Como traduzir risco de IA em R$ para o conselho
Li essa semana uma análise publicada pelo Canaltech que capturou algo que deveria constar em toda agenda de comitê de riscos: os riscos de governança de IA ainda não aparecem nos balanços corporativos brasileiros. Investimento em IA entra nos relatórios de resultados, nas apresentações ao board, nos discursos de estratégia. O custo da ausência de governança, não.
Zero provisão. Zero passivo contingente. Zero linha de risco quantificado.
O problema não está no conselho. Está na linguagem que chega até ele.
Diretores financeiros tomam decisões com base em números. CAPEX, OPEX, provisão regulatória, passivo contingente (essa é a gramática da sala de reunião). Quando o CISO chega com slides sobre “maturidade em segurança” e “risco de reputação”, a conversa não avança. Não por má vontade. Por ausência de dado traduzível.
Apenas 27% das empresas brasileiras afirmam ter modelos de governança maduros para IA, o restante opera com adoção acelerada e estrutura incompleta, segundo o relatório State of AI 2026 da Deloitte. Esse número por si só não move orçamento. O que move orçamento é ver quanto custa não ter governança em reais, com cenário específico, no exercício corrente.
Segue um framework de três componentes para montar essa conversa.
Componente 1: exposição regulatória
O PL 2338/2023 foi aprovado pelo Senado em 10 de dezembro de 2024 e está na Câmara aguardando votação final, com expectativa de aprovação em 2026. Quando passar, pode adotar o modelo europeu: classificação por nível de risco, direitos de transparência e contestação para os afetados, sanções de até R$ 50 milhões por infração.
Mas a ANPD não espera o Marco Legal. Já está em campo. Em 2025, aplicou mais de 120 autos de infração só no primeiro semestre, totalizando R$ 45 milhões em multas previstas. O Congresso converteu em lei a MP 1.317/25 e a ANPD virou oficialmente agência reguladora com estrutura de investigação e sanção formal. Em dezembro, publicou o Mapa de Temas Prioritários 2026-2027, sinalizando onde a fiscalização vai bater.
Uma das prioridades do mapa: uso de IA com dados pessoais.
Para empresa com R$ 500 milhões de faturamento bruto, infração grave sob a LGPD chega a R$ 10 milhões por episódio, com teto de 2% do faturamento. IA generativa processando dados pessoais de clientes sem base legal documentada, sem controles de acesso por papel, sem mecanismo de explicabilidade para o titular: é passivo mensurável, não cenário hipotético.
Calcule o teto de multa no pior cenário realista. Coloque esse número na primeira linha da planilha.
Componente 2: exposição operacional
Em março de 2023, engenheiros da Samsung inseriram código-fonte proprietário e transcrições de reuniões internas no ChatGPT durante três incidentes separados. O conteúdo foi ao treinamento do modelo. A empresa só tomou conhecimento depois que o dado já tinha saído. O dano operacional e reputacional superou qualquer multa regulatória.
Esse cenário não é exótico para o Brasil, é rotina não documentada!
Prompt injection em ferramenta interna não homologada. Decisão de crédito automatizada com dado desatualizado gerando ação judicial. Chatbot respondendo fora do escopo e criando passivo contratual. LLM de atendimento alucinando cláusula de contrato para cliente. Cada um desses é um incidente com custo estimável… resposta técnica, comunicação de crise, eventual litígio, horas de equipe, impacto em SLA.
O exercício é direto: defina um cenário realista para o seu setor e estime o custo de ponta a ponta. Não precisa ser exato. Precisa ser defensável na frente do CFO.
Esse número é a sua exposição operacional. Entra na segunda linha.
Componente 3: custo de não fazer
Aqui a conversa vira.
Seu concorrente está adotando IA. Você provavelmente também está. A diferença não é quem tem IA, é quem tem governança. Empresa que automatizou com estrutura de supervisão, inventário de sistemas e política de uso aceitável consegue acelerar com segurança, incorporar novas ferramentas, expandir casos de uso, reduzir custo operacional. Empresa que paralisa sem framework perde velocidade. E velocidade, no mercado de 2026, vira margem perdida.
O Gartner projeta que até 2030, regulamentações específicas de IA cobrirão três quartos das economias globais. Quem estruturou governança agora vai adequar com ajuste fino. Quem não estruturou vai correr contra prazo de implementação, e correr custa sistematicamente mais que planejar.
Estime o gap competitivo em meses. Calcule o impacto em margem. Coloque esse número na terceira linha.
Como levar ao próximo comitê
Uma página. Três números. Sem jargão de segurança.
O CISO não monta essa tabela sozinho, pelo menos não deveria. O papel do CISO é orquestrar a conversa e formular as perguntas certas para quem tem o dado.
| Componente | Cenário | Quem fornece o número |
| Exposição regulatória | Infração ANPD por uso de LLM sem base legal documentada | Jurídico (mapeamento de risco) + CFO (faturamento bruto) |
| Exposição operacional | Incidente de vazamento via ferramenta de IA não homologada | Financeiro (modelagem de custo) + benchmark IBM Cost of a Data Breach |
| Custo de não fazer | Gap competitivo por 6 meses sem automação com governança | CEO/Negócios (análise de margem). O CISO formula a pergunta, não responde |
Se o Jurídico (DPO) não sabe quais sistemas de IA processam dados pessoais, se o Financeiro nunca modelou custo de incidente, se o negócio não tem ideia do gap competitivo, a empresa não tem problema de dado. Tem problema de governança no geral.
E esse, por si só, já é o relatório.
Leve esse documento ao próximo comitê de riscos. Não como apresentação de segurança, mas como análise de passivo contingente, o mesmo formato que o CFO usa para provisionar risco tributário.
A mudança não está nos dados. Está no enquadramento.
- CISO que apresenta risco em linguagem técnica compete com o problema por atenção do board.
- CISO que apresenta risco em reais compete por posição na agenda de aprovação de orçamento. São jogos diferentes, com resultados diferentes.
“Nos próximos anos, essa diferença deixará de ser um tema tecnológico para se tornar uma variável econômica relevante. E, como toda variável econômica relevante, acabará aparecendo no balanço.”
Vai aparecer. A questão é se vai aparecer como provisão planejada ou como sinistro.
Risco sem número não existe para o board. Coloque o número.
Descomplicando a Cibersegurança
Quer saber mais sobre Cibersegurança de uma forma simples e direta, construindo uma base de conhecimento que suporte os desafios da IA?
Conheça meu livro: “Descomplicando a Cibersegurança” e tenha acesso a um conteúdo essencial para gestores e profissionais que precisam de clareza para navegar no cenário de riscos digitais.
Link para Amazon: https://a.co/d/00y4w0we
Linkedin: https://www.linkedin.com/in/joseluizjr









