Como traduzir risco de IA em R$ para o conselho

A adoção da inteligência artificial avança rapidamente nas empresas, mas a governança ainda está longe da maturidade. Neste artigo, José Luiz explica como CISOs podem transformar riscos de IA em indicadores financeiros compreensíveis para CFOs e conselhos de administração. O texto apresenta um framework baseado em exposição regulatória, riscos operacionais e custo da falta de governança, mostrando como quantificar impactos em reais e fortalecer a tomada de decisão estratégica diante das novas exigências regulatórias e do avanço da IA nas organizações.

Jose Luiz, AAISMEscrito por Jose Luiz, AAISM
Compartilhe
Sala de reuniões corporativa moderna com executivos reunidos em torno de uma mesa de conferências. No centro da cena, uma balança metálica simboliza o equilíbrio entre riscos e oportunidades da inteligência artificial. Sobre a balança, há projeções holográficas: de um lado, ícones que representam alerta, segurança e risco; do outro, gráficos de crescimento, proteção e desempenho. Acima da mesa, um grande holograma em forma de cérebro digital conecta diversos pontos luminosos, sugerindo inteligência artificial. Ao fundo, janelas amplas revelam o horizonte de uma cidade à noite, reforçando o ambiente executivo e tecnológico. Não há textos ou logotipos na imagem.

Descubra como transformar riscos de IA em impacto financeiro para o board e justificar investimentos em governança de inteligência artificial com dados concretos.

Como traduzir risco de IA em R$ para o conselho

Li essa semana uma análise publicada pelo Canaltech que capturou algo que deveria constar em toda agenda de comitê de riscos: os riscos de governança de IA ainda não aparecem nos balanços corporativos brasileiros. Investimento em IA entra nos relatórios de resultados, nas apresentações ao board, nos discursos de estratégia. O custo da ausência de governança, não.

Zero provisão. Zero passivo contingente. Zero linha de risco quantificado.

O problema não está no conselho. Está na linguagem que chega até ele.

Diretores financeiros tomam decisões com base em números. CAPEX, OPEX, provisão regulatória, passivo contingente (essa é a gramática da sala de reunião). Quando o CISO chega com slides sobre “maturidade em segurança” e “risco de reputação”, a conversa não avança. Não por má vontade. Por ausência de dado traduzível.

Apenas 27% das empresas brasileiras afirmam ter modelos de governança maduros para IA, o restante opera com adoção acelerada e estrutura incompleta, segundo o relatório State of AI 2026 da Deloitte. Esse número por si só não move orçamento. O que move orçamento é ver quanto custa não ter governança em reais, com cenário específico, no exercício corrente.

Segue um framework de três componentes para montar essa conversa.

Componente 1: exposição regulatória

O PL 2338/2023 foi aprovado pelo Senado em 10 de dezembro de 2024 e está na Câmara aguardando votação final, com expectativa de aprovação em 2026. Quando passar, pode adotar o modelo europeu: classificação por nível de risco, direitos de transparência e contestação para os afetados, sanções de até R$ 50 milhões por infração.

Mas a ANPD não espera o Marco Legal. Já está em campo. Em 2025, aplicou mais de 120 autos de infração só no primeiro semestre, totalizando R$ 45 milhões em multas previstas. O Congresso converteu em lei a MP 1.317/25 e a ANPD virou oficialmente agência reguladora com estrutura de investigação e sanção formal. Em dezembro, publicou o Mapa de Temas Prioritários 2026-2027, sinalizando onde a fiscalização vai bater.

Uma das prioridades do mapa: uso de IA com dados pessoais.

Para empresa com R$ 500 milhões de faturamento bruto, infração grave sob a LGPD chega a R$ 10 milhões por episódio, com teto de 2% do faturamento. IA generativa processando dados pessoais de clientes sem base legal documentada, sem controles de acesso por papel, sem mecanismo de explicabilidade para o titular: é passivo mensurável, não cenário hipotético.

Calcule o teto de multa no pior cenário realista. Coloque esse número na primeira linha da planilha.

Componente 2: exposição operacional

Em março de 2023, engenheiros da Samsung inseriram código-fonte proprietário e transcrições de reuniões internas no ChatGPT durante três incidentes separados. O conteúdo foi ao treinamento do modelo. A empresa só tomou conhecimento depois que o dado já tinha saído. O dano operacional e reputacional superou qualquer multa regulatória.

Esse cenário não é exótico para o Brasil, é rotina não documentada!

Prompt injection em ferramenta interna não homologada. Decisão de crédito automatizada com dado desatualizado gerando ação judicial. Chatbot respondendo fora do escopo e criando passivo contratual. LLM de atendimento alucinando cláusula de contrato para cliente. Cada um desses é um incidente com custo estimável… resposta técnica, comunicação de crise, eventual litígio, horas de equipe, impacto em SLA.

O exercício é direto: defina um cenário realista para o seu setor e estime o custo de ponta a ponta. Não precisa ser exato. Precisa ser defensável na frente do CFO.

Esse número é a sua exposição operacional. Entra na segunda linha.

Componente 3: custo de não fazer

Aqui a conversa vira.

Seu concorrente está adotando IA. Você provavelmente também está. A diferença não é quem tem IA, é quem tem governança. Empresa que automatizou com estrutura de supervisão, inventário de sistemas e política de uso aceitável consegue acelerar com segurança, incorporar novas ferramentas, expandir casos de uso, reduzir custo operacional. Empresa que paralisa sem framework perde velocidade. E velocidade, no mercado de 2026, vira margem perdida.

O Gartner projeta que até 2030, regulamentações específicas de IA cobrirão três quartos das economias globais. Quem estruturou governança agora vai adequar com ajuste fino. Quem não estruturou vai correr contra prazo de implementação, e correr custa sistematicamente mais que planejar.

Estime o gap competitivo em meses. Calcule o impacto em margem. Coloque esse número na terceira linha.

Como levar ao próximo comitê

Uma página. Três números. Sem jargão de segurança.

O CISO não monta essa tabela sozinho, pelo menos não deveria. O papel do CISO é orquestrar a conversa e formular as perguntas certas para quem tem o dado.

ComponenteCenárioQuem fornece o número
Exposição regulatóriaInfração ANPD por uso de LLM sem base legal documentadaJurídico (mapeamento de risco) + CFO (faturamento bruto)
Exposição operacionalIncidente de vazamento via ferramenta de IA não homologadaFinanceiro (modelagem de custo) + benchmark IBM Cost of a Data Breach
Custo de não fazerGap competitivo por 6 meses sem automação com governançaCEO/Negócios (análise de margem). O CISO formula a pergunta, não responde

Se o Jurídico (DPO) não sabe quais sistemas de IA processam dados pessoais, se o Financeiro nunca modelou custo de incidente, se o negócio não tem ideia do gap competitivo, a empresa não tem problema de dado. Tem problema de governança no geral.

E esse, por si só, já é o relatório.

Leve esse documento ao próximo comitê de riscos. Não como apresentação de segurança, mas como análise de passivo contingente, o mesmo formato que o CFO usa para provisionar risco tributário.

A mudança não está nos dados. Está no enquadramento.

  • CISO que apresenta risco em linguagem técnica compete com o problema por atenção do board.
  • CISO que apresenta risco em reais compete por posição na agenda de aprovação de orçamento. São jogos diferentes, com resultados diferentes.

“Nos próximos anos, essa diferença deixará de ser um tema tecnológico para se tornar uma variável econômica relevante. E, como toda variável econômica relevante, acabará aparecendo no balanço.”

Vai aparecer. A questão é se vai aparecer como provisão planejada ou como sinistro.

Risco sem número não existe para o board. Coloque o número.

Descomplicando a Cibersegurança

Quer saber mais sobre Cibersegurança de uma forma simples e direta, construindo uma base de conhecimento que suporte os desafios da IA?

Conheça meu livro: “Descomplicando a Cibersegurança” e tenha acesso a um conteúdo essencial para gestores e profissionais que precisam de clareza para navegar no cenário de riscos digitais.

Link para Amazon: https://a.co/d/00y4w0we

Linkedin: https://www.linkedin.com/in/joseluizjr

Jose Luiz, AAISM

Jose Luiz, AAISM

Executivo de Segurança da Informação e Privacidade, é autor do livro “Descomplicando a Cibersegurança”. Combina uma vasta experiência em Governança de TI e Gerenciamento de Riscos com uma sólida formação, incluindo programas Master em Governança para Conselheiros, pós- graduação em administração de empresas, MBA em Engenharia e Arquitetura em Cloud. Detentor de certificações globais de destaque, como CISSP e CIPM, José Luiz está atualmente se especializando ativamente em segurança aplicada à Inteligência Artificial, dedicando-se a orientar empresas na proteção de seus ativos no cenário de riscos da IA.

Ver mais artigos desse autor

Recomendadas para você

Governança de IA não é o mesmo que desenvolver seus modelos de IA

Governança de IA não é o mesmo que desenvolver seus modelos de IA

Governança de IA vai além do desenvolvimento e monitoramento de modelos. Enquanto o MLOps cuida dos aspectos técnicos, a governança define responsabilidades, políticas e processos para o uso seguro e ético da inteligência artificial. O artigo explica as diferenças entre esses conceitos, aborda exigências da LGPD, exemplos de falhas de governança e os desafios que empresas de todos os portes enfrentarão com a evolução da regulação da IA.

Jose Luiz, AAISM
08 DE JUNHO
Background newsletter

Inscreva-se na nossa newslleter

Como traduzir risco de IA em R$ para o conselho | AI Brasil