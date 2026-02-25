Num mundo cada vez mais mediado por sistemas digitais e decisões automatizadas, a presença de controlos já não garante controlo, garante apenas documentação.

Durante décadas, a Corporate Governance baseou-se na premissa de que, se os controlos existirem, a organização está sob controlo. Mas essa premissa deixou de ser verdadeira, ou talvez nunca o tenha sido. Num mundo cada vez mais mediado por sistemas digitais e decisões automatizadas, a presença de controlos já não garante controlo, garante apenas documentação.

A Inteligência Artificial veio tornar esta fragilidade ainda mais visível. Um estudo do World Economic Forum revela que 87% das organizações identificam vulnerabilidades associadas à IA como o risco digital com crescimento mais rápido. Ao mesmo tempo, quase um terço ainda não tem processos estruturados para avaliar esses riscos antes da sua utilização. Isto significa que muitas organizações dependem de sistemas que influenciam decisões críticas sem plena compreensão do seu comportamento, deslocando o problema da engenharia para a perda de entendimento sobre aquilo que governa o próprio negócio.

O problema agrava-se quando se observa a capacidade humana para lidar com esta realidade. O relatório da associação profissional global ISACA mostra que mais de metade das organizações reconhece que as suas equipas estão subdimensionadas e que as maiores lacunas não são tecnológicas, mas cognitivas, como pensamento crítico, capacidade de análise e tomada de decisão.

Ainda assim, muitos Conselhos continuam a fazer perguntas desenhadas para um mundo onde os sistemas eram estáticos: “Qual a percentagem de controlos testados?” “Quantas auditorias foram concluídas?” “Quantas não conformidades foram encerradas?”. Estas métricas medem conformidade processual, mas não medem resiliência operacional, tornando-se evidente que as métricas chave têm de mudar.

O Time-to-Explanation mede quanto tempo demora a explicar uma decisão tomada por um sistema crítico. O Conselho deve perguntar: “Se um sistema tomar amanhã uma decisão errada com impacto relevante, quanto tempo demoraremos a explicar exatamente o que aconteceu e porquê?” Se a resposta não for imediata e baseada em evidência, o sistema não está verdadeiramente sob controlo.

A Decision Replayability mede a percentagem de decisões que podem ser integralmente reconstruídas. Sem esta capacidade, não existe verdadeiro controlo, apenas confiança implícita. O Conselho deve saber se “Conseguimos reconstruir, com precisão, as decisões mais críticas do negócio?”.

O Drift Detection and Correction Time mede quanto tempo demora a detetar e corrigir desvios no comportamento dos sistemas. Em sistemas IA o desvio tende a ser silencioso e gradual, por isso importa saber “Quanto tempo demoraremos a perceber que um sistema deixou de se comportar como esperado?”.

Por fim, o Continuous Monitoring Coverage mede a percentagem de sistemas críticos sob monitorização contínua para entender “Que parte do negócio está verdadeiramente sob supervisão e que parte opera apenas na base da suposição?”.

Organizações resilientes não se distinguem pela qualidade da documentação, mas pela velocidade com que compreendem e corrigem o seu próprio comportamento.

No final, a competência de um Conselho será definida não pela qualidade das respostas que recebe, mas pela qualidade das perguntas que tem a coragem de fazer. Porque aquilo que não pode ser explicado não está a ser controlado, está apenas a funcionar… até deixar de funcionar.