A IA entrou na sua empresa pela porta dos fundos
Marketing, RH, financeiro — todos já usam IA, um login grátis de cada vez. Ninguém aprovou, ninguém monitora, ninguém responde. Como montar as duas primeiras peças da sua governança de IA numa tarde, com a própria IA.
/context
A reunião de conselho está terminando. Pauta vencida, ata encaminhada, todo mundo já fechando a pasta. Aí a presidente do comitê de auditoria faz uma pergunta que não estava na agenda, do jeito que as perguntas que importam costumam vir: solta, casual, no fim.
"Quantas ferramentas de inteligência artificial a nossa empresa usa hoje?"
Silêncio. Você começa a responder e percebe, no meio da primeira frase, que não sabe. Não é um número que você tenha. O marketing usa alguma coisa para gerar campanha. O RH testou um filtro de currículos. Alguém no financeiro está resumindo contrato com IA — você viu na tela dele semana passada. A controladoria, você nem sabe. Cada um entrou por conta própria, um login grátis de cada vez.
A segunda pergunta vem antes de você se recuperar da primeira: "E quem aprovou cada uma? Se uma delas errar — recomendar o candidato errado, vazar o dado de um cliente, precificar errado —, quem responde?"
Você não tem essa resposta também.
Aqui está o desconforto de verdade: você é a pessoa que construiu controle para tudo nesta empresa. Alçada para cada real que sai. Segregação de funções. Trilha de auditoria. Três linhas de defesa. Nada entra sem dono. Mas a tecnologia que hoje escreve o seu relatório, tria os seus candidatos e ajuda a precificar os seus produtos entrou sem passar por nenhum desses controles. Não veio pela porta da frente, do procurement. Veio por cinquenta portas dos fundos, uma por laptop.
Isso tem nome. Chama-se Shadow AI. E é só o primeiro dos buracos.
/nofilter
Governança de IA é o conjunto de regras, donos e controles que garante que cada IA usada na sua empresa seja conhecida, classificada por risco e supervisionada por alguém. Dito assim, parece a governança que você já faz. Não é — e a diferença é o que torna isso difícil.
Por que não é a sua governança de sempre
A governança corporativa que você domina olha para trás. Um lançamento aconteceu, você concilia. Um processo rodou, você audita a trilha. É linear e determinística: a mesma entrada gera a mesma saída, e o controle confere se a saída bate. A IA quebra essa lógica. Ela é não-determinística — a mesma pergunta pode gerar respostas diferentes — e aprende, muda de comportamento sem ninguém reprogramar. Você não está auditando um processo estático. Está supervisionando algo que se move. Por isso a governança de IA é adaptativa: não é um carimbo no fim, é monitoramento contínuo, com a capacidade de perceber o desvio antes que ele vire prejuízo.
Por que isso é seu, não da TI
Você pode estar pensando que isso é problema da TI. Não é — pela mesma razão que controle interno não é problema do contas a pagar. A TI instala a ferramenta. Quem responde pelo risco de uma decisão automatizada errada, perante o conselho, o regulador e a lei, é a liderança. No Brasil isso está deixando de ser opinião: o PL 2338, o marco legal da IA em tramitação, é baseado em risco — exige avaliação de impacto para sistemas de alto risco e responsabiliza quem opera, não quem fabrica. O IBGC já orienta os conselhos a cobrarem essa prestação de contas da gestão. Traduzindo: a conta chega no seu colo, com ou sem política.
O mínimo viável: cinco peças
Começar não exige um comitê de seis meses nem orçamento de consultoria. Exige cinco peças, nesta ordem:
- Inventário. Você não governa o que não enxerga. A lista de toda IA em uso, inclusive a Shadow AI que entrou sem passar por ninguém.
- Classificação de risco. Gerar imagem de campanha é risco baixo. Triar currículo ou precificar cliente é risco alto — mexe com gente e com dinheiro, e é exatamente o que o PL 2338 quer ver avaliado.
- Dono nomeado. Cada IA de risco relevante com um nome ao lado. Não um comitê difuso: uma pessoa que responde.
- Política de uso. Uma página: o que pode, o que não pode, o que nunca. Qual dado entra num modelo, qual jamais.
- Monitoramento e trilha. O registro do que a máquina decidiu, para você responder quando perguntarem.
O portão, agora institucionalizado
Na edição passada, o argumento era que a IA assume a forma e devolve para você a substância — o julgamento, o portão entre o número bonito e o número certo. Governança de IA é esse mesmo portão, só que institucionalizado. Deixa de ser o seu olho individual antes do slide e vira um controle da empresa: quem olha, quando, com base em quê. O human-in-the-loop — o humano que mantém o poder de vetar a máquina — é a regra que o PL 2338 e o IBGC repetem, cada um com suas palavras.
E há uma ironia produtiva: a mesma IA que criou o problema é a ferramenta mais rápida para começar a resolvê-lo. Não para decidir no seu lugar — isso seria cair no que os especialistas chamam de Paradoxo da Inteligência Delegada, terceirizar para a máquina justamente o julgamento que é seu dever. Mas para enxergar, organizar e classificar o que hoje está invisível, a IA é a melhor assistente de governança que você tem. O resto desta edição mostra como.
/howto
O exercício desta edição não constrói a governança inteira. Constrói o começo dela — as duas primeiras peças, inventário e política — usando a própria IA para enxergar e organizar o que hoje está no escuro. Em uma tarde, sem comitê.
Parte 1 — o inventário: ver o que você não vê
Passo 1. Levante a lista crua. Antes da IA, um trabalho de campo de trinta minutos: pergunte a cada área três coisas. Que ferramenta de IA você usa? Para quê? Que dado entra nela? Não busque precisão de auditoria — busque honestidade. Deixe claro que ninguém será punido por admitir uma ferramenta não aprovada; o objetivo é enxergar, não caçar. O que volta é uma lista bagunçada: "marketing usa Midjourney para banner", "RH testou um triador de currículo", "financeiro resume contrato no ChatGPT". É matéria-prima suficiente.
Passo 2. Deixe a IA estruturar e classificar. Cole a lista crua no Claude com o prompt abaixo.

O que volta te dá o mapa básico — o que existe, o que é Shadow AI, o que olhar primeiro. É o suficiente para sair do zero, e sair do zero já te coloca à frente da maioria. Mas repare no que esse rascunho não tem: classificação em quatro níveis do EU AI Act, base legal sob a LGPD, avaliação de impacto, supervisão humana e trilha de monitoramento por sistema. Essa é a diferença entre ver o problema e ter o instrumento. A versão completa, mapeada a ISO 42001, EU AI Act, NIST e LGPD, é o template de Inventário de Sistemas de IA da strateg.ia — você o recebe junto com o AI Governance Grade.

Parte 2 — a política: a primeira regra escrita
Passo 3. Transforme o inventário num rascunho de política. Com o mapa na mão, peça à IA um esqueleto de política — curto, para a conversa interna começar.

Em dois minutos você tem o esqueleto que destrava a conversa — e que a maioria das empresas nunca escreveu. Mas uma política que se sustenta diante de um auditor ou de um incidente real precisa do que esse esqueleto não tem: princípios mapeados a ISO 42001 e aos princípios da OCDE, uso permitido e proibido por área, fluxo de aprovação de ferramentas, classificação de dados em quatro níveis, matriz de responsabilidade por papel, tratamento de incidentes e termo de aceite assinável. É o template de Política de Uso Aceitável da strateg.ia — também incluído no Grade.

O que você tem agora
Você fez, numa tarde, as duas primeiras peças da sua governança de IA: viu o que tinha e escreveu a primeira regra. Sozinho, com a própria IA. Isso é mais do que a maioria das empresas brasileiras tem hoje. As outras três peças — dono nomeado, monitoramento contínuo e a medição de onde você realmente está — é onde o amador vira profissional.
/update
Enquanto você lê isto, a governança de IA está deixando de ser boa prática e virando lei — mais perto do que parece.
O PL 2338, o Marco Legal da IA, entra na reta final. O relatório do deputado Aguinaldo Ribeiro está previsto para 9 de junho, e a votação na Câmara deve sair ainda este ano. O texto copia a lógica do EU AI Act: classifica os sistemas por risco — excessivo (proibido), alto, baixo —, exige avaliação de impacto e supervisão humana para os de alto risco, e cria o SIA, um sistema de fiscalização coordenado pela ANPD com os reguladores setoriais. As multas chegam a R$ 50 milhões ou 2% do faturamento por infração. A vacância prevista é de 12 a 24 meses, o que joga a vigência para 2028 ou 2029 — e é essa folga que engana. Os sistemas de alto risco que a lei vai cobrar são os que a sua empresa já usa hoje: triagem de currículo, precificação, análise de crédito a cliente. Quem só começa o inventário quando a lei entrar em vigor terá dois anos de uso não governado para reconstruir de memória.
E não dá para esperar a lei. A ANPD já colocou IA na sua Agenda Regulatória 2025-2026, abriu um sandbox sobre o tema e começou a agir em casos concretos — numa investigação sobre IA generativa, firmou que conteúdo sintético pode ser dado pessoal sob a LGPD. Traduzindo: a LGPD que você cumpre desde 2020 já alcança o uso de IA, antes mesmo do marco. A fiscalização não começa em 2028. Já começou.
/briefing
A governança de IA virou fator de rating. Em 1º de junho, a S&P Global publicou um alerta que muda o endereço do problema: governança de IA fraca passa a ameaçar o rating de crédito da empresa. Deixa de ser tema de TI ou de compliance e entra na conta de quem precifica a sua dívida. A lógica é direta — quem escala IA sem controle acumula risco operacional, reputacional e regulatório não gerenciado, e é exatamente isso que uma agência de rating desconta.
E quase ninguém está pronto. Na mesma semana, o relatório Data & AI Trust Gap da Veeam, apresentado em Londres, trouxe o número que dimensiona tudo: só 7% das organizações estão de fato prontas para IA. Todo o resto está usando antes de governar.
Por que importa: junte os dois e a mensagem para o CFO é direta. De um lado, a governança de IA entrou na pauta de rating e de valuation — o seu custo de capital agora tem uma linha de IA. De outro, 93% das empresas ainda não estão prontas. O atraso deixou de ser risco operacional abstrato e virou risco financeiro mensurável. Fazer as duas primeiras peças que esta edição mostrou não te coloca na frente da regulação. Te coloca na frente dos outros 93%.
/thinkdeeper
Tem uma pergunta que vai voltar — no conselho, na auditoria, num incidente — e é sempre a mesma: quem respondia por isso?
Por trinta anos, a resposta foi clara para tudo que envolvia dinheiro. Cada lançamento tinha um aprovador. Cada decisão, uma alçada. Cada erro, um nome. Foi assim que as finanças viraram a função mais governada da empresa — não por burocracia, mas porque o custo de não ter dono já tinha sido pago, uma vez, da forma mais cara. A IA está repetindo essa história, em velocidade maior e ainda sem dono. Ela decide sobre gente e sobre dinheiro todos os dias, em ferramentas que entraram sem passar por ninguém. E quando algo der errado — e vai —, a pergunta "quem respondia por isso?" não terá resposta. A menos que alguém a tenha construído antes.
Esse alguém é você, pela mesma razão de sempre. Não porque você entende de modelo de linguagem — você não precisa entender. Mas porque governança nunca foi sobre dominar a tecnologia. Foi sobre garantir que toda decisão de impacto tenha um responsável, um critério e um registro. Isso você faz há trinta anos. A IA só acrescentou um novo tipo de decisão à lista.
Há uma armadilha final, e é a mais sedutora. A IA é tão boa em organizar, classificar e redigir que dá vontade de entregar a ela a própria governança — deixar a máquina decidir o que é risco alto, o que é aceitável, o que vai ao conselho. É o Paradoxo da Inteligência Delegada: terceirizar para a ferramenta justamente o julgamento que justifica o seu cargo. Use a IA para enxergar — ela é insuperável nisso. Mas a decisão sobre o que a empresa aceita correr continua humana, assinada, sua. Governar a IA é, no fim, recusar-se a ser governado por ela.
A norma vai chegar. O auditor vai perguntar. O conselho vai cobrar. A diferença entre a empresa que responde com um mapa e a que responde com silêncio não é orçamento nem tecnologia. É ter feito a primeira pergunta — quantas IAs usamos, e quem responde por elas — antes que alguém de fora a faça por você.
Comece pela medição. O AI Governance Grade da strateg.ia é gratuito: em dez minutos, sem jargão, você recebe o seu grade de maturidade em governança de IA — de C a AAA, nos cinco pilares — com o relatório dos seus gaps e os templates completos de inventário e política para fechar cada um. É o que transforma o rascunho de uma tarde num programa de verdade.
E se quer ajuda para ir além da nota — desenhar a governança, nomear donos, preparar o conselho —, responda este email com "governança" no assunto. Atendo quem quer usar IA para fazer melhor o que já é a função do cargo, não para terceirizá-la.
Atuamos na strateg.ia em consultoria de governança e arquitetura de IA aplicada a finanças e pessoas
