Governança de IA: O Framework do Conselho de Administração

Por que 66% dos conselheiros não estão preparados para a decisão mais importante da próxima década

A adoção de Inteligência Artificial deixou de ser tendência para se tornar fato consumado: 88% das organizações já utilizam IA em pelo menos uma função de negócio. O que não acompanhou essa velocidade foi a governança. A maioria dos Conselhos de Administração ainda trata IA como pauta de tecnologia — delegada ao CTO, discutida em 15 minutos ao final da reunião trimestral, sem framework de supervisão e sem métricas de risco.

Esse descompasso não é apenas uma lacuna operacional. É uma exposição fiduciária. Este artigo apresenta o framework que Conselhos precisam adotar para supervisionar IA com o mesmo rigor aplicado à alocação de capital e à gestão de riscos financeiros.

1. O Dever Fiduciário na Era da IA

A responsabilidade do Conselho de Administração sobre IA não é opcional — é jurídica. O Padrão Caremark, referência em governança corporativa nos EUA e crescente influência global, estabelece que conselheiros podem ser responsabilizados por falhas de supervisão quando ignoram riscos previsíveis e materiais. Em 2026, IA é um risco material. Ignorar isso é o equivalente a não supervisionar derivativos financeiros em 2007.

O Problema da Competência

Os números revelam a vulnerabilidade: 66% dos membros de Conselhos admitem ter conhecimento limitado sobre IA. Isso cria um paradoxo perigoso — o órgão responsável pela supervisão não possui a competência técnica para exercê-la. O resultado é uma de duas patologias: ou o board aprova tudo que o CTO propõe (supervisão de fachada), ou bloqueia iniciativas por medo do desconhecido (paralisia estratégica).

Accountability Não Delegável

O Conselho pode — e deve — delegar a execução de IA. O que não pode delegar é a accountability pela governança. Isso significa que, mesmo sem expertise técnica profunda, cada conselheiro precisa ser capaz de:

• Avaliar se os riscos de IA estão mapeados e gerenciados
• Questionar se existem controles de supervisão humana adequados
• Verificar se a remuneração executiva reflete metas de IA responsável
• Entender o marco regulatório aplicável (EU AI Act, LGPD, NIST AI RMF)

A analogia mais precisa: conselheiros não precisam ser contadores para supervisionar demonstrações financeiras. Mas precisam entender o suficiente para fazer as perguntas certas ao auditor.

2. Framework de Supervisão: Os Pilares de Controle

A governança eficaz de IA exige estrutura, não improvisação. O NIST AI Risk Management Framework oferece a base mais robusta e internacionalmente reconhecida para organizar a supervisão do board em quatro pilares.

Human-in-the-Loop como Regra, não Exceção

Dados da indústria mostram que apenas 0% a 20% das tarefas são plenamente delegáveis à IA. Isso implica que a supervisão humana ativa — o chamado Human-in-the-loop — é obrigatória em 80% a 100% dos casos. O board deve tratar qualquer proposta de automação total com ceticismo estruturado: onde está o ponto de intervenção humana? Quem tem autoridade para interromper o sistema? Em quanto tempo?

Medir e Gerenciar: Além da Intuição

A supervisão eficaz depende de métricas, não de percepções. O Conselho deve exigir que a diretoria reporte, no mínimo:

• ROI por caso de uso — A média de mercado é US$ 3,70 por dólar investido; líderes atingem US$ 10,30
• Taxa de adoção interna — Porcentagem de equipes usando IA em produção, não apenas em piloto
• Incidentes de viés ou erro — Número, gravidade e tempo de resolução
• Custo por token/transação — Incluindo otimizações como Prompt Caching, que reduz custos em até 90%

3. Mapa de Riscos: O Lado Invisível da IA

Os riscos mais graves da IA não são os que aparecem nos relatórios de TI. São os que nenhum departamento isolado está equipado para identificar.

Uso Dual e Risco Reputacional

IA é tecnologia de uso dual por definição. As mesmas capacidades que aceleram o atendimento ao cliente podem ser exploradas para fraude, desinformação ou discriminação algorítmica. O risco reputacional é amplificado porque falhas de IA geram manchetes — e manchetes geram processos.

LLM Jailbreaking e Segurança

Técnicas de jailbreaking permitem que usuários contornem as proteções de modelos de linguagem para extrair informações sensíveis ou gerar conteúdo proibido. Se sua empresa opera IA voltada ao cliente, esse vetor de ataque precisa estar no radar do Comitê de Riscos, não apenas da equipe de segurança.

Atributos Derivados e “Redlining” Digital

Mesmo quando uma empresa remove dados sensíveis (raça, gênero, renda) dos modelos, a IA pode inferir esses atributos a partir de dados aparentemente neutros — CEP, histórico de navegação, padrões de consumo. O resultado é discriminação por proxy, o chamado “Redlining” Digital. Para setores regulados (financeiro, saúde, seguros), esse risco é existencial.

Convergência Crime Organizado + IA

O risco fiduciário emergente mais grave: organizações criminosas utilizando agentes de IA para cruzar dados públicos de funcionários, identificar vulnerabilidades pessoais e executar coação direcionada. Essa convergência exige que a defesa opere na mesma velocidade do ataque — ou seja, que a defesa também seja agêntica e automatizada.

4. Panorama Regulatório Global

O ambiente regulatório está se consolidando rapidamente. Conselhos que não acompanham esse movimento estão construindo passivos jurídicos silenciosos.

O EU AI Act, em vigor desde 2025, é particularmente relevante para empresas brasileiras com operações ou clientes europeus. A tendência clara é de convergência regulatória: o que é obrigatório na UE hoje será expectativa de mercado globalmente em 18 a 24 meses.

5. Checklist do Conselheiro: As Perguntas que Não Podem Ficar Sem Resposta

A governança de IA no board não exige que conselheiros se tornem engenheiros de machine learning. Exige que façam as perguntas certas — e que aceitem apenas respostas concretas.

1. Onde reside a expertise em IA? — Temos competência interna ou dependemos integralmente de fornecedores? Qual é o plano de desenvolvimento?
2. Quem é o “dono” da IA na organização? — Existe um responsável com autoridade, orçamento e metas claras? Ou a IA é “de todos” (e portanto de ninguém)?
3. Como monitoramos fornecedores de IA? — Temos visibilidade sobre como modelos terceiros tratam nossos dados? Existem cláusulas de ZDR e auditoria nos contratos?
4. A remuneração executiva está ligada à IA? — Métricas de adoção, governança e ROI de IA fazem parte da avaliação do C-Level? Sem vinculação à remuneração, IA não vira prioridade.
5. Qual é nosso protocolo de incidentes de IA? — Se um sistema de IA produzir uma decisão discriminatória ou um vazamento de dados amanhã, quem é notificado, em quanto tempo, e qual é o plano de contenção?
6. Temos “IA revisando IA”? — Existem sistemas de auditoria automatizada que verificam as decisões e o código gerado por outros agentes antes da implementação?

Cada pergunta sem resposta clara é um risco não gerenciado. Cada risco não gerenciado é uma potencial falha de supervisão sob o Padrão Caremark.

Conclusão

A governança de IA não é uma agenda futura — é a agenda de agora. Com 88% das organizações já utilizando IA e um ambiente regulatório em rápida consolidação, o Conselho que não estrutura supervisão formal está acumulando risco fiduciário a cada reunião que passa sem tratar o tema com a profundidade que ele exige.

O caminho não é complexo, mas exige disciplina: mapear sistemas, definir responsáveis, implementar métricas, exigir Human-in-the-loop e acompanhar o panorama regulatório. Conselhos que fazem isso protegem o negócio e se posicionam para capturar os retornos de US$ 10,30 por dólar que os líderes estão demonstrando ser possíveis.

Os que não fazem estão delegando governança ao acaso — e o acaso não tem dever fiduciário.

Referências

1. 88% das organizações já utilizam IA — McKinsey & Company, “The State of AI: How organizations are rewiring to capture value,” Global Survey, 2025. https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
2. 66% dos conselheiros com conhecimento limitado sobre IA — EY & Diligent Institute, “Board Oversight of AI: From Awareness to Action,” Corporate Governance Survey, 2024. https://www.diligent.com/resources/research/ai-governance
3. Padrão Caremark (dever de supervisão) — In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996). https://law.justia.com/cases/delaware/court-of-chancery/1996/13670-2.html
4. NIST AI Risk Management Framework — National Institute of Standards and Technology, “AI Risk Management Framework (AI RMF 1.0),” NIST AI 100-1, January 2023. https://www.nist.gov/artificial-intelligence/executive-order-safe-secure-and-trustworthy-artificial-intelligence
5. 0–20% das tarefas plenamente delegáveis à IA — Anthropic, “Anthropic’s Responsible Scaling Policy and Research on Human-AI Collaboration,” 2024. https://www.anthropic.com/research
6. Human-in-the-loop obrigatório em 80–100% dos casos — Derivado do dado anterior (complemento dos 0–20% delegáveis). Referência adicional: Stanford HAI, “AI Index Report 2024.” https://aiindex.stanford.edu/report/
7. ROI médio de US$ 3,70 e líderes atingindo US$ 10,30 por dólar investido — Accenture, “The Art of AI Maturity: Advancing from Practice to Performance,” 2024. https://www.accenture.com/us-en/insights/artificial-intelligence/ai-maturity-and-transformation
8. Prompt Caching com economia de até 90% — Anthropic, “Prompt Caching,” API Documentation & Pricing. https://docs.anthropic.com/en/docs/build-with-claude/prompt-caching
9. EU AI Act — Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, em vigor desde 2025. https://artificialintelligenceact.eu/
10. LGPD (Lei Geral de Proteção de Dados) — Lei nº 13.709/2018, República Federativa do Brasil. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
11. Zero Data Retention (ZDR) — Anthropic Trust Center, políticas de retenção de dados e compliance. https://trust.anthropic.com/
12. LLM Jailbreaking e segurança de modelos — OWASP Foundation, “OWASP Top 10 for Large Language Model Applications,” v1.1, 2024. https://owasp.org/www-project-top-10-for-large-language-model-applications/
13. “Redlining” Digital e atributos derivados — Federal Trade Commission (FTC), “Combating Online Harms Through Innovation — Report on the Use of AI,” 2024. https://www.ftc.gov/reports; ver também: White House OSTP, “Blueprint for an AI Bill of Rights,” 2022. https://www.whitehouse.gov/ostp/ai-bill-of-rights/
14. Convergência crime organizado + IA — Europol, “The Criminal Use of AI,” Europol Innovation Lab, 2024. https://www.europol.europa.eu/publications-events; FBI Internet Crime Complaint Center (IC3), Annual Report, 2024. https://www.ic3.gov/
15. “IA revisando IA” (auditoria automatizada) — Anthropic, “Core Views on AI Safety,” 2023. https://www.anthropic.com/research; ver também: NIST AI 100-1 (Pilar “Gerenciar”) e práticas emergentes de AI Red Teaming.

Na OPEX Consultoria, ajudamos empresas familiares e industriais a estruturar governança de IA que protege o negócio e gera vantagem competitiva — com frameworks auditáveis que o board pode supervisionar. Se seu conselho precisa de clareza sobre IA, fale conosco.