Nos últimos 20 anos, a profissão que mais cresceu nos EUA foi a de manicure e pedicure.
Mas logo atrás? Oficiais de Compliance.

Compliance é um negócio maior do que você imagina. Cada dólar que sai ou entra em uma empresa: pagar funcionários (folha de pagamento, leis trabalhistas), declarar receita (declarações de impostos), movimentar capital (pagamentos, AML/KYC) está sujeito a compliance. Em setores regulamentados, até a forma e a frequência com que uma empresa se comunica com seus clientes é uma atividade de compliance!
Hoje, existem mais de 400.000 oficiais de compliance empregados nos Estados Unidos, representando mais de US$ 40 bilhões em gastos anuais com mão de obra (com muitos bilhões a mais em consultorias e terceirizações relacionadas a compliance). Somente no setor bancário, mais restrições regulatórias foram adicionadas ao Título 12 - do Código de Regulamentações Federais (CFR): Bancos e Atividades Bancárias - de 2010 a 2014 do que o título inteiro continha em 1980. No entanto, apesar dessa demanda, o pipeline de talentos para compliance continua apertado. O Bureau of Labor Statistics dos EUA (BLS) projeta mais de 33.300 vagas de compliance anualmente na próxima década – uma demanda agravada por um setor onde 87% dos novos entrantes eventualmente deixam a área e a rotatividade anual excede 20%, deixando as organizações em um ciclo quase constante de recrutamento e perda de expertise.

À medida que o mundo se tornou mais complexo e as exigências legais para as empresas aumentaram, a resposta das corporações tem sido simples: jogar mais pessoas no problema.
Mais pessoas, no entanto, não significou melhores resultados. Por exemplo, em 2024, o TD Bank foi multado em US$ 3 bilhões por não monitorar 92% de suas transações, incluindo um acúmulo de 70.000 alertas de detecção desde 2018. E o TD Bank não está sozinho; o mesmo padrão de equipes inchadas e backlogs crescentes se repetiu em quase todas as grandes instituições financeiras na última década. Nesse período, o trabalho permaneceu teimosamente manual.
Compliance é "trabalho chato" - doloroso, burocrático e muitas vezes baseado em papel, por isso persistiu como sendo manual e intensivo em mão de obra. Esse mesmo atrito e inércia fizeram do compliance um cemitério histórico para startups.
Então, por que é diferente agora?
1. A tecnologia passou de "Boa o Suficiente para Testar" para "Boa o Suficiente para Confiar"
Às vezes, o mercado para algo feito muito bem é 100 vezes o mercado para algo feito apenas razoavelmente bem. Este é o caso do compliance, onde um produto 90% correto ainda está 100% errado.
Um exemplo primordial é o processamento de documentos (que compõe grande parte da atividade de compliance). O OCR existe há décadas, fazendo o trabalho na maioria das vezes. No entanto, "na maioria das vezes" não é suficiente quando você está subscrevendo uma hipoteca, integrando uma empresa ou revisando uma reclamação de seguro. Mas agora, com os Modelos de Linguagem de Visão (VLMs), que também entendem o contexto mais amplo de um documento e produzem menos erros, de repente as empresas não conseguem assinar contratos rápido o suficiente. A tecnologia não melhorou apenas incrementalmente; ela cruzou o limiar de "boa o suficiente para testar" para "boa o suficiente para confiar".
Além disso, a IA tem muito mais capacidades. Primeiro, ela pode ler, extrair e raciocinar sobre documentos com precisão quase humana: registros de constituição, demonstrações financeiras e PDFs regulatórios de 400 páginas. Segundo, agentes de uso de computador podem navegar em softwares legados como um humano faria, sem esperar por uma API ou um projeto de integração de seis meses. Terceiro, a execução de tarefas de longo horizonte significa que um agente pode executar um fluxo de trabalho inteiro do início ao fim: extrair dados, verificar bancos de dados, sinalizar exceções, arquivar um relatório, não apenas auxiliar em uma única etapa.
Na área jurídica, a ampla escolha de modelos e a precisão consistentemente alta deram às equipes a confiança para finalmente adotar a IA – muitos LLMs agora pontuam 80-100% nas 162 tarefas de raciocínio jurídico do LegalBench. Isso é diretamente relevante para compliance, porque compliance é essencialmente raciocínio jurídico aplicado sob restrições operacionais, construído sobre as mesmas tarefas principais: ler textos regulatórios, aplicar regras a padrões factuais, identificar exceções e sinalizar ambiguidades.

2. Os ciclos de vendas passaram de "lentos" para "rápidos"
Pela primeira vez, o risco de uma empresa não modernizar sua stack de compliance supera o risco da mudança. Empresas regulamentadas há muito tempo se mantêm com ferramentas GRC (Governança, Risco e Compliance) desajeitadas e sistemas legados frágeis porque as migrações eram dolorosas, o custo de uma falha em uma auditoria era muito alto e "bom o suficiente" parecia mais seguro do que mudar.
A IA mudou isso. O compliance está se movendo além de ser apenas um centro de custo para se tornar um gerador de receita. Em serviços financeiros, um KYC/B mais rápido significa uma integração mais rápida, o que significa menos chance de desistência e um tempo mais rápido para a receita. Um monitoramento AML melhor significa menos falsos positivos, o que significa menos clientes legítimos sinalizados e menos relacionamentos danificados. Revisões de marketing mais rápidas significam que o conteúdo do anúncio pode ser colocado na frente dos clientes de forma mais oportuna. Isso reformula o argumento competitivo: as empresas que se modernizam não estão apenas economizando custos, elas estão convertendo clientes que seus concorrentes mais lentos não conseguem integrar. A concorrência não é a IA em si. São outras empresas com IA.
Além disso, se assumirmos que os agentes em breve se tornarão os compradores predominantes na web, isso abre uma categoria inteiramente nova de risco. O compliance tradicional foi projetado em torno de atores humanos. Agora precisamos de uma abordagem moderna de IA para verificar identidade, avaliar intenção e estabelecer responsabilidade quando a contraparte é um agente autônomo.
Tudo isso significa que uma função que historicamente não comprava software está, de repente, se engajando.
As três camadas do compliance
Toda função de compliance, em toda empresa regulamentada, é construída a partir dos mesmos três ingredientes:
- Regulamentação que rege o trabalho: regras, políticas internas e a tradução interminável entre elas.
- Sistemas de software que tentam codificar essa regulamentação: plataformas GRC, sistemas de gerenciamento de casos, ferramentas de triagem de sanções e automações frágeis para unir tudo.
- Pessoas que usam o software de acordo com a regulamentação: lendo documentos, preenchendo formulários, verificando bancos de dados, escrevendo relatórios.
A maior parte do "trabalho a ser feito" em compliance consiste em copiar informações de documentos, revisar manualmente essas informações quanto à precisão ou inconsistências e monitoramento contínuo (repetindo essas duas primeiras tarefas em uma cadência regular).
Para ilustrar isso, vamos pegar um Relatório de Atividade Suspeita (SAR) no setor bancário. Quando um alerta dispara no software NICE Actimize sinalizando atividade de transação incomum, Sarah, a oficial de compliance [pessoas], revisa o caso, navega até o sistema bancário principal para extrair o histórico completo da transação, depois cruza o arquivo KYC do cliente em um banco de dados separado e em uma unidade compartilhada para documentos de integração, verificação de identidade e origem dos fundos. Ela verifica as diretrizes e regras da política interna [regulamentação] para avaliar se a atividade ultrapassa o limite para um SAR e toma uma decisão, depois retorna ao NICE Actimize para escrever sua "narrativa", copiando manualmente os detalhes da transação e os dados do cliente de cada sistema que acabou de visitar.
Qualquer um desses pontos são ótimas oportunidades para construir sua startup de IA.

1. Transformar regulamentação em código
Cada nova entrada no Título 12 (OCC, Fed, FDIC - em mais de 70 capítulos!), FINRA, SEC, CFTC e cada variação de política estadual chega como um PDF que os humanos precisam ler, interpretar e traduzir em política interna, e depois monitorar quanto a mudanças.
A IA pode transformar regulamentação em código: estruturado, auto-atualizável e interpretável por agentes. Um documento regulatório de 400 páginas agora pode ser analisado em um conjunto estruturado de obrigações que o software pode verificar. A regulamentação deixa de ser um documento que as pessoas interpretam e se torna um código que os sistemas executam. Duas coisas mudam como resultado: o monitoramento se torna contínuo em vez de periódico, e uma mudança regulatória se propaga por uma empresa em minutos, em vez de trimestres. No caso da folha de pagamento no Brasil, o trabalho inteiro de um oficial de compliance é atualizar sites governamentais em busca de novas regras, extrair os funcionários afetados para uma planilha e recalcular manualmente a folha de pagamento.
Exemplo: Tako converte as regulamentações trabalhistas do Brasil (mais de 10.000 sindicatos e quase 900 mudanças de regras por ano) em um "sistema de inteligência" que audita a folha de pagamento e as regras sindicais no contexto da sua empresa, responde a perguntas complexas de operações de pessoas em linguagem natural e sinaliza ações fora da política em tempo real antes que se tornem violações.
2. Substituir sistemas legados
Muitas funções de compliance são executadas em plataformas que antecedem a nuvem, costuradas por humanos copiando, colando e clicando entre sistemas. É por isso que todo fluxo de trabalho parece lento, mesmo quando cada ferramenta individual não é: a camada de integração é uma pessoa. Além disso, substituir qualquer um desses sistemas significava uma migração de vários anos que nenhum Chief Risk Officer queria aprovar.
Isso significou que muitas empresas (especialmente bancos) estão acumulando décadas de dívida de infraestrutura, e essa dívida é agora o maior obstáculo individual para a adoção de IA.
Então, os compradores empresariais agora têm três opções para aproveitar a IA:
- Manter o sistema atual, mas ir para o modelo "headless": Usar o sistema atual como backend e construir agentes ou novas interfaces sobre ele.
- "Vibe code" uma substituição: Reconstruir o sistema de registro você mesmo, incluindo o modelo de dados, permissões, fluxos de trabalho, integrações e auditabilidade.
- Comprar a nova versão nativa de IA: Migrar para um sistema construído do zero para agentes, legibilidade por máquina e orquestração.
Se o seu sistema contém dados críticos de compliance, conecta-se a dezenas de fontes de dados e parceiros internos e externos e codifica anos de lógica institucional — sua aversão ao risco o tentará a escolher a opção (1). Mas então você estará se preparando para perder para seus concorrentes que conseguem reduzir drasticamente os custos e aumentar a receita com IA (tente adicionar um agente de voz eficaz que precisa ler/escrever em software dos anos 1990).
Agora não é apenas possível substituir sistemas legados, mas também é necessário para obter valor da IA. Os sistemas legados foram construídos para humanos: os dados são isolados e de difícil acesso, as regras são codificadas e lentas para atualizar, e os fluxos de trabalho são executados em lotes em vez de em tempo real. No setor bancário, isso pode ser qualquer coisa, desde Jack Henry (core bancário), NICE Actimize (monitoramento de transações) ou Smarsh (supervisão de funcionários).
Exemplo:
- Valon (servicing de hipotecas) construiu um servicer de hipotecas do zero para provar que o software poderia transformar operações de margem de equilíbrio em margens de 60%+. Eles codificaram fluxos de trabalho complexos de servicing no ValonOS: um sistema operacional nativo de IA que substitui mais de 25 sistemas legados díspares por fluxos de trabalho estruturados, livros-razão auditáveis e ações programáveis. Agora eles estão licenciando este sistema de registro para alimentar toda a indústria de servicing de hipotecas de US$ 100 bilhões+, com cada novo cliente fortalecendo o volante de dados que torna os agentes de IA cada vez mais inteligentes.
- Vesta (originação de empréstimos hipotecários) gerencia e coordena todas as regras de compliance na originação em todo o CFPB (TRID, HMDA, etc.), diferenças entre os 50 estados, além de todos os relatórios de compliance para agências federais e estaduais. Portanto, as atualizações de compliance são um push de código vs. uma atualização empresarial que requer serviços de implementação. Os credores obtêm auditabilidade precisa, sem mencionar os ganhos de eficiência de 25-50%.
- Sardine (monitoramento de fraudes e transações) está substituindo o NICE Actimize. A Sardine é baseada em nuvem e pode realizar tanto fraudes em tempo real inline quanto executar cenários complexos de AML post-facto. Agentes operam sobre os dados ao vivo da Sardine para melhorar as revisões de compliance em até 30x. Por exemplo, o agente sumarizador de SAR (Relatório de Atividade Suspeita) automatiza completamente o preenchimento de 60 a 100 campos diferentes por entidade (extraídos de vários sistemas), reduzindo o tempo gasto por submissão de SAR de mais de 30 minutos para menos de 1 minuto.
3. Aumentar o trabalho das pessoas
A maior parte do trabalho de compliance consiste nas mesmas três atividades humanas repetidas infinitamente: (1) análise de documentos, (2) fluxos de trabalho de revisão manual e (3) monitoramento contínuo de (1) e (2).
O tecido conjuntivo entre essas atividades tem sido historicamente uma pessoa clicando em software legado, que é onde entram os agentes de uso de computador.
Pegue a integração de banking empresarial. Quando um cliente é integrado, Sarah, a oficial de compliance, precisa revisar e extrair informações-chave dos documentos de identidade (RG, passaportes, constituição) e demonstrações financeiras desse cliente em potencial. Ela então precisa inserir essas informações em um conjunto de ferramentas de software legadas e realizar verificações em diferentes bancos de dados para validá-las (sanções, registros comerciais, etc.). Com a IA, todo esse fluxo de trabalho pode ser automatizado do início ao fim: os documentos são ingeridos e analisados instantaneamente, os bancos de dados são verificados em paralelo e as exceções são sinalizadas para revisão humana, em vez de execução humana.
Exemplo: Factor Labs opera sobre sistemas legados em vez de substituí-los. Seus agentes de uso de computador automatizam a gestão de disputas de chargeback para bancos e empresas de pagamento. Cada tarefa do agente segue um "playbook", essencialmente instruções passo a passo adaptadas a cada comerciante e em conformidade com os processos das bandeiras de cartão. O agente imita o que um analista humano faria: fazer login nos sistemas da empresa (Outlook, Excel, plataformas antifraude como CyberSource), extrair evidências, compilá-las em um documento Word formatado com o timbre do cliente e enviar o PDF final de volta ao cliente.
Conclusão
Gostamos de todas essas abordagens e, eventualmente, a maioria dos novos sistemas fará as três. A alavanca inicial mais eficaz dependerá do seu mercado:
(1) Ambientes regulatórios de alto fluxo: aqueles com muitas regulamentações em diferentes jurisdições que mudam constantemente, ou onde ações de execução, achados de exames frequentemente exigem que uma empresa atualize seu ambiente de supervisão/compliance – favorecem começar com "transformar regulamentação em código".
(2) Ir atrás do sistema de registro faz sentido quando:
- (a) Há uma oportunidade de ir greenfield, ou seja, nenhum player estabelecido para um novo subconjunto de clientes. Se um cliente está escolhendo um sistema de registro do zero, a preferência por uma stack moderna e nativa de IA é o padrão, por exemplo, novos bancos sendo formados na Arábia Saudita (ex.: Stitch) ou os muitos RIAs se tornando independentes e se estabelecendo nos EUA agora.
- (b) Os sistemas antigos são tão operacionalmente caros e difíceis de escrever de volta que você precisa substituí-los para aproveitar a IA.
(3) Fluxos de trabalho orientados a resultados com grandes backlogs e/ou escassez de mão de obra favorecem o aumento do trabalho das pessoas. Quando o trabalho de compliance resulta em um artefato específico (um relatório, um arquivamento, uma certificação), a necessidade mais urgente pode ser adicionar pessoas (neste caso, agentes que trabalham 24/7 e não cometem erros) à fila. Por exemplo, limpar filas de alertas (conforme o acúmulo de 70k do TD Bank).
Em última análise, acreditamos que essas abordagens convergem. As empresas vencedoras neste espaço transformarão regulamentação em código, possuirão um novo sistema de registro e implantarão uma frota de agentes sobre ele.
Se é isso que você está construindo, venha falar conosco.
Autoria: @astrange





