Artigo
14/11/2023
Atualizado em 21/04/2026

A Importância e o Papel dos Comitês de Risco, Conselho de Administração e Diretoria na Gestão do Risco Cibernético

Comitês de Risco, Conselho de Administração e Diretoria Executiva têm responsabilidades distintas e complementares na supervisão, aprovação e execução das políticas de segurança cibernética para proteger ativos e dados empresariais.

Imagem de capa do artigo

O risco cibernético tem se tornado uma preocupação crescente para as empresas em um mundo cada vez mais digitalizado. E quem acompanha meus posts sabe bem da minha particular preocupação com o tema.

Até porque acho que a gestão eficaz deste risco envolve várias partes interessadas, incluindo também o que muitos esquecem, os comitês de riscos, além do conselho de administração e, obviamente, a diretoria executiva, que precisam trabalhar alinhados.

Queria então falar um pouco mais sobre os papéis e responsabilidades desses grupos na gestão do risco cibernético.

Começo falando então sobre o Papel dos Comitês de Risco, do Conselho e da Diretoria neste assunto:

Comitês de Risco

O Comitê de Risco é responsável por supervisionar e aconselhar sobre questões técnicas de risco da empresa, incluindo claro os riscos cibernéticos. Este comitê deve trabalhar em estreita colaboração com o CISO (Chief Information Security Officer) para avaliar as vulnerabilidades e ameaças à segurança da informação.

Como participo de alguns deles, tento sempre estar presente do lado, acompanhando os trabalhos e ajudando na prática quem está tocando o dia a dia, mas ao mesmo tempo dando o conforto ao conselho, que nem sempre é especializado neste tema bem técnico.

Conselho de Administração

O Conselho de Administração tem o dever fiduciário de proteger os ativos da empresa, o que inclui também então também os dados e informações digitais. Eles são responsáveis por aprovar políticas e estratégias de segurança cibernética de alto nível e devem garantir que essas políticas sejam efetivamente implementadas. Sempre suportado por um time técnico do comitê de riscos. Mas quem vai dar o apetite a este risco são os conselheiros.

Diretoria Executiva

A Diretoria Executiva é responsável pela execução das políticas e estratégias aprovadas pelo Conselho. Eles devem assegurar que os recursos adequados sejam alocados para a segurança cibernética e que os protocolos sejam seguidos. Quem vai executar na prática, atuando como primeira linha de defesa.

Todos estes, em especial o Conselho e a Diretoria, têm responsabilidades legais e éticas de proteger a empresa e seus ativos contra riscos cibernéticos. Falhas na governança de riscos cibernéticos podem resultar em responsabilidades legais e danos reputacionais grandes. Eles devem, portanto, assegurar que um sistema eficaz de controles internos esteja em vigor para mitigar riscos cibernéticos.

Neste sentido, o risco cibernético também afeta (ou deveria) as decisões executivas de várias maneiras, começando pelos cuidados e os investimentos em segurança cibernética, que não são baixos, mas devem ser equilibrados com outros objetivos de negócios, como crescimento e rentabilidade.

Não podemos deixar de comentar, quando abordamos este tema, que construir uma cultura de segurança cibernética envolve mais do que apenas a TI ou a equipe de segurança. É importante que esta cultura permeie todas as áreas e níveis da empresa, e para isto o treinamento e a conscientização são fundamentais, assim como o envolvimento de diversas áreas na estratégia de segurança cibernética. O comprometimento de todas estas partes é essencial para construir uma cultura corporativa que valorize e priorize a segurança cibernética.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante