A incerteza política está a aumentar. Os choques geopolíticos e os ataques cibernéticos continuam a atingir duramente as empresas. A incerteza económica persiste. E a IA está a avançar mais rapidamente do que a governação consegue acompanhar. A IA agentic – a mais recente vaga de tecnologia de IA – já chegou, mas muitas empresas ainda estão a tentar compreender a IA generativa e os seus riscos, três anos após a tecnologia ter atingido o mercado de massas.
Estas forças estão a criar um ambiente de alto risco que exige respostas mais rápidas, mais precisas e mais proativas. Estão as estratégias de gestão de risco a evoluir suficientemente depressa em conjunto com o panorama?
A Riskonnect inquiriu mais de 200 profissionais de risco, conformidade e resiliência em todo o mundo para descobrir as ameaças mais prementes da atualidade e para verificar se as organizações estão preparadas para esta nova geração de risco.
O Relatório Nova Geração de Risco 2025 revela que os riscos com maior impacto este ano são a cibersegurança (61%), os riscos económicos (50%) e os riscos políticos (40%). No entanto, subsistem lacunas críticas entre o impacto do risco e a preparação.
Embora os líderes estejam a fazer progressos significativos em áreas importantes, como o planeamento de cenários de piores casos, a adoção da IA e a elaboração de planos para o risco geopolítico (que estavam praticamente ausentes há um ano), é necessário fazer mais.
Outros destaques do inquérito incluem:
O risco político é agora uma das três principais ameaças, subindo do quinto lugar no ano passado.
Um total de 97% das empresas afirmam que os riscos políticos estão a ter impacto nos negócios de alguma forma, com 40% a categorizar o impacto como “significativo” ou “grave”. No entanto, apenas 17% das empresas afirmam sentir-se preparadas para avaliar, gerir e recuperar destes riscos.
Em resposta, as empresas afirmam ter abrandado ou interrompido as contratações (37%), atrasado grandes investimentos tecnológicos ou despesas de capital (28%), atrasado planos de expansão (23%) e diversificado as cadeias de abastecimento ou relocalizado as operações (27%) devido à instabilidade política interna.
A maioria das empresas não está preparada para se defender de uma vaga de ataques cibernéticos desencadeada por guerras comerciais.
Se os EUA adotarem políticas comerciais mais restritivas a longo prazo, 62% dos líderes de risco afirmam que o maior risco para a sua organização é o aumento da exposição cibernética decorrente de ataques patrocinados pelo Estado e a redução dos investimentos cibernéticos federais. Outros riscos de um ambiente comercial restritivo prolongado incluem custos de produção e indiretos mais elevados (48%), graves interrupções e escassez na cadeia de abastecimento (47%) e custos de mão de obra internos mais elevados (31%).
As empresas continuam perigosamente vulneráveis ao risco dos fornecedores e dos fornecedores dos fornecedores.
A grande maioria das organizações – 85% – afirma ter um plano de continuidade de negócios para manter a empresa em funcionamento no caso de uma grande interrupção de TI ou incidente cibernético num dos seus prestadores de serviços críticos para os negócios. Mas esta visibilidade termina nos fornecedores de nível 1, deixando a maioria das empresas expostas a vulnerabilidades ocultas, enterradas mais profundamente na cadeia de abastecimento. Pouco menos de 8% dos inquiridos afirmam poder avaliar e monitorizar os fornecedores dos seus fornecedores, os fornecedores dos fornecedores destes e assim por diante.
As empresas estão a voar às cegas na IA agentic.
Quase 60% dos líderes de risco afirmam que as suas empresas estão a considerar incorporar soluções de IA agentic nas suas operações ou produtos. No entanto, mais de metade desses líderes (55%) não avaliou os riscos. E uma parte notável (15%) afirma não saber se a sua organização está a considerar incorporar a IA agentic nas suas operações ou produtos – o que é um risco em si mesmo.
Apesar do aumento da utilização, poucas empresas estão preparadas para gerir os riscos da IA.
Apenas 12% das empresas afirmam sentir-se preparadas para avaliar, gerir e recuperar dos riscos da IA e da governação da IA. Embora este valor tenha aumentado em relação aos níveis de preparação dos anos anteriores (9% em 2023 e 8% em 2024), continua a ser baixo. À medida que as empresas se apressam a implementar a IA e a tirar partido da tecnologia como um motor de valor, este é um lugar perigoso para se estar.
As empresas continuam a ignorar pontos cegos críticos no que diz respeito à governação e supervisão da IA.
Cerca de 42% das empresas não têm uma política em vigor para governar a utilização da IA pelos funcionários – e 72% não têm uma para a utilização da genAI por parceiros e fornecedores. Três quartos dos inquiridos afirmam não ter um plano dedicado para abordar especificamente os riscos da genAI, como deepfakes e ataques de fraude impulsionados pela IA. E apenas 15% afirmam ter um orçamento especificamente direcionado para mitigar os riscos relacionados com a IA.
Mais empresas estão a utilizar a IA para gerir riscos.
Sete em cada dez empresas estão atualmente a utilizar a IA para ajudar a gerir o risco, um aumento em relação aos 62% do ano passado. A avaliação de riscos saltou para o principal caso de utilização da IA na gestão de riscos.
Um número significativamente maior de empresas está a tomar medidas propositadas para planear o pior.
Cerca de 61% dos líderes de risco afirmam ter simulado o seu cenário de pior caso, um aumento em relação aos 44% em 2024 e 37% em 2023. A crescente adoção da IA, que torna o planeamento de cenários mais fácil e rápido de executar, pode ser um fator que contribui para este aumento.
As folhas de cálculo estão fora de moda. O software está na moda para gerir o risco.
Apenas 40% das empresas utilizam principalmente ou apenas folhas de cálculo para gerir o risco. Este valor representa uma diminuição significativa em relação aos 53% das empresas que relataram uma forte dependência de folhas de cálculo no ano passado. O aumento da utilização de software parece coincidir com uma maior confiança nos dados de risco. Um total de 90% das empresas confiam agora nos seus dados, um aumento em relação aos 84% do ano passado.
As conclusões
Os dados pintam um quadro claro de que a gestão de riscos é cada vez mais vista como uma função estratégica de negócios. Mas está num estado de transição fundamental, e as empresas devem investir decisivamente para concretizar todo o seu potencial e fortalecer o seu impacto.
Não basta apenas acompanhar esta nova geração de risco. A vantagem será para aqueles que se adiantarem a estes riscos. Alguns passos a dar agora:
- Abrace a IA com uma governação clara. A IA não é um projeto paralelo. Trate-a como um risco empresarial central e gestione-a com a mesma supervisão e diligência que outros riscos críticos.
- Planeie cenários. Não espere que os riscos se materializem. Teste a sua estratégia com simulações alimentadas por IA que considerem choques e fatores de risco que, de outra forma, poderá desvalorizar.
- Olhe para além dos seus níveis 1. Afine a sua capacidade de avaliar e monitorizar os riscos em toda a sua cadeia de abastecimento digital, especialmente porque os terceiros são frequentemente a porta da frente para os maus atores. Mesmo que não consiga obter informações granulares em todas as camadas, esteja preparado para gerir as consequências.
- Aumente o seu impacto com a IA. Aproveite estrategicamente a tecnologia em áreas-chave que lhe poupam tempo e lhe permitem ser mais proativo e concentrar-se no que importa.
- Invista em tecnologia. Esta é a chave para se manter à frente e gerir todo o espetro de risco.
Esta nova geração de risco não é definida apenas pela pura escala e velocidade das ameaças emergentes, mas também pelas formas como as empresas se estão a preparar para as enfrentar. Serão as medidas que está a tomar suficientemente ousadas, suficientemente rápidas e suficientemente estratégicas para se manter à frente?
Para uma análise aprofundada das conclusões do inquérito, transfira o Relatório Nova Geração de Risco 2025.
