AI Governance: The Board Framework

Why 66% of boards are not prepared for the most important decision of the next decade

The adoption of Artificial Intelligence has no longer been a trend to become a fait accompli: 88% of organizations already use AI in at least one business function. What didn't keep up with this speed was governance. The majority of Boards of Directors still treat AI as a technology agenda — delegated to the CTO, discussed in 15 minutes at the end of the quarterly meeting, without supervision framework and without risk metrics.

This mismatch is not just an operational gap. It is a fiduciary exposure. This article presents the framework that Boards need to adopt to oversee IA with the same rigor applied to capital allocation and financial risk management.

1. Fiduciary Duty in the Age of AI

The Board’s responsibility over AI is not optional — it is legal. The Caremark Standard, a benchmark in corporate governance in the USA and growing global influence, establishes that advisors can be held liable for supervisory failures when they ignore foreseeable and material risks. In 2026, AI is a material risk. Ignoring this is the equivalent of not supervising financial derivatives in 2007.

The Problem of Competence

The numbers reveal the vulnerability: 66% of Board members admit to having limited knowledge about AI. This creates a dangerous paradox — the body responsible for supervision does not have the technical competence to exercise it. The result is one of two pathologies: either the board approves everything the CTO proposes (facade supervision), or it blocks initiatives out of fear of the unknown (strategic paralysis).

Accountability Not Delegable

The Board may — and should — delegate the execution of AI. What you cannot delegate is accountability for governance. This means that, even without deep technical expertise, each advisor needs to be able to:

• Assess whether AI risks are mapped and managed
• Question whether there are counters les of adequate human oversight
• Verify whether executive compensation reflects responsible AI goals
• Understand the applicable regulatory framework (EU AI Act, LGPD, NIST AI RMF)

The most accurate analogy: advisors do not need to be accountants to oversee financial statements. But they need to understand enough to ask the right questions to the auditor.

2. Oversight Framework: The Pillars of Control

Effective AI governance requires structure, not improvisation. The NIST AI Risk Management Framework offers the most robust and internationally recognized foundation for organizing board oversight across four pillars.

Human-in-the-Loop as the Rule, not the Exception

Industry data shows that only 0% to 20% of tasks are fully delegable to AI. This implies that active human supervision — the so-called Human-in-the-loop — is mandatory in 80% to 100% of cases. The board should treat any full automation proposal with structured skepticism: where is the point of human intervention? Who has the authority to disrupt the system? In how much time?

Measure and Manage: Beyond Intuition

Effective supervision depends on metrics, not insights. The Board should require the board to report, at a minimum:

• ROI per use case — The market average is $3.70 per dollar invested; leaders achieve $10.30
• Internal adoption rate — Percentage of teams using AI in production, not just in pilot
• Incidents of bias or error  — Number, severity and resolution time
• Cost per token/transaction — Including optimizations like Prompt Caching, which reduces costs by up to 90%

3. Risk Map: The Invisible Side of AI

The most serious risks of AI are not the ones that appear in IT reports. These are the ones that no single department is equipped to identify.

Dual Use and Reputational Risk

AI is dual-use technology by definition. The same capabilities that accelerate customer service can be exploited for fraud, misinformation, or algorithmic discrimination. The reputational risk is amplified because AI failures generate headlines — and headlines generate lawsuits.

LLM Jailbreaking and Security

Jailbreaking techniques allow users to bypass the protections of language models to extract sensitive information or generate prohibited content. If your company operates customer-facing AI, this attack vector needs to be on the radar of the Risk Committee, not just the security team.

Digital Attributes and “Redlining”

Even when a company removes sensitive data (race, gender, income) from models, the AI can infer those attributes from seemingly neutral data — ZIP code, browsing history, consumption patterns. The result is discrimination by proxy, so-called Digital Redlining. For regulated sectors (financial, healthcare, insurance), this risk is existential.

Convergence Organized Crime + AI

The most serious emerging fiduciary risk: criminal organizations using AI agents to cross-reference public employee data, identify personal vulnerabilities, and perform targeted coercion. This convergence requires that the defense operates at the same speed as the attack — that is, that the defense also bes agentic and automated.

4. Global Regulatory Overview

The regulatory environment is consolidating rapidly. Advice that doesn't keep up with this movement is building silent legal liabilities.

The EU AI Act, in force since 2025, is particularly relevant for Brazilian companies with European operations or clients. The clear trend is one of regulatory convergence: what is mandatory in the EU today will be market expectation globally in 18 to 24 months.

5. Counselor's Checklist: The Questions that Can't Leave Unanswered

AI governance on the board does not require advisors to become machine learning engineers. It requires that they ask the right questions — and that they accept only concrete answers.

1. Where does the expertise in AI lie? What is the development plan?
2. Who is the “owner” of AI in the organization? — Is there a person in charge with clear authority, budget, and goals? Or is AI “everyone’s” (and therefore nobody’s)?
3. How do we monitor AI vendors?—Do we have visibility into how third-party models treat our data? Are ZDR and audit clauses in the contracts?
4. Is executive compensation linked to AI? — Are AI adoption, governance, and ROI metrics part of the C-Level assessment? Without linking to compensation, AI does not become a priority.
5. What is our AI incident protocol? — If an AI system produces a discriminatory decision or a data leak tomorrow, who is notified, in How long, and what is the containment plan?
6. Do we have “AI reviewing AI”? — Are there automated auditing systems that verify decisions and code generated by other agents before implementation?

Every question without a clear answer is an unmanaged risk. Every unmanaged risk is a potential oversight failure under the Caremark Standard.

Conclusion

AI governance is not a future agenda — it’s the agenda of now. With 88% of organizations already using AI and a rapidly consolidating regulatory environment, the Board that does not structure formal oversight is accumulating fiduciary risk with each meeting that passes without dealing with the topic with the depth it requires.

The path is not complex, but it requires discipline: mapping systems, defining responsible parties, implementing metrics, requiring Human-in-the-loop and following the regulatory panorama. Boards that do this protect the business and position themselves to capture the $10.30 per dollar returns that leaders are demonstrating are possible.

Those who don't are delegating governance to random — and chance has no fiduciary duty.

References

1. 88% of organizations already use AI— McKinsey & Company, “The State of AI: How organizations are rewiring to capture value,” Global Survey, 2025. https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
2. 66% of advisers with limit knowledge ado about AI— EY & Diligent Institute, “Board Oversight of AI: From Awareness to Action,” Corporate Governance Survey, 2024. https://www.diligent.com/resources/resear ch/ai-governance
3. Caremark Standard (duty of supervision) — In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996). https://law.justia.com/cases/delaware/court-of-chancery/1996/13670-2.html
4. NIST AI Risk Management Framework — National Institute of Standards and Technol ogy, “AI Risk Management Framework (AI RMF 1.0),” NIST AI 100-1, January 2023. https://www.nist.gov/artificial-intelligence/executive-order-safe-secure-and-trustworthy-artificial- intelligence
5. 0–20% of tasks fully delegable to AI— Anthropic, “Anthropic’s Responsible Scaling Policy and Research on Human-AI Collaboration,” 2 024. https://www.anthropic.com/research
6. Human-in-the-loop required in 80–100% of cases — Derived from the previous data (complementary to the 0–20% delegable). Additional Reference: Stanford HAI, “AI Index Report 2024.” https://aiindex.stanford.edu/report/
7. Average ROI of $3.70 and leaders achieving $10.30 per dollar invested — Accenture, “The Art of AI Maturity: Advancing from Practice to Performance,” 2024. https://www.accenture.com/us-en/insights/artificial-intelligence/ai-maturity-and-transformation
8. Prompt Caching with savings of up to 90% — Anthropic, “Prompt Caching,” API Documentation & Pricing. https://docs.anthropic.com/en/docs/build-with-claude/prompt-caching
9. EU AI Act — Regulation (EU) 2024/1689 of the European Parliament and of the Council, of 13 June of 2024, in force since 2025. https://artificialintelligenceact.eu/
10. LGPD (General Data Protection Law) — Law nº 13,709/2018, Federative Republic of Brazil. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
11. Zero Data Retention (ZDR) — Anthropic Trust Center, data retention policies and compliance. https://trust.anthropic.com/
12. LLM Jailbreaking and Model Security — OWASP Foundation, “OWASP Top 10 for Large Language Model Applications,” v1.1, 2024. https://owasp.org/www-project-top-10-for-large-lang uage-model-applications/
13. Digital “Redlining” and derived attributes — Federal Trade Commission (FTC), “Combating Online Harms Through Innovation — Report on the Use of AI,” 2024. https://www.ftc.gov/reports; see also: White House OSTP, “Blueprint for an AI Bill of Rights,” 2022. https://www.whitehouse.gov/ostp/ai-bill-of-rights/
14. Convergence organized crime + AI — Europol, “The Criminal Use of AI,” Europol Innovation Lab, 2024. https://www.europol.europa.eu/publications-events; FBI Internet Crime Complaint Center (IC3), Annual Report, 2024. https://www.ic3.gov/
15. “AI reviewing AI” (automated auditing) — Anthropic, “Core Views on AI Safety,” 2023. https://www.anthropic.com/research; see also: NIST AI 100-1 (“Manage” Pillar) and emerging AI Red Teaming practices.

At OPEX Consultoria, we help family and industrial businesses to structure AI governance that protects the business and generates competitive advantage — with auditable frameworks that the board can oversee. If your board needs clarity on AI, talk to us.