IA e Governança: A Urgência que Sua Empresa (Provavelmente) Ainda Ignora

Tem uma coisa que me incomoda nesse papo de transformação digital: todo mundo corre para implementar IA, e quase ninguém para perguntar quem está no volante. Não é exagero retórico. A Trustmarque publicou em 2025 um número que vale fixar na parede: 93% das organizações já usam IA de alguma forma, e só 7% incorporaram governança de fato. Sete por cento. É como comprar um jato executivo, não contratar piloto, não fazer manutenção, não ter seguro, e torcer para o GPS resolver.

Este artigo é sobre o que acontece quando você delega decisões críticas a sistemas que ninguém entende direito, ninguém monitora com seriedade e ninguém consegue auditar. Se você lidera uma empresa que adotou IA nos últimos dois anos sem parar para discutir governança, este texto é diretamente para você.

O dado que deveria tirar o sono do board

Vou direto. A McKinsey publicou no State of AI 2025 um número que deveria ecoar em sala de conselho: 47% das organizações já experimentaram pelo menos um efeito colateral grave de uso de IA generativa. Violação de compliance, erro de qualidade, exposição de dado. Quase metade. Não é risco teórico esperando para se materializar. É risco realizado.

O IBM Cost of a Data Breach 2025 foi mais cirúrgico ainda: 97% das violações envolvendo sistemas de IA aconteceram em organizações sem controles de acesso adequados. A falha quase nunca está no modelo. Está na porta de entrada.

Para quem ainda acha que governança é assunto de TI, vale repetir. A maioria absoluta dos incidentes graves com IA não é falha de algoritmo. É falha de processo, de responsabilidade, de desenho organizacional. A tecnologia funciona. A gestão é que está quebrada.

O abismo entre adotar e governar

A Pacific AI mostrou em 2025 algo que vejo na maioria das empresas brasileiras que visito. 75% já criaram política de uso de IA. Mas só 36% adotaram framework formal de governança. Tem regra escrita, não tem estrutura para fazer valer. É como ter Código de Trânsito sem fiscalização. As pessoas sabem o que não podem fazer. Fazem do mesmo jeito, porque ninguém está olhando.

O dado mais preocupante não é sobre as grandes. O Gartner mostrou que só 36% das empresas de pequeno porte têm governance officer dedicado para IA, contra 62% nas grandes. A diferença de maturidade é abismal. E adivinhe quem são os alvos preferenciais de incidente. PMEs brasileiras estão adotando IA em ritmo acelerado, muitas vezes via APIs públicas, integrações de WhatsApp e plataformas no-code. Sem governança. Sem trilha de auditoria. Sem ideia clara de onde os dados estão indo parar.

O EU AI Act está chegando (com novos prazos), e o Brasil está se movendo

O EU AI Act foi aprovado em 2024 e já está em vigor, mas os prazos mudaram. A União Europeia fechou um acordo (Omnibus Agreement) que adiou as obrigações mais pesadas para sistemas de alto risco. O que era para valer em agosto de 2026 foi empurrado para dezembro de 2027, e algumas regras ficaram para 2028. O legislador europeu percebeu que a infraestrutura de conformidade e as diretrizes de classificação não ficariam prontas a tempo.

Isso não significa que não há nada acontecendo agora. A partir de agosto de 2026, já valem as regras de transparência (Artigo 50): obrigatoriedade de identificar deepfakes, aplicar marca d'água em conteúdos gerados por IA e avisar explicitamente o usuário quando ele estiver interagindo com uma máquina. Empresas que usam chatbots, assistentes virtuais ou conteúdo sintético precisam se adequar.

O AI Act classifica sistemas de IA por risco. Risco mínimo (a maior parte dos chatbots) segue sem regulação específica. Risco limitado exige transparência. Risco alto, que inclui sistemas afetando direitos fundamentais (contratação, crédito, saúde, segurança), exigirá avaliação de conformidade, supervisão humana documentada e rastreabilidade rigorosa — agora com prazo até 2027. Risco inaceitável já está proibido desde 2025: manipulação comportamental, score social estatal e reconhecimento biométrico em tempo real em espaço público.

Empresas brasileiras que usam IA para triagem de currículo, análise de crédito, monitoramento de funcionário ou atendimento ao consumidor em escala estão no radar. Se você não consegue explicar como seu modelo tomou uma decisão, está vulnerável.

No Brasil, o PL 2.338/2023, o Marco Legal da Inteligência Artificial, avança na Câmara. Depois de passar pelo Senado, foi remetido à Câmara dos Deputados, onde avançou para uma Comissão Especial. O debate migrou do campo puramente ético para a engenharia jurídica de fiscalização, governança e aplicação de sanções. O Ministério da Gestão e Inovação já instituiu, via Portaria 3.485/2026, a Política de Governança de IA na administração pública federal. O recado é claro: o ambiente regulatório está se fechando — mesmo que os prazos tenham se alongado um pouco, a direção é uma só.

Os dez pilares de uma governança que funciona de verdade

Não vou inventar roda. EY, NIST e ISO (via ISO/IEC 42001) já consolidaram o que funciona. O que falta na maior parte das empresas brasileiras não é conhecimento técnico. É execução. Aqui vão os dez pilares que qualquer organização precisa endereçar, não em 2027, agora.

O primeiro é propósito e princípios. Defina publicamente sua posição sobre justiça, transparência, explicabilidade e supervisão humana. Não adianta ter IA ética no papel se o algoritmo de crédito reprova negros e mulheres em proporção desigual. Já aconteceu. Estudo do Federal Reserve mostrou que modelos de crédito hipotecário baseados em machine learning aprovaram menos minorias do que modelos tradicionais, não por racismo explícito, mas porque replicaram padrões históricos de exclusão embutidos nos dados de treino. Princípios são a camada zero. Sem ela, o resto desmorona.

O segundo é papéis e responsabilidades. Quem é dono do modelo? Quem aprova o deploy? Quem responde quando dá errado? Se a resposta é "o time de TI" ou "não sei", há problema. Comitê de governança de IA com participação de negócio, risco, jurídico, compliance e tecnologia precisa existir, com mandato real. A IBM constatou que organizações com papéis claros de governança reduzem em torno de 40% o tempo de resposta a incidente. Não é burocracia. É velocidade.

O terceiro é gestão do ciclo de vida do modelo. Padrão para desenvolvimento, validação, deploy, monitoramento e descomissionamento. Versionamento. Teste de performance. Documentação mínima exigida. Sem isso, você não sabe se seu modelo de hoje é melhor ou pior que o de mês passado. Na prática, todo modelo em produção precisa de "passaporte": documento com origem dos dados, versão do algoritmo, data de treino, métricas de acurácia e aprovação. Sem passaporte, modelo não sobe.

O quarto é risco e conformidade. Integrar requisitos legais, éticos e regulatórios ao processo. Definir limites aceitáveis de risco. Seu modelo de crédito passou por avaliação de impacto? Se não passou, você opera no escuro. O EU AI Act exige avaliação de impacto sobre direitos fundamentais para sistemas de alto risco. O PL brasileiro segue a mesma linha. Quem não tem esse procedimento hoje vai ter que implementar correndo quando a lei chegar.

O quinto é detecção e mitigação de viés. Métodos para identificar e reduzir viés algorítmico nos dados de treino, nos modelos e nas saídas. Isso não é militância. É engenharia. Modelo enviesado gera decisão ruim e exposição legal. Ferramentas como o AI Fairness 360 da IBM e o What-If Tool do Google são gratuitas e podem ser incorporadas ao pipeline. Não usar essas ferramentas hoje é negligência técnica. Amanhã, pode ser negligência legal.

O sexto é explicabilidade e auditabilidade. Você consegue explicar, em linguagem humana, por que o modelo negou um financiamento? Se não consegue, não deveria estar usando esse modelo nessa decisão. Trilhas de auditoria para decisão de alto impacto. Técnicas como SHAP e LIME permitem decompor decisão de modelo complexo em fatores compreensíveis. Não cabe mais dizer que IA é caixa-preta. A caixa-preta só existe para quem não quer abrir.

O sétimo é governança de dados. Origem, rotulagem, segurança e linhagem dos dados nos pipelines. Sem dado governado, o modelo é caixa-preta alimentada por material de origem duvidosa. A LGPD já exige que você saiba de onde vieram os dados pessoais usados em qualquer sistema. Com IA, a exigência se multiplica: precisa rastrear não só origem, mas como o dado foi transformado, rotulado e combinado ao longo do pipeline. Ferramentas de data lineage como Apache Atlas, DataHub ou Collibra deixaram de ser luxo. Viraram necessidade operacional.

O oitavo é monitoramento contínuo e detecção de deriva. Modelos degradam com o tempo. Dados mudam. Comportamento do consumidor muda. Modelo de previsão de demanda precisa ser reavaliado periodicamente, não só no deploy. Existem dois tipos de deriva a vigiar: deriva de conceito (a relação entre variáveis muda) e deriva de dado (a distribuição dos inputs muda). Ambas são silenciosas. Modelo que funcionava em janeiro pode estar tomando decisão ruim em julho sem ninguém perceber. A diferença entre empresa que detecta deriva em dias e empresa que detecta em meses é o sistema de monitoramento que ela colocou no lugar.

O nono é supervisão humana. Determine quando e como a intervenção humana é necessária. Decisão crítica ou de alto risco não pode ser automatizada sem revisão. O EU AI Act é explícito sobre isso. Na prática, o operador humano precisa entender as limitações do modelo, ter capacidade real de rejeitar ou reverter a decisão automatizada, e não ser pressionado por métrica de velocidade a aprovar sem questionar. O último item é o mais difícil e o mais importante.

O décimo é educação e cultura. Treine os times em IA responsável. Não basta ter política no SharePoint que ninguém leu. As pessoas precisam entender o que estão fazendo e por que isso importa. A Pacific AI constatou que apenas 41% das empresas oferecem treinamento anual em IA para colaboradores. Em empresas pequenas, cai para 28%. Enquanto isso, 70% dos profissionais classificam IA como crítica ou muito importante para os objetivos do negócio. Temos força de trabalho que considera IA essencial, mas que não é treinada para usá-la com responsabilidade. Isso não é gap de treinamento. É risco operacional em escala.

O custo de não fazer nada

Vou ser direto sobre o trade-off. Implementar governança de IA custa tempo, dinheiro e energia política dentro da organização. Não fazer nada também custa. A diferença é que o segundo custa mais caro, e você só descobre o valor depois.

Os dados da IBM são claros: 63% das organizações que sofreram violação envolvendo IA não tinham política formal de governança. A ausência de governança não é estado neutro. É fator de risco ativo.

O AuditBoard revelou que só 25% das organizações implementaram programa de governança de IA completo. A maioria tem política, mas não consegue executar. Esse fosso entre intenção e execução é onde os incidentes acontecem.

E não é só sobre evitar multa ou data breach. É sobre vantagem competitiva. O Gartner mostrou que 45% das organizações com alta maturidade de governança mantêm projetos de IA em operação por três anos ou mais, contra apenas 20% das de baixa maturidade. Projeto com governança dura mais. Entrega mais. Escala melhor. Governança não é custo. É investimento com ROI mensurável.

Um caso que ensina pelo exemplo contrário

Vou descrever um caso real, anonimizado, que ilustra bem o ponto. Empresa brasileira de médio porte, setor de serviços financeiros, implementou chatbot de IA para atendimento ao cliente. Sem governança. Sem avaliação de risco. Sem supervisão humana.

Em três meses, o chatbot aprovou operações de crédito para clientes que não atendiam os critérios mínimos, porque aprendeu um padrão estatístico errado nos dados de treinamento. Vazou informações sensíveis de um cliente para outro em resposta automática mal construída. E gerou mais de 200 reclamações no Procon em um único trimestre.

A empresa não era pequena. Tinha departamento jurídico, compliance e TI bem estabelecidos. O que não tinha era governança de IA. Ninguém era dono do modelo. Ninguém monitorava as saídas. Ninguém sabia quem desligar quando desse problema. A multa combinada, somando Procon, LGPD e danos à reputação, passou de R$ 2 milhões. O projeto de IA foi descontinuado. A diretoria, que antes adorava a "inovação", agora não quer ouvir falar de IA.

Não é exceção. É o que acontece quando a pressa para inovar atropela o bom senso.

Por onde começar sem enlouquecer

Se você chegou até aqui convencido, a pergunta natural é por onde começar. A resposta é mais simples do que parece.

Comece por um inventário. Liste todos os sistemas de IA em produção na empresa. Não só os que o time de TI desenvolveu, mas os que foram comprados prontos, embarcados em ERP, CRM, plataforma de atendimento. Você provavelmente tem mais IA do que imagina.

Depois, classifique por risco. Quais desses sistemas tomam decisão que afeta pessoas? Contratação, crédito, saúde, pricing? Esses são prioridade. Se um modelo de IA está tomando decisão sobre seus clientes ou funcionários, precisa de governança ontem.

Em seguida, nomeie um responsável. Pode ser comitê, pode ser Chief AI Officer, pode ser o DPO acumulando função. Mas precisa ser alguém com poder real de parar um projeto se ele não estiver em conformidade.

Estabeleça o mínimo viável de governança. Não precisa de framework de 200 páginas no primeiro mês. Comece com política de uso aceitável (duas páginas), checklist de risco pré-deploy (uma página) e processo de registro e versionamento de modelo (meia página). O resto vem com o tempo.

Monitore e itere. Governança não é projeto com data de entrega. É processo contínuo. Revisa, ajusta, melhora.

E treine o time. Todo mundo que usa IA na empresa precisa entender o básico: o que o modelo pode e não pode fazer, como identificar alucinação, quando escalar para humano. Isso não é opcional.

O otimismo que merece um parágrafo

Não quero que este artigo soe como manifesto apocalíptico, porque não é. Inteligência artificial é, de longe, a tecnologia mais transformadora que vi em vinte anos de mercado. Ela está automatizando tarefa repetitiva, gerando insight que humano sozinho não extrairia, e viabilizando produto e serviço que eram impossíveis há dois anos. Mas ferramenta poderosa exige responsabilidade proporcional.

O problema não é a IA. O problema é tratá-la como oráculo em vez de tratá-la como ferramenta. Oráculo a gente consulta e aceita. Ferramenta a gente valida, mantém, calibra e, quando necessário, desliga. A diferença entre empresa que vai colher fruto da IA e empresa que vai colher processo é uma palavra: governança.

Não é o tema mais sexy do mundo. Ninguém vai abrir palestra empolgada falando "vamos falar de governança de IA". Mas as empresas que fizeram o dever de casa vão dormir tranquilas enquanto as outras apagam incêndio. A pergunta que fica é: qual delas é a sua?

Considerações finais

Governança de IA não é pauta para daqui a dois anos. É pauta para este trimestre, na maioria das empresas brasileiras. O custo de não fazer não é hipotético: incidentes estão acontecendo, multas estão sendo aplicadas, processos estão sendo iniciados, crises reputacionais estão brotando. Empresa que está de olho só na adoção da ferramenta, e não na governança, está acumulando passivo que vai vencer antes do orçamento anual prever.

Mas é pauta que não combina com extremos. CIO que vira polícia interna aliena o negócio e empurra o uso para o subterrâneo. CIO que deixa tudo solto vira passivo jurídico ambulante. O caminho é framework sério, implementado com método, equilibrando controle e habilitação.

Na Direção e Sentido, eu trabalho com diretorias, CIOs e CDOs na estruturação de governança de IA: desde o diagnóstico inicial até a montagem do comitê, política, ambiente corporativo e processo de avaliação de caso de uso. O formato que mais funciona é workshop inicial de um dia com o time executivo, seguido de acompanhamento estruturado nos três a seis meses seguintes. O custo desse engajamento é pequeno comparado ao primeiro incidente grave que a empresa vai prevenir.

Se a sua empresa ainda depende de "ninguém está fazendo besteira" como estratégia de governança de IA, vale reconsiderar antes que a besteira aconteça. Quando ela acontece, a conta é muito maior. E a explicação para o board, sobre por que a empresa não estava preparada, é conversa que nenhum executivo quer ter.

Sobre o autor: Arnaldo Auad é consultor em gestão, liderança e Business Intelligence na Direção e Sentido. Trabalha com diretorias, CIOs e CDOs na estruturação de governança de IA, política de uso, implantação de plataforma corporativa e gestão de risco em empresas de médio e grande porte.