A maioria dos conselhos de administração brasileiros ainda trata tecnologia como operação. Algo que acontece no andar de baixo, na área de TI, e que sobe para o conselho apenas quando algo deu muito errado: um vazamento de dados, uma falha sistêmica que interrompeu operações, um incidente que virou notícia. Esse modelo foi tolerável por um tempo. Hoje, é uma escolha com consequências mensuráveis.
Por que tecnologia migrou para a agenda do conselho
Três mudanças estruturais tornaram essa migração inevitável.
A primeira é o risco sistêmico. Um incidente de cibersegurança pode interromper operações completas, comprometer dados de clientes, acionar reguladores e destruir reputação ao mesmo tempo, em questão de horas. Não é mais um problema de TI com solução técnica. É um problema de continuidade de negócio com implicações financeiras, regulatórias e reputacionais que chegam diretamente à mesa do conselho.
A segunda é a dependência estratégica. As principais decisões de negócio dependem hoje de sistemas e dados de formas que não eram possíveis uma década atrás. Governar o negócio sem entender essa dependência é governar com informação fundamentalmente incompleta.
A terceira é a responsabilidade regulatória. A LGPD estabelece responsabilidade sobre gestores e controladores pelo tratamento adequado de dados pessoais. Regulações setoriais como a Resolução 4.658 do Banco Central impõem obrigações específicas sobre gestão de riscos cibernéticos para instituições financeiras. Conselhos de empresas listadas respondem a acionistas por decisões que incluem exposição a riscos tecnológicos.
Tecnologia deixou de ser vantagem competitiva para ser condição de sobrevivência. E condições de sobrevivência pertencem à pauta do conselho.
O que a governança corporativa diz sobre isso
O COBIT 2019 posiciona explicitamente o conselho de administração como responsável pela governança de TI da organização. O framework define que o conselho deve avaliar as necessidades de tecnologia, direcionar a estratégia de TI e monitorar o desempenho e a conformidade em relação a essa estratégia.
O Instituto Brasileiro de Governança Corporativa, em seu Código das Melhores Práticas, recomenda que os conselhos tenham acesso regular a informações sobre riscos tecnológicos e que pelo menos um conselheiro tenha competência adequada para contribuir nas discussões sobre o tema.
O que o conselho precisa perguntar, não saber
Não é necessário que conselheiros sejam especialistas técnicos. É necessário que saibam fazer as perguntas certas com regularidade e que reconheçam quando as respostas que estão recebendo são vagas demais para subsidiar uma decisão.
As perguntas que todo conselho deveria fazer trimestralmente
Qual é a nossa exposição atual a riscos cibernéticos e como ela evoluiu nos últimos doze meses? Qual porcentagem das nossas operações críticas depende de sistemas com vulnerabilidades conhecidas ou com suporte técnico encerrado pelo fornecedor? Temos um plano de resposta a incidentes testado nos últimos doze meses, ou apenas documentado? Estamos em conformidade com as obrigações regulatórias de dados aplicáveis ao nosso setor? Qual é o nosso investimento em segurança cibernética como percentual do orçamento total de TI, e como se compara ao benchmark do setor?
Como estruturar a pauta de tecnologia no conselho
A forma mais eficaz de integrar tecnologia à agenda do conselho é criar uma estrutura de reporte regular, com frequência definida e com um formato que traduza métricas técnicas em linguagem de negócio e de risco.
Alguns conselhos optam por criar um comitê específico de tecnologia ou de riscos digitais. Outros preferem incluir o tema como item permanente nas reuniões do comitê de auditoria ou de riscos existente. Ambas as abordagens funcionam. O que não funciona é deixar o tema para quando houver urgência.
Outra prática eficaz é a realização de exercícios de simulação de incidente com a participação dos conselheiros, ao menos uma vez por ano. Essa experiência transforma a forma como o conselho percebe e discute riscos tecnológicos de uma forma que nenhum relatório consegue substituir.
O conselheiro que contribui para a discussão de tecnologia
Conselhos que têm ao menos um membro com experiência relevante em tecnologia, segurança da informação ou transformação digital tomam decisões sobre esses temas de forma consistentemente melhor. Não porque esse membro decide sozinho, mas porque ele traduz, questiona e orienta a discussão de forma que os outros conselheiros conseguem participar com substância.
À medida que tecnologia se torna mais central para o modelo de negócio de praticamente todos os setores, essa competência no conselho deixa de ser diferencial e passa a ser necessidade. Organizações que reconhecerem isso antes têm uma vantagem concreta de governança sobre as que ainda tratam tecnologia como assunto de TI.