A IA errou. A sala ficou em silêncio.
Quando a IA der errado — e vai —, a pergunta será uma só: quem aprovou isso funcionando sozinho? Silêncio é a pior resposta. A peça que falta na sua governança não é tecnologia. É um nome ao lado de cada sistema.
/context
A mensagem chega às 8h41 de uma sexta-feira, no grupo da diretoria: um cliente recebeu do chatbot do site a promessa de um desconto que não existe. Print anexado. O jurídico pergunta se a empresa é obrigada a honrar. O comercial pergunta quem configurou o robô. A TI responde que a ferramenta veio do fornecedor do CRM. O fornecedor diz que a configuração é da casa.
Vinte e três minutos de mensagens cruzadas, e a pergunta que importa ainda não tem resposta: quem aprovou aquilo funcionando sozinho na frente do cliente?
Você conhece essa cena — não com IA, com dinheiro. E sabe como ela termina quando não há resposta: termina com você. Porque foi exatamente para essa cena que as finanças inventaram, décadas atrás, a alçada. Nenhum pagamento sai sem aprovador. Nenhum contrato fecha sem assinatura. Não porque ninguém confia em ninguém — mas porque, quando der errado, a empresa precisa saber em quem perguntar primeiro.
Na edição passada, você fez o inventário: descobriu quantas IAs operam na sua empresa e quais decidem sobre gente e dinheiro. Se você rodou o exercício, tem agora uma tabela com uma coluna constrangedora — a do risco ALTO — e uma ausência gritante: nenhuma dessas linhas tem um nome ao lado.
Esta edição existe para preencher essa coluna.
/nofilter
Governança sem dono é uma lista de boas intenções. O inventário enxerga, a política regula — mas quando o incidente chegar, papel não responde pergunta de conselho. Pessoa responde. A peça três do mínimo viável é a mais barata de implementar e a mais cara de ignorar: um nome ao lado de cada sistema de risco relevante.
Não precisa ser um Chief AI Officer
A reação reflexa das empresas é criar cargo novo ou comitê novo. Quase sempre é a resposta errada nesta fase. Comitê difuso é o lugar onde a responsabilidade vai para diluir-se: quando todos respondem, ninguém responde. E o cargo novo, sem mandato e sem orçamento, vira o que o RH chama de título e o conselho chama de álibi.
Você já tem a tecnologia para isso, e ela tem trinta anos de estrada: alçada e segregação de funções. Dono de IA é o mesmo desenho do aprovador de pagamento: uma pessoa, com nome, que sabe que responde — e que por isso olha. Para cada sistema do seu inventário, três perguntas resolvem 80% do desenho:
- O que este sistema pode fazer sozinho? (a alçada da máquina)
- O que exige aprovação humana antes de produzir efeito? (o portão)
- Quando o dono escala — e para quem? (o caminho do incidente)
Dono de quê, exatamente? O mapa do MIT
Aqui entra a pergunta que trava a maioria dos desenhos: responsável por qual risco? "Risco de IA" é uma caixa preta — e ninguém aceita ser dono de uma caixa preta. O MIT resolveu isso catalogando, no seu AI Risk Repository, mais de 1.600 riscos de IA extraídos de mais de 60 frameworks, organizados numa taxonomia de sete domínios: discriminação e toxicidade; privacidade e segurança; desinformação; uso malicioso; interação humano-máquina (a dependência excessiva da equipe na máquina); danos socioeconômicos; e falhas do próprio sistema. Sete domínios — sete conversas diferentes, com donos naturais diferentes. Privacidade e ataques são conversa de segurança da informação. Discriminação na triagem de currículo é conversa de RH e compliance. Erro de precificação é conversa sua.

Mas o que muda o desenho da sua alçada são três números dessa base:
65% dos riscos catalogados só se materializam depois que o sistema entra em operação — contra apenas 10% na fase anterior à implantação. Pare e compare com a alçada que você conhece: a aprovação tradicional acontece antes — o contrato, a compra, o projeto. Aprovou, acabou. Na IA é o inverso: o grosso do risco nasce depois do go-live, na operação. A consequência é direta: o dono de IA não é quem aprovou a entrada. É quem responde pela operação contínua. A alçada de IA começa onde a alçada tradicional termina.
51% dos riscos são atribuídos à IA — e não a humanos. Parece um detalhe estatístico, mas é uma armadilha de governança: quando metade dos riscos "é culpa do software", a tentação é tratar incidente como defeito técnico, não como falha de responsabilidade. O próprio MIT desmonta o álibi: seja qual for a causa, a mitigação sempre exige que um humano faça algo diferente — no desenho, na governança ou no uso. A máquina não pode ser responsabilizada. É exatamente por isso que o dono existe.
E a combinação mais comum de toda a base — 18% dos riscos catalogados — é o dano causado pela IA, sem intenção de ninguém, já em operação. O risco típico de IA não é o vilão de filme. É o acidente em produção: o chatbot que promete o desconto, o triador que aprende um viés, o modelo que degrada em silêncio. E acidente sem dono tem um comportamento conhecido em qualquer empresa: sobe, sobe, até parar no colo do cargo mais alto que algum dia tocou no assunto. Se você leu as duas últimas edições, esse cargo provavelmente é o seu.
O desenho mínimo
Junte as peças e o desenho cabe numa página: cada sistema de risco alto do inventário ganha um dono nomeado (quem responde pela operação), uma alçada (o que a máquina faz sozinha, o que espera aprovação) e um gatilho de escalada (o que acontece, e em quanto tempo, quando algo foge do padrão). Sistemas de risco baixo ganham um dono de área, coletivo, e pronto — proporcionalidade é o que separa governança de burocracia. O conselho não precisa de um tratado: precisa de uma matriz de uma página que responda, para cada linha vermelha do inventário, a pergunta da sala em silêncio.
/howto
O exercício de hoje constrói essa matriz — em vinte minutos, sobre o que você já tem.
Passo 1. Recupere o inventário da edição passada. Se você rodou o exercício da #018, é a tabela com Área, Ferramenta, Uso, Dado e Risco. Se não rodou, volte lá primeiro — quinze minutos — ou liste de memória os cinco usos de IA mais sensíveis da sua empresa.
Passo 2. Peça à IA o rascunho da matriz de donos. Cole o inventário no Claude com o prompt abaixo.

Passo 3. Transforme rascunho em nomeação. Aqui a IA para e você começa. O rascunho sugere cargos; nomear é com você — e nomear é uma conversa, não um e-mail. Chame cada dono sugerido, mostre a linha dele na matriz e faça a pergunta honesta: "você topa responder por isso?". Quem topa, assina. Quem hesita, está te dando informação valiosa sobre onde o desenho está frágil. Uma nomeação aceita de verdade vale mais que dez impostas — porque dono que não sabe que é dono não olha, e dono que não olha é a sala em silêncio de novo, só que agora com um organograma de álibi.
Repare no que esse rascunho não resolve: ele não pondera a materialidade de cada sistema, não desenha o fluxo de aprovação formal, não escreve o mandato de cada dono nem mede se a estrutura que você montou se sustenta diante de um incidente real. Essa é a distância entre a matriz de uma tarde e um programa de governança — e é medível. O AI Governance Grade da strateg.ia, gratuito, devolve em dez minutos a sua nota de maturidade nos cinco pilares, com os gaps priorizados — incluindo exatamente este, o da responsabilidade nomeada.
/update
Duas notícias da semana — e as duas falam, por caminhos opostos, da mesma coisa: dono.
A primeira é o que não aconteceu. O relatório do PL 2338, o Marco Legal da IA, prometido para o dia 9, não saiu. Hugo Motta, presidente da Câmara, descartou a votação nesta semana: o texto "ainda está em elaboração" e o avanço agora depende de alinhamento prévio com o Senado — somado ao trancamento da pauta, o marco escorregou sem nova data. A leitura tentadora é alívio: mais tempo. A leitura correta é a oposta. O adiamento não suspendeu nenhum risco — a IA continua operando na sua empresa hoje, a ANPD continua fiscalizando pela LGPD que já existe, e o que se prolongou foi apenas a incerteza sobre as regras. Quem estava esperando a lei para nomear donos ficou sem a lei e sem os donos. O risco, esse, não adiou nada.
A segunda é o que aconteceu no mesmo dia, do lado de quem regula. A Anatel aprovou a sua Política de Governança de IA — diretrizes para uso ético, seguro e transparente de IA dentro da própria agência. Repare no movimento: enquanto o Congresso adia as regras para o mercado, o regulador não esperou a lei para organizar a própria casa — política interna, estrutura, responsáveis. É o mesmo desenho desta edição, feito por quem um dia vai bater na sua porta. Quando o fiscal já tem a governança que você adiou, a conversa começa desequilibrada.
/briefing
A infraestrutura do dono está sendo construída.
A Microsoft publicou a Agent Control Specification: uma camada de governança de tempo de execução para agentes de IA — checagens de política a cada ação, aprovações humanas no meio do fluxo e controles auditáveis, sem trocar a plataforma que executa o agente. Em português de CFO: a tubulação técnica para alçada e trilha de auditoria de máquinas que agem sozinhas.
E a régua de segurança idem.
O OWASP — a referência global aberta em segurança de software — publicou a versão 2.01 do seu State of Agentic AI Security and Governance: o panorama de frameworks, modelos de governança e padrões regulatórios para sistemas autônomos, com as ameaças específicas de agentes e as mitigações esperadas.
Por que importa: os dois documentos são a indústria construindo, em código e em norma, exatamente a peça desta edição — aprovação, permissão, escalada, trilha. Mas há um detalhe que nenhuma especificação resolve: a tubulação de aprovações precisa de alguém do outro lado para aprovar. Quem não nomeou os donos não tem o que plugar nela. A infraestrutura chega rápido; a decisão de quem responde continua sendo sua, e analógica.
/thinkdeeper
Há uma assimetria que define este momento, e ela está nos números do MIT: metade dos riscos de IA é atribuída à máquina, mas cem por cento da mitigação é humana. A IA pode causar o dano; não pode responder por ele. Não assina termo de responsabilidade, não senta na frente do conselho, não perde o emprego, não dorme mal. Tudo que uma empresa tem para opor ao risco — julgamento, alçada, consequência — mora em pessoas. Governança de IA, no fundo, é o nome que se dá ao trabalho de reconectar uma tecnologia que age sozinha a alguém que não pode se dar ao luxo de dizer "não fui eu".
Por isso a nomeação do dono é menos um ato administrativo e mais um ato de desenho organizacional. O dono não precisa entender de modelo de linguagem — precisa entender do processo que a máquina toca, e precisa saber que responde. É o mesmo princípio que faz o aprovador de pagamento olhar o boleto antes de clicar: não é a competência técnica que protege a empresa, é a consequência bem distribuída. Responsabilidade difusa produz atenção difusa. Nome na linha produz olho na linha.
E há o detalhe do tempo, que os 65% do MIT escancaram: o risco de IA vive na operação, não na aprovação. Isso significa que o dono de IA é um cargo de vigília, não de carimbo — e que a governança que você está montando nesta série não termina quando a matriz fica pronta. Termina nunca. O inventário enxergou, a política regulou, o dono assumiu. Falta a última peça: os olhos abertos — o monitoramento que percebe o desvio antes do print no grupo da diretoria. É para onde esta série vai.
Até lá, uma pergunta para levar para o fim de semana: se o incidente da cena de abertura acontecesse na sua empresa na segunda-feira, você saberia em quem perguntar primeiro? Se a resposta é não, a boa notícia é que isso se resolve com uma tabela, três perguntas e algumas conversas honestas. A má notícia é que ninguém vai fazer por você. Nem a IA — principalmente a IA.
Comece pela medição. O AI Governance Grade da strateg.ia é gratuito: em dez minutos, sem jargão, você recebe a sua nota de maturidade em governança de IA — de C a AAA, nos cinco pilares — com o relatório dos seus gaps priorizados e os templates completos para fechar cada um, incluindo a matriz de responsabilidade.
AI Governance Grade - by strateg.ia
E se quer ajuda para desenhar a estrutura — nomear donos, definir alçadas, preparar o conselho —, responda este email com "governança" no assunto. Atuamos na strateg.ia em consultoria de governança e arquitetura de IA aplicada a finanças e pessoas.
— Alexandre Scotti, scotti@strategia-serv.com
