade Financeira do Banco Central, publicado em novembro, apresenta um equilíbrio curioso: ao mesmo tempo em que mais de 80% das instituições demonstraram confiança na resiliência do sistema, os próprios agentes apontaram riscos crescentes nas dimensões fiscal, macroeconômica, internacional e, sobretudo, operacional e cibernética. Essa mudança de percepção não é trivial e revela que, pela primeira vez, riscos operacionais deixaram de ser vistos apenas como eventos isolados ou perdas administrativas, e passaram a ser reconhecidos como potenciais gatilhos de instabilidade sistêmica, especialmente em um ambiente altamente digitalizado e dependente de infraestrutura tecnológica de terceiros.
Esse movimento mostra que a solidez prudencial tradicional, baseada em capital, liquidez, provisões e gestão de crédito, continua essencial, mas já não basta para explicar a resiliência das instituições. A continuidade dos negócios agora depende da capacidade de proteger cadeias tecnológicas, gerenciar interfaces com PSTIs, validar modelos automatizados que tomam decisões em milissegundos, monitorar comportamentos suspeitos em redes globais de pagamentos e responder rapidamente a incidentes cibernéticos que, em muitos casos, se iniciam em fornecedores e ambientes extramuros. Além disso o risco fiscal elevado, combinado com o ambiente internacional volátil, pressiona margens, aumenta a inadimplência e cria um cenário em que riscos financeiros e operacionais se retroalimentam, exigindo mais rigor em cenários de estresse, modelos de sensibilidade e políticas de limitação de exposição.
O segundo eixo e talvez o mais visível, é a agenda regulatória profundamente transformadora. Em 2025 o Banco Central consolidou um dos pacotes normativos mais amplos desde a implantação do Pix. As Resoluções BCB nº 494 a 498 redefiniram a organização estrutural das instituições de pagamento, elevaram o padrão de governança e trouxeram exigências inéditas para operações críticas do Sistema de Pagamentos Brasileiro. Exigir autorização prévia para que instituições de pagamento iniciem atividades, vincular competências técnicas específicas a diretores estatutários responsáveis por cibersegurança e continuidade, instituir a obrigatoriedade de seguros de responsabilidade civil e risco operacional para PSTIs conectados à RSFN e reforçar a governança sobre PLD e relacionamento com terceiros representam uma mudança profunda na maneira como o regulador entende o risco tecnológico. O recado é claro de que a tecnologia não é mais uma área de suporte, mas um ponto central de risco sistêmico, e por isso a alta gestão deve ser tecnicamente capaz de supervisioná-la.
Ao mesmo tempo a nova Estratégia Nacional de Cibersegurança (E-Ciber), instituída em agosto, trouxe uma visão de Estado sobre resiliência cibernética, reforçando temas como integração interministerial, proteção de infraestruturas críticas, capacitação, resposta coordenada a incidentes e cooperação público-privada. Esse arcabouço evidencia um amadurecimento importante: o Brasil avança na direção de enxergar cibersegurança não apenas como proteção técnica, mas como pilar de continuidade econômica, elemento essencial de competitividade e componente cada vez mais relevante de segurança nacional. A convergência entre normas setoriais e diretrizes nacionais aponta para uma tendência que deverá se intensificar em 2026 com estruturas integradas de gestão de riscos cibernéticos, métricas uniformizadas de reporte e maior responsabilização de conselhos pelos temas tecnológicos.
Outro marco decisivo de 2025 foi a publicação da Instrução Normativa RFB nº 2291, que instituiu a “DeCripto” e alinhou o Brasil ao padrão CARF da OCDE. Qiue na minha visão foi um divisor de águas no tratamento regulatório e fiscal de criptoativos, impondo às exchanges e custodians exigências de reporte altamente granulares, capazes de transformar o apetite por risco de instituições que atuam no ecossistema de ativos digitais. A norma intensifica a integração entre riscos tributários, PLD, sanções internacionais e riscos operacionais e tecnológicos, ao exigir qualidade de dados e trilhas auditáveis. Em 2026 com a primeira entrega obrigatória do novo reporte, as instituições enfrentarão não apenas o desafio técnico, mas o escrutínio conjunto de Receita, COAF e Bacen, em um ambiente que ampliará a necessidade de governança robusta, integração de dados e monitoramento contínuo.
No campo de PLD e sanções, 2025 consolidou a migração de uma abordagem de conformidade formal para uma supervisão baseada em efetividade. O Processo Administrativo Sancionador envolvendo uma corretora de câmbio expôs conflitos de interesse, fragilidades no monitoramento transacional e falhas na fundamentação econômica de operações, mostrando que estruturas superficiais ou dependentes da área comercial tendem a falhar de forma estrutural. Ao mesmo tempo o COAF, Bacen, CVM, Susep e Previc reforçaram orientações, tipologias e fiscalizações, mostrando que o enforcement no Brasil se intensificou e que instituições com estruturas frágeis ou apetite excessivo para segmentos de alto risco terão cada vez menos espaço. A combinação desse rigor regulatório com a DeCripto, com o avanço de investigações e com o aumento de crimes cibernéticos gera para 2026 um cenário onde a qualidade dos dados, a governança de modelos de monitoramento e a validação independente deixarão de ser diferenciais e se tornarão requisitos básicos de sobrevivência.
Por fim o terceiro eixo, e talvez o mais ilustrativo da maturidade e das vulnerabilidades do sistema, envolve os casos emblemáticos que marcaram 2025. A liquidação do Banco Master, com impacto imediato em fundos de pensão e regimes próprios, expôs fragilidades em governança, análise de risco de crédito e liquidez, concentração de contrapartes e falta de compreensão sobre riscos de duration e convexidade. Mesmo instituições supostamente sofisticadas mostraram dificuldade em avaliar produtos estruturados, incentivos comerciais e conflitos de interesse. O caso impulsionou a Previc a revisar regras de transparência e sinalizou que, em 2026, o escrutínio sobre fundos de pensão será mais intrusivo, com exigência de análises técnicas mais profundas, curvas de estresse mais severas e avaliação mais rigorosa de competências dos gestores e conselheiros.
As fraudes massivas contra beneficiários do INSS ofereceram um outro tipo de alerta, de que mesmo em setores com grande histórico de regulação, como crédito consignado, a combinação de incentivos perversos, uso inadequado de dados pessoais, fraqueza na governança de terceiros e descontrole de canais de distribuição pode gerar perdas bilionárias, danos reputacionais profundos e intervenção estatal severa. A resposta da AGU, com pedidos de bloqueio de quase quatro bilhões de reais, evidencia que risco de conduta deixou de ser um tema reputacional para assumir caráter financeiro, jurídico e social. Em 2026 os controles sobre consentimento, contratação remota, canais de venda e trilhas de auditoria serão temas centrais para instituições que atuam com crédito ao varejo e públicos vulneráveis.
Além disso o risco cibernético, intensificado pela adoção de IA generativa por criminosos, tornou-se o principal ponto de atenção para conselhos e diretorias. Em 2025, ataques mais velozes, mais baratos e mais difíceis de rastrear revelaram que a capacidade de resposta institucional é tão importante quanto a capacidade de prevenção. O tema passou a ocupar espaço permanente nas discussões estratégicas, reforçando a necessidade de integração entre CISO, CRO, jurídico, compliance e negócios. A tendência para 2026 aponta para testes de resiliência mais agressivos, exigências de explicabilidade de modelos, revisão de apetite ao risco tecnológico e aprofundamento da governança de dados.
Esses três eixos mostram que 2025 foi um ano de aceleração, aprendizado e exposição. Ele revelou que as instituições que enxergam risco como obstáculo tendem a se paralisar, enquanto aquelas que enxergam risco como bússola se tornam mais preparadas, competitivas e responsáveis. O ano mostrou que maturidade não se mede pela ausência de crises, mas pela forma como a organização responde a elas, aprende com elas e transforma vulnerabilidades em competência técnica e institucional. E é justamente essa lógica com técnica, estratégica e humana, que prepara o caminho para 2026, onde a gestão de riscos no Brasil será cada vez mais decisiva para garantir não apenas a estabilidade dos negócios, mas a confiança social que sustenta o próprio sistema financeiro.
Ao avançar pelos demais eventos e tendências que moldaram 2025, fica ainda mais claro como esse ano marcou uma virada histórica na forma como o Brasil compreende, regula e administra seus riscos. O país atravessou um ciclo em que riscos deixaram de ser percebidos como ameaças isoladas e passaram a ser tratados como sistemas interdependentes, capazes de acelerar crises quando negligenciados ou de impulsionar maturidade quando compreendidos com profundidade. A evolução ocorrida em 2025 não foi linear, tampouco uniforme, mas deixou lições contundentes que agora se tornam fundamentos essenciais para quem conduz conselhos, comitês e estruturas executivas. Os episódios envolvendo fundos de pensão, fraudes estruturadas no varejo financeiro, riscos tecnológicos em terceiros críticos, avanço da IA, endurecimento regulatório e exposição da fragilidade de modelos de negócios mal testados revelaram uma verdade simples, porém transformadora: risco não é um problema para ser evitado, mas é um fenômeno para ser governado.
Dando continuidade aa esta breve retrospectiva, diria de que o quarto grande bloco de 2025 diz respeito ao avanço sem precedentes do risco cibernético como elemento central da governança corporativa. Até pouco tempo atrás, discussões sobre ataques cibernéticos eram tratadas como temas técnicos, confinadas às equipes de tecnologia. Em 2025, essa narrativa mudou por completo. A mistura explosiva entre ransomware, inteligência artificial generativa usada ofensivamente e cadeias de suprimentos tecnológicas cada vez mais complexas expôs vulnerabilidades profundas em instituições financeiras, fintechs, setores governamentais, hospitais, varejo e infraestrutura crítica. No Brasil a nova Estratégia Nacional de Cibersegurança trouxe uma visão de Estado para o tema, mas também deixou evidente a necessidade de estruturas internas capazes de responder a ataques que evoluem em velocidade exponencial. Muitas empresas descobriram, da forma mais dura possível, que possuir firewalls e antivírus não significa possuir resiliência; que contratar tecnologia não substitui governança; e que, quando um incidente ocorre, a qualidade da comunicação, da tomada de decisão e da resposta coordenada determina não apenas o impacto operacional, mas a continuidade da confiança dos clientes e a credibilidade perante reguladores e o mercado. Em 2026, essa compreensão amadurecida levará a um modelo de gestão em que o CISO deixa de ser “o guardião do TI” e passa a ser um arquiteto de riscos corporativos, compartilhando palco com CRO, CFO e CEO em discussões estratégicas que precisam unir tecnologia, finanças, reputação e continuidade de negócios.
O quinto bloco envolve a integração crescente entre riscos tecnológicos, regulatórios, operacionais e de conduta. A publicação da Instrução Normativa 2291 (“DeCripto”), alinhada ao padrão CARF da OCDE, marcou o início de um novo regime de transparência que conecta fiscal, compliance, PLD, integridade de dados e governança de modelos. As instituições que lidam com criptoativos perceberam rapidamente que não se trata apenas de preencher relatórios, mas de desenvolver controles robustos que permitam rastreabilidade, auditoria e integração de múltiplas bases de dados. Da mesma forma os casos de fraude envolvendo beneficiários do INSS mostraram que a governança de terceiros e canais de distribuição deixou de ser um tema de conveniência para se tornar tema de sobrevivência institucional. O futuro próximo exigirá estruturas mais maduras de due diligence contínua, métricas de conduta mais inteligentes e mecanismos de supervisão que consigam capturar desvios em tempo real. A inevitável convergência entre tecnologia, compliance e governança cria um ambiente em que todas as áreas precisam falar a mesma língua, reduzir silos e construir sistemas integrados de risco capazes de enxergar além do óbvio.
O sexto bloco,de igual relevância, envolve os fundos de pensão e a resiliência da poupança de longo prazo dos trabalhadores brasileiros. O episódio do Banco Master expôs deficiências técnicas, conflitos de interesse, análises superficiais e fragilidades de governança que, até então, estavam muitas vezes invisíveis aos participantes. Em 2025 os conselhos deliberativos e fiscais, comitês de investimentos e equipes de risco foram confrontados com a necessidade de compreender duration, convexidade, risco de mercado, risco de liquidez, concentração de contraparte e avaliação de produtos estruturados com muito mais profundidade. A Previc ao anunciar revisão de normas de transparência, deixou claro que 2026 será um ano de supervisão mais exigente e técnica, pressionando as entidades a incorporar stress tests mais realistas, critérios rigorosos de seleção de gestores externos e estruturas de tomada de decisão que privilegiem independência, competência e prudência. É um caminho que exigirá não apenas mudanças procedimentais, mas também mudança cultural, pois a proteção da previdência complementar depende, acima de tudo, da qualidade das decisões tomadas por gestores e conselheiro, com decisões que precisam ser robustas, imparciais e orientadas ao longo prazo.
O sétimo bloco integra todos os demais que pe a transformação da cultura de riscos e da maturidade institucional no Brasil. Em 2025,ficou evidente que cultura não é apenas um conjunto de valores; é o comportamento real diante de dilemas complexos. Em organizações que enfrentaram fraudes, vazamentos, investigações ou perdas relevantes, quase sempre havia sinais prévios: processos ignorados, alertas desconsiderados, incentivos distorcidos, departamentos trabalhando isoladamente, punitivismo que silenciava denúncias ou excesso de complacência com terceiros e parceiros de negócio. O Brasil viveu ao longo do ano, casos que demonstram que a cultura de riscos não é um adereço que se anuncia em relatórios de sustentabilidade,mas é um mecanismo que define decisões, incentiva ou desencoraja desvios, reforça ou desintegra a confiança interna e externa. Em 2026, instituições que não incorporarem cultura de risco como elemento central de suas práticas enfrentarão não apenas riscos operacionais maiores, mas também riscos reputacionais e regulatórios intensificados, já que os órgãos supervisores passaram a enxergar cultura como fator causal de falhas sistemáticas.
Essa integração entre risco, governança, cultura, tecnologia e supervisão cria o cenário para uma conclusão inspiradora, mas não no sentido motivacional superficial, mas no sentido profundo de compreender o que 2025 ensinou ao país e o que 2026 exigirá.
Se 2025 foi o ano em que riscos escondidos foram revelados, 2026 será o ano em que não haverá mais espaço para improviso. A gestão de riscos passará a ser uma exigência estratégica. A diretoria e os conselhos precisarão demonstrar capacidade real de supervisionar riscos, e não apenas declarar estruturas formais. Times de tecnologia, riscos, compliance, jurídico e auditoria precisarão atuar como um organismo único, integrado por dados, processos e valores. As empresas serão julgadas não pelo discurso, mas pela coerência entre suas práticas e as expectativas de seus clientes, reguladores, colaboradores e da sociedade.
O ano de 2025 deixa um legado profundo, que foi a percepção de que o risco certo, assumido por razões certas e administrado da forma certa, é o que diferencia empresas resilientes das vulneráveis. Risco não é aquilo que ameaça o futuro, mas é aquilo que revela a qualidade das escolhas feitas no presente. Em 2026 vencerão não as instituições que tentarem eliminar os riscos, mas aquelas que souberem tratá-los como aliados, como bússolas que orientam prioridades e como ferramentas de criação de valor sustentável.
O que se espera portanto é um salto de maturidade. Um Brasil corporativo e financeiro mais técnico, mais responsável, mais transparente e mais capaz de aprender com seus erros. Um país em que conselhos não tenham medo de fazer as perguntas difíceis, em que comitês desafiem modelos de negócio frágeis, em que executivos assumam riscos com clareza e disciplina, em que cultura e ética se tornem de fato alicerces.
Se 2025 ensinou que ninguém está imune a crises, 2026 será o ano de provar que todos podem estar preparados para elas. E é justamente essa preparação com técnica, humana, ética e estratégica, que definirá quem atravessará as próximas tempestades com mais força, mais serenidade e mais capacidade de gerar confiança.
Que venha um novo ano!
Luiz Henrique Lobo – Membro Independende de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor em gestão de riscos, PLD, Governança.
Reprodução de: Linkedin
