70% dos boards dizem ter governança de IA — só 14% estão de fato prontos

70% dos boards dizem ter governança de IA — só 14% estão de fato prontos

Uma pesquisa recente entre líderes do Fortune 500 trouxe dois números que, juntos, contam toda a história: 70% reportam ter estruturas de governança de IA. Apenas 14% dizem estar de fato prontos para deploy de IA em escala.

A diferença entre “ter política” e “estar pronto” é onde mora o risco. Política é documento. Prontidão é capacidade operacional. E no intervalo entre os dois, está a maior exposição de D&O (Directors & Officers) desta década.

O que os proxy advisors estão pedindo

Em 2026, o jogo mudou. Proxy advisors — as empresas que orientam votos de acionistas em assembleias — passaram a exigir que boards demonstrem AI literacy nas proxy statements. Não basta dizer “temos uma política de IA”. É preciso documentar:

  • Quais diretores têm formação ou experiência em IA
  • Que tipo de treinamento o board recebeu
  • Qual comitê é responsável pela supervisão de IA
  • Com que frequência o board revisa riscos e oportunidades de IA

Para empresas listadas, isso é compliance. Para empresas privadas que pretendem abrir capital, é preparação. Para todas, é governança mínima.

O gap entre política e prontidão

Por que 70% têm política mas apenas 14% estão prontos? Três razões:

Políticas genéricas. A maioria das políticas de IA corporativas são adaptações de políticas de tecnologia ou privacidade. Cobrem princípios gerais (“uso ético”, “transparência”, “supervisão humana”) sem definir processos específicos: quem aprova o deploy de um modelo, quais métricas de monitoramento são obrigatórias, o que constitui um incidente de IA e como escalar.

Falta de capacidade técnica no board. Diretores conseguem avaliar riscos financeiros, regulatórios e operacionais porque têm décadas de experiência nesses domínios. IA é diferente — o risco é técnico, probabilístico e evolui a cada trimestre. Sem educação continuada, o board depende integralmente da gestão para avaliar risco de IA. Isso é exatamente o oposto do que governança deveria ser.

Accountability difusa. Quando a responsabilidade por IA está distribuída entre CTO, CDO, CIO, jurídico e compliance, ninguém é accountable. O board recebe reports fragmentados de diferentes áreas, não tem visão consolidada de risco e não consegue tomar decisões informadas.

A exposição de D&O

O gap entre deploy de IA e oversight de IA é, segundo analistas, a fonte de exposição de D&O que mais cresce na governança corporativa americana. A lógica jurídica é direta:

Diretores têm dever fiduciário de supervisão (duty of oversight). Se a empresa deploya IA que causa dano — discriminação em contratação, erro em decisão de crédito, alucinação em comunicação com clientes — e o board não tinha mecanismo de supervisão, há exposição pessoal dos diretores.

O precedente mais relevante é o caso Caremark (1996), que estabeleceu que diretores podem ser responsabilizados por falhas de supervisão quando não implementaram nenhum sistema de reporting ou ignoraram red flags. IA em produção sem governance é exatamente esse cenário.

O que governance de IA efetiva exige

Cinco componentes não negociáveis:

1. Comitê designado. Um comitê do board — pode ser o comitê de risco, de tecnologia ou um novo comitê de IA — com mandato explícito de supervisão de IA. Reuniões trimestrais no mínimo.

2. Inventário de IA atualizado. Lista de todos os sistemas de IA em operação, classificados por risco, com owner de negócio designado para cada um. Atualizado a cada trimestre.

3. Métricas de monitoramento. Para cada sistema de alto risco: accuracy, drift, taxa de incidentes, número de overrides humanos, compliance status. O board não precisa ver cada métrica — precisa ver o dashboard consolidado e os outliers.

4. Protocolo de incidentes. Definição clara de o que constitui um incidente de IA, quem é notificado, qual é a cadeia de escalação e quando o board é informado. Se o board descobre um incidente de IA pela imprensa, a governança falhou.

5. Educação continuada. Pelo menos um board briefing por semestre sobre tendências de IA, mudanças regulatórias e casos de estudo de incidentes. Diretores não precisam ser técnicos — precisam ser informados o suficiente para fazer as perguntas certas.

O contexto brasileiro

Conselhos de administração de empresas brasileiras enfrentam o mesmo gap, com agravantes. A governança corporativa no Brasil historicamente prioriza compliance fiscal e trabalhista — IA não está no radar da maioria dos boards.

O Código Brasileiro de Governança Corporativa do IBGC ainda não endereça IA diretamente. Mas os princípios de supervisão, transparência e accountability se aplicam. Quando o board de uma empresa brasileira aprova investimento em IA sem mecanismo de oversight, está expondo a organização — e a si mesmo — a risco que a regulação vai eventualmente formalizar.

Com o PL 2338 avançando e a LGPD já exigindo explicabilidade de decisões automatizadas, boards brasileiros que não colocam IA na pauta estão acumulando risco regulatório.

As cinco perguntas para a próxima reunião de board

  1. Quantos sistemas de IA operam na nossa organização hoje — e quem é responsável por cada um?
  2. Qual é o nosso framework de classificação de risco para IA?
  3. Tivemos algum incidente de IA nos últimos 12 meses? Se sim, como foi tratado?
  4. Estamos em conformidade com as regulações aplicáveis (EU AI Act, LGPD, leis estaduais americanas)?
  5. Quando foi a última vez que este board recebeu treinamento sobre riscos e oportunidades de IA?

Se a resposta para qualquer uma dessas perguntas for “não sabemos”, o board tem trabalho a fazer. E o prazo é agora.