Governança de Risco em 5 Decisões

Governança de risco cibernético não é uma lista exaustiva de controles. É um conjunto pequeno de decisões executivas, tomadas em cadência, registradas em ata e revisadas com critério.

A LeanBic estrutura esse conjunto em cinco decisões por ciclo trimestral: Mapa, Priorização, Investimento, Aceitação e Revisão. O número não é arbitrário. Uma reunião de comitê executivo carrega, com qualidade, entre três e cinco decisões substantivas por pauta. Acima disso, a qualidade cai: as últimas decisões viram homologação, os participantes perdem foco e a ata vira lista de encaminhamentos, o eufemismo executivo para "ninguém vai fazer".

Cinco é o teto que respeita a economia de atenção de um board. Quando a cadência exige mais, o que falta é ciclo, não slot na reunião.

Decisão 1: Mapa

A primeira decisão de qualquer ciclo é acordar sobre o mapa executivo de exposição. Não o mapa técnico de ativos, mas a resposta objetiva a uma pergunta que poucos comitês fazem com precisão: quais são os cenários de impacto material aos quais estamos expostos nos próximos 12 meses, e quanto cada um custa se materializar?

Em empresas de pequeno a médio porte, cinco a sete cenários costumam capturar mais de 90% da exposição material. O mapa tem no máximo sete linhas. Cada linha traz o cenário, o vetor mais provável, a exposição estimada em reais e a velocidade de materialização.

Quem propõe: CISO e risco operacional. Quem aprova: comitê executivo.

Decisão 2: Priorização

É a decisão executiva mais importante das cinco. É onde capital, atenção e tempo de board são alocados. O critério de ordenação é a combinação de exposição financeira com tratabilidade no horizonte trimestral.

O erro mais comum é misturar prioridade de exposição com prioridade de compliance. Compliance entra no mapa, mas "temos auditoria em 60 dias e falta evidência X" não é o mesmo que "somos materialmente expostos a Y". A origem precisa estar sinalizada na ata.

Três a cinco prioridades por ciclo. Não dez. Não "todas".

Quem decide: comitê executivo por consenso. Em desempate, CEO com base em recomendação do CISO e do CFO.

Decisão 3: Investimento

Para cada prioridade: aprovar, aprovar com condição ou recusar. Não existe quarto estado. "Discutir mais" é a forma educada de não decidir e, em governança, vira adiamento formal com motivo e nova data registrada em ata.

A regra que sustenta esta decisão é dura: nenhuma alocação de capital em cibersegurança é aprovada sem KPI de redução de exposição em reais, com baseline e meta definidos. A razão entre exposição evitada e investimento realizado substitui o conceito problemático de ROI em cibersegurança. Não há retorno positivo em mitigação. Há perda evitada.

Um ponto que frequentemente escapa ao board: a Decisão 3 não aprova ferramentas. Aprova redução de exposição. A escolha da ferramenta é responsabilidade do CISO. O resultado em exposição é responsabilidade do board. Comitês que aprovam ferramentas estão fazendo gestão operacional, não governança.

Decisão 4: Aceitação

É a decisão mais subestimada do ciclo e a que mais protege o board juridicamente. Não tratar conscientemente um risco é diferente de não tratá-lo por omissão. A primeira é governança. A segunda é negligência.

A lista de riscos aceitos registra o cenário, a exposição conscientemente retida em reais, o motivo da aceitação, o dono da decisão e o trimestre de revisão prevista. Cinco campos. Nada mais.

Em incidente material, a primeira pergunta de órgãos de controle é se o conselho sabia do risco. A resposta documentada importa de forma objetiva: risco que estava no mapa e foi formalmente aceito com motivo, dono e data é uma decisão consciente e defensável. Risco que estava no mapa, sem priorização nem aceitação formal, é falha de governança indefensável.

A LeanBic recomenda 5% do EBITDA anual como gatilho de homologação pelo conselho quando a exposição aceita ultrapassa esse limite.

Decisão 5: Revisão

Não é uma decisão sobre risco. É uma decisão sobre o próprio sistema de governança. Três indicadores compõem essa leitura: variação da exposição agregada em relação ao ciclo anterior, taxa de cumprimento das prioridades aprovadas e saúde do processo em si.

A regra dura: se a taxa de conclusão do ciclo anterior ficou abaixo de 60%, o próximo ciclo aprova no máximo três prioridades. Comitês que acumulam novas prioridades sem entregar as anteriores estão acumulando dívida de risco, não gerindo governança.

O que muda com o método

Em dois ou três ciclos, os efeitos são observáveis. As reuniões ficam mais curtas porque o formato é decisional, não de atualização técnica. O orçamento de cibersegurança se torna defensável porque tem baseline, meta e dono registrados em ata. A saída do CISO não derruba a memória institucional porque a governança está documentada em ciclos, não na cabeça de uma pessoa.

A distinção que sustenta todo o método é simples: o board decide, a equipe técnica propõe. Quando o board valida sem entender, o método quebra. Quando a equipe técnica decide sem mandato, o método também quebra.

LeanBic Cibersegurança

www.leanbic.com.br