edicao-015

Qual IA usar — e por que essa não é a primeira pergunta

Qual IA vamos usar é a quarta pergunta, não a primeira. As três que vêm antes — arquitetura, governança, compliance — e por que ignorar essas três é o erro que está sendo cometido em comitê executivo de empresa brasileira todas as semanas.

Photo by Simone Secci / Unsplash

/context

22h47, escritório de casa. Você está parado em frente ao notebook, três abas abertas: pitch da Anthropic, pitch da Google, pitch de um vendor brasileiro que conseguiu agendar 15 minutos da sua agenda na terça-feira passada.

O email do CEO chegou de manhã. Frase curta, direta: "precisamos posicionar a empresa sobre adoção de IA antes da próxima reunião do conselho. Pode me trazer uma recomendação na sexta?".

Você passou o dia entre reunião do comitê executivo e uma videoconferência com o auditor externo. Jantou em pé, na cozinha, lendo o email do CEO de novo. Voltou para o escritório, abriu as três abas, e está nelas há 40 minutos.

Você sabe — sem saber direito por que mas sabe — que está fazendo a pergunta errada. Não a pergunta do CEO, que é razoável. A sua própria pergunta. "Qual desses três vendors vou recomendar?". Você sente que essa não é a primeira pergunta. Mas ainda não conseguiu nomear quais perguntas vêm antes.

Esta edição é sobre isso. As três perguntas que vêm antes de "qual IA vamos usar?" — e por que ignorar essas três, e ir direto para a quarta, é o erro que está sendo cometido em comitê executivo de empresa brasileira mid-large todas as semanas.

/nofilter

"Qual IA vamos usar?" não é a primeira pergunta. É a quarta. As três que vêm antes — e que ninguém te ensinou a fazer na ordem certa:

Qual arquitetura de exposição de risco eu aceito?
Quem dentro da minha empresa responde quando der errado?
Qual o meu mapa de compliance regulatório?

Só depois das três é que a pergunta de vendor faz sentido — e, quando faz, ela tem resposta quase automática. O problema é que CFO, gerente sênior de FP&A, controller sênior e conselheiro estão sendo convidados a responder a quarta antes de ter respondido as três primeiras. Vamos uma por uma.

Pergunta 1 — Qual arquitetura de exposição você aceita?

O mercado, em maio de 2026, te oferece três arquiteturas distintas. Cada uma tem trade-offs diferentes. Nenhuma é universalmente melhor que as outras. A escolha depende do perfil da sua empresa — e essa escolha precede a escolha do vendor.

Arquitetura 1: o vendor processa, mas a execução fica em casa. A inteligência artificial (a parte que "pensa", planeja, decide) roda na infraestrutura do vendor. Mas quando a IA precisa executar uma ação — ler um arquivo, fazer uma consulta ao ERP, gravar um lançamento, acessar o banco — essa ação acontece dentro do perímetro de rede da sua empresa. As credenciais dos seus sistemas nunca saem da sua infraestrutura.

Analogia executiva: é como contratar um analista terceirizado que trabalha dentro do seu escritório, usando seus computadores e seus acessos sob sua supervisão. O analista pensa por você, mas as chaves do cofre nunca saem da empresa. Esse modelo é o que a Anthropic anunciou em 19/05 com self-hosted sandboxes e MCP tunnels (discutido na edição #014).

Arquitetura 2: o vendor faz tudo. Você assina contrato, configura por API, e o vendor gerencia infraestrutura, execução das ações, segurança dos dados durante o processo. Tudo roda na infraestrutura do vendor.

Analogia executiva: é como contratar um BPO de finanças que opera 100% nas instalações dele. Você manda os dados; ele processa; te entrega o resultado. Rápido, eficiente, e você está confiando plenamente no parceiro durante todo o ciclo. Esse modelo é o que a Google anunciou em 20/05, no Google I/O, com o Managed Agents API.

Arquitetura 3: você usa a IA que veio dentro do seu ERP. Se sua empresa roda SAP, você usa Joule (a IA SAP). Se Oracle, Oracle AI Agent Studio. Se TOTVS, a oferta TOTVS. A IA fica integrada ao ERP que você já usa, dentro do mesmo contrato, do mesmo cronograma de release e da mesma política comercial.

Analogia executiva: é como o módulo de RH que vem dentro do SAP — você não escolheu SAP por causa do RH; escolheu SAP, e o RH veio junto. A IA aqui é a mesma lógica: vem embutida no ERP, integrada, com o mesmo dono que o seu ERP.

Detalhe que poucos CFOs sabem: em maio de 2026, no evento Sapphire, a SAP anunciou parceria oficial com a Anthropic. Joule, a IA nativa da SAP, passa a usar Claude (Anthropic) por baixo do capô. Isso significa que, para o CFO cliente SAP, a escolha entre "usar Claude" e "usar Joule" não é uma escolha entre duas IAs diferentes — é uma escolha entre usar Claude direto (Arquitetura 1, com sua infraestrutura) ou usar Claude mediado pela SAP (Arquitetura 3, com cronograma e política SAP). A IA é a mesma. A ponte contratual, o roadmap de features e a opcionalidade de troca futura é que são diferentes.

Pergunta 2 — Quem assina embaixo quando der errado?

Imagine o cenário concreto: o agente de IA executou uma decisão financeira que estourou um covenant bancário. Ou gerou autuação fiscal por interpretação errada de regulamento tributário. Ou tomou ação de crédito que precisava de aprovação humana e ninguém viu o erro antes da escalada.

A pergunta inevitável depois disso: quem responde?

O CFO? O CIO? O CEO? A IA — que é só ferramenta — não responde. Alguém da sua empresa vai responder. Provavelmente em três frentes: perante o conselho, perante a auditoria externa, e perante o regulador setorial se for o caso.

Antes de escolher arquitetura ou vendor, sua empresa precisa ter dono nomeado dessa exposição. E precisa ter política de uso documentada que diga, para cada classe de decisão que a IA pode tomar:

Quais decisões a IA pode tomar autonomamente
Quais exigem autorização humana antes da execução
Quais exigem dupla aprovação
Quais nunca podem ser tomadas pela IA, sob nenhuma circunstância

Sem essa estrutura — e a esmagadora maioria das empresas brasileiras mid-large hoje não tem — a Pergunta 1 (arquitetura) e a Pergunta 4 (vendor) ficam soltas. Porque sem dono nomeado, qualquer arquitetura é igualmente perigosa, e qualquer vendor é igualmente arriscado.

Pergunta 3 — Qual o seu mapa de compliance regulatório?

O regulador brasileiro está construindo o framework de IA em quatro camadas. Cada uma toca a sua empresa de forma diferente:

Camada horizontal — LGPD (ANPD). Vigente desde 2020, com fiscalização ativa em 2026. Qualquer uso de IA que processe dado pessoal está coberto. Independe do setor.

Camada setorial financeira — BACEN e CVM. Se sua empresa é financeira, instituição de pagamento, ou companhia listada, regulação específica sobre uso de IA em modelagem de crédito, risco operacional e disclosure já está sendo construída. Expectativa: ofícios circulares específicos até 2027.

Camada setorial específica — Anvisa, ANEEL, ANS e outras. Conforme indústria: Anvisa para alimentos, farmacêutico e dispositivos médicos; ANEEL para geração e distribuição de energia; ANS para saúde suplementar. Cada agência terá seu próprio framework de IA aplicado ao setor regulado.

Camada emergente nacional — PL 2.338/23 e SIA (Sistema Nacional de Governança de IA). Coordenação de cinco agências (ANPD + BACEN + CVM + ANATEL + CADE) sob arquitetura do Sistema Nacional. Tramitação atual indica entrada em vigor 2027-2028.

Há ainda um template internacional a observar: o EU AI Act, com o Digital Omnibus negociado em 07/05/2026 (primeiras emendas desde junho/2024), endereçando explicitamente aplicação a agentes. ANPD, BACEN e CVM historicamente seguem o template europeu com 18-30 meses de defasagem — foi assim com LGPD seguindo GDPR. O Digital Omnibus dá ao CFO brasileiro 2-3 anos de visibilidade regulatória.

O ponto: antes de escolher arquitetura ou vendor, sua empresa precisa saber em quais camadas está exposta. Empresa industrial não-listada com operação só no BR responde a 2-3 camadas. Companhia listada em setor regulado responde a 4. Cada combinação determina restrições diferentes para arquitetura e vendor.

Pergunta 4 — Qual IA vamos usar?

Agora sim. Mas perceba: se você respondeu honestamente as 3 anteriores, a Pergunta 4 deixa de ser escolha estética e vira dedução técnica.

Por quê? Porque cada arquitetura (1, 2 ou 3) determina um perfil de exposição de risco diferente. Se sua tolerância de risco é definida por (a) política do conselho, (b) exigência regulatória do seu setor, (c) covenant de seguro cyber que você contratou, e (d) cláusula de responsabilidade do contrato com cliente — então o vendor não é uma decisão de gosto. É a única opção que cabe dentro das quatro restrições simultâneas.

O CFO que escolhe vendor primeiro está fazendo na ordem inversa. Está escolhendo o sapato e depois descobrindo se cabe no pé.

/howto

Antes de qualquer reunião com vendor, antes de qualquer POC, antes de qualquer apresentação ao conselho, sua empresa precisa se posicionar em uma matriz de perfis. Essa matriz é simples — cabe em uma página — mas exige você sentar e responder com honestidade.

A matriz de perfis (5 combinações)

Perfil	Tolerância de risco	Setor	Stack atual	Filosofias que cabem
A	Baixa (auditoria pesada, conselho conservador)	Regulado (financeiro, saúde, energia)	SAP, Oracle	Arquitetura 1 ou 3 — nunca 2
B	Baixa	Não-regulado mas com conselho exigente	Protheus, qualquer ERP	Arquitetura 1 — Arquitetura 3 se cliente SAP/Oracle
C	Média (conselho aberto, auditoria padrão)	Regulado	Cloud-native	Arquitetura 1 com governança forte documentada
D	Média	Não-regulado	Misto	Híbrido — 1 para processos materiais, 2 para experimentação
E	Alta (cultura startup-like)	Não-regulado	Cloud-native	Arquitetura 2 ou nativo do hyperscaler

A matriz não te diz qual IA usar. Te diz qual filosofia cabe na sua empresa — e qual NÃO cabe. O que NÃO cabe é a informação mais valiosa, porque corta vendor pitch antes do pitch acontecer. Se você é Perfil A e o vendor está apresentando uma Arquitetura 2, a conversa pode terminar nos primeiros 10 minutos — antes de você gastar 3 reuniões e R$ 80k em consultoria avaliando uma opção que não cabia desde o início.

Como gerar a matriz personalizada da sua empresa

Você pode rodar esse exercício em qualquer IA séria — Claude, Gemini, ChatGPT. Hoje mostro no Gemini, da Google. Plano gratuito é suficiente. Tempo: 15-20 minutos.

Passo a passo:

Acesse gemini.google.com e crie uma conversa nova
Cole o prompt abaixo, substituindo as variáveis [entre colchetes] com os dados da sua empresa
O Gemini vai devolver, em uma mensagem, três coisas: o perfil em que sua empresa se encaixa (A a E), a filosofia que cabe, e as 3 primeiras decisões que você precisa tomar
Leia o output com olhar crítico. Se discordar, peça refinamento — ajuste os dados de entrada se algo passou batido
Saia da sessão com 1 documento de 1 página: perfil + filosofia + 3 decisões. Esse é o seu input para o time, para o conselho e para qualquer vendor que apareça nas próximas semanas

Você é meu copiloto estratégico em uma decisão de adoção de IA
agentic (IA com capacidade de executar ações em sistemas
corporativos, não apenas conversar) na minha empresa.

Quem sou: [CFO / Controller / Conselheiro] de uma empresa com:
- Setor: [descrever atividade — ex: indústria de alimentos,
  varejo de moda, serviços financeiros, logística]
- Receita líquida: R$ [valor]
- Colaboradores: [número total]
- Tipo de capital: [fechado familiar / fechado PE-backed /
  aberto listado]
- Conselho: [consultivo / administração], [número] membros,
  [número] independentes

Sistemas atuais relevantes:
- ERP: [SAP S/4HANA / Oracle Cloud / TOTVS Protheus / outro]
- CRM: [Salesforce / outro / não tem]
- BI: [Power BI / Tableau / outro / não tem]
- Auditoria externa: [nome do auditor]

Regulação setorial específica:
- LGPD se aplica universalmente
- [Adicionar BACEN se setor financeiro]
- [Adicionar Anvisa se alimentos, farmacêutico ou dispositivos]
- [Adicionar ANS se saúde suplementar]
- [Adicionar ANEEL se energia]
- [Adicionar CVM se companhia listada]

Nível regulatório: [alto / médio / baixo]

Tolerância de risco da empresa: [alta / média / baixa]
Justificativa: [conselho conservador / cultura cloud-native /
auditoria pesada / pressão de seguradora / outro]

Política atual de adoção de novas tecnologias:
[conservadora — POC formal + 6 meses até produção /
moderada — POC + 3 meses / agressiva — POC + 30 dias]

Sua tarefa:
Em UMA mensagem, devolva 3 coisas:

1. Em qual perfil minha empresa se encaixa entre os 5 perfis
   abaixo, e por quê em 2-3 frases:
   - Perfil A: tolerância baixa + setor regulado + ERP
     tradicional
   - Perfil B: tolerância baixa + não-regulado mas conselho
     exigente
   - Perfil C: tolerância média + setor regulado + cloud-native
   - Perfil D: tolerância média + não-regulado + stack misto
   - Perfil E: tolerância alta + não-regulado + cloud-native

2. Qual filosofia arquitetural cabe na minha empresa entre essas 3:
   - Control-first: IA processa, execução de ações fica na
     infraestrutura do cliente (mais controle, mais setup)
   - Velocity-first: vendor faz tudo (rápido de implementar,
     menos controle)
   - Vendor-locked: usar a IA que vem no ERP atual (depende do
     roadmap do vendor de ERP)

   E qual filosofia ABSOLUTAMENTE NÃO cabe — esse é o output
   mais valioso.

3. As 3 primeiras decisões que eu (CFO/Controller/conselheiro)
   preciso tomar nas próximas 4 semanas, em ordem de prioridade,
   com prazo sugerido para cada decisão.

Não me dê resposta vendor-específica (ex: "use Claude" ou "use
Gemini"). Me dê estrutura de decisão. Quem decide o vendor sou
eu, depois de processar a estrutura.

O Gemini devolve em uma mensagem. Você lê, refina se necessário, e fica com o output. Em 20 minutos você tem uma estrutura de decisão concreta, baseada nos parâmetros reais da sua empresa, e pronta para apresentar internamente.

Esse documento é o input para a próxima reunião com o CEO, para a próxima reunião do conselho, e para a próxima conversa com vendor. Ele determina quais conversas valem a pena ter e quais não valem.

/update

Dois movimentos brasileiros das últimas duas semanas, em registros opostos, que aterrissam no mesmo lugar.

Em 20 de maio, Lula assinou dois decretos e sancionou quatro projetos de lei que reescrevem o terreno regulatório das plataformas digitais no Brasil. A ANPD ganha competência de agência reguladora — fiscalização "no atacado", reportes periódicos obrigatórios das big techs e o conceito de "falha sistêmica" como gatilho declarado de sanção administrativa. Os decretos também impõem retirada de imagens íntimas (reais ou geradas por IA) em até duas horas após notificação e proíbem que provedores ofereçam ferramentas de IA capazes de produzir conteúdo sintético de nudez. Para o CFO brasileiro, não é matéria de jurídico — é exigência imediata de risk register de IA, com termômetro institucional declarado: a ANPD vai medir conduta sistêmica, não casos isolados, e o que ela considerar "falha sistêmica" vira passivo formal.

No mesmo dia, a ISG publicou o Provider Lens Digital Business Innovation Services 2026 para o Brasil com uma leitura específica: as empresas brasileiras saíram da fase de experimentação e passaram a exigir critérios de avaliação mais rigorosos antes de aprovar projetos de IA. A frase de Shafqat Azim, sócio da ISG, resume o tom: "as empresas estão buscando iniciativas que resistam ao escrutínio orçamentário, ao mesmo tempo que avançam em capacidades estratégicas, o que está forçando uma abordagem mais disciplinada para a adoção da IA". O sinal operacional é direto: menos iniciativas, mais critério, métricas combinadas antes do go. O escrutínio que vinha do board agora vem também do regulador — e ambos pedem o mesmo: arquitetura antes de capability.

Os dois movimentos parecem dispersos. A pergunta que aproxima os dois é a mesma — e não é "qual IA usar".

/briefing

Dois itens em inglês, ângulo difícil de encontrar na imprensa brasileira.

Item 1 — Deloitte Q4/2025 CFO Signals: link. 87% dos CFOs norte-americanos em empresas com mais de US$ 1 bilhão de receita declaram que IA será "extremely or very important" para a operação de finance em 2026; 54% colocam integração de AI agents como prioridade de transformação; 50% dizem que transformação digital de finance é a prioridade número um do ano. A demanda do CFO está calibrada.

Item 2 — Lenovo Work Reborn Report (27/04/2026): link. Com 6.000 funcionários ouvidos em 12 países (Brasil entre eles, com 8% da amostra), 70% usam IA pelo menos uma vez por semana — e até um terço opera fora do oversight formal de TI; 61% dos líderes de tecnologia reportam aumento de ameaças cibernéticas ligadas a IA, mas só 31% se sentem confiantes em gerenciar esse risco. A infraestrutura institucional está descalibrada.

Por que importa: os dois fatos descrevem o mesmo descompasso. A demanda do CFO está no teto — 87% planejam, 54% querem agentes, o orçamento já existe. Mas a infraestrutura institucional ao redor opera com um terço da adoção real fora do radar de TI, e dois terços dos líderes de tecnologia sem confiança no controle. A pergunta "qual IA usar" perde sentido no momento em que a empresa descobre que não sabe qual IA já está sendo usada. O frame da edição se confirma pelo lado oposto: a primeira pergunta não é qual modelo. É qual o inventário, qual o controle, qual a arquitetura que rege o uso. Vendor entra depois.

/thinkdeeper

Quantas vezes nos últimos 60 dias você ouviu ou se fez a pergunta: "qual IA vamos usar"?

Em reunião do comitê executivo. Em conversa com CIO no corredor. Em pitch de vendor que conseguiu agendar 15 minutos da sua agenda. Em mensagem do conselho perguntando como a empresa está se posicionando. Em ligação de headhunter sondando se você tem essa pauta sob controle.

A pergunta está em todo lugar — e em todo lugar ela está mal formulada. Vale a pena pensar em quem ganha com ela mal formulada.

Vendors ganham. Se a discussão pula direto para "qual IA", o vendor controla a narrativa — vende features, demos bonitas, casos de uso isolados. A discussão de arquitetura, governança e compliance — que é onde o vendor escorrega — fica fora da sala.

Conselhos perdem. Recebem proposta de adoção de IA, votam baseado em apresentação de PowerPoint, e descobrem 18 meses depois que aprovaram exposição de risco que ninguém mapeou.

CFOs perdem duas vezes. Primeiro: entram em decisão de risco sem ter mapeado risco. Segundo: viram réus institucionais quando a coisa dá errado — porque, na hora de procurar dono, conselho aponta para CFO, CIO aponta para CFO, jurídico aponta para CFO.

O CFO, controller sênior ou conselheiro que reorganiza a sequência das perguntas dentro da própria empresa nos próximos 30 dias não é apenas alguém informado. Vira o tradutor entre o pitch de vendor e a governança real. É o único cargo (ou função, no caso do conselheiro) que tem competência cruzada para fazer isso — entende a tese de risco, entende o impacto financeiro, entende a obrigação contratual, e entende a exigência de conselho. Quatro competências numa mesa só.

Não é coincidência que essa atribuição esteja sendo cobrada do CFO agora, e não do CIO ou do diretor de inovação. É o mercado entendendo onde o método precisa morar — e quem precisa carregar.

Se você é CFO, gerente sênior de FP&A, controller sênior ou conselheiro, e a edição de hoje descreveu uma reunião que você teve essa semana — onde alguém perguntou "qual IA" e ninguém respondeu antes "qual arquitetura", "qual governança", "qual exposição" — responda este email com "agentic AI" no assunto. A janela para definir a régua dentro da própria empresa é curta. Mais curta do que a maioria dos CFOs hoje admite.

Atuo em consultoria de governança e arquitetura de IA aplicada a finanças e pessoas. — Alexandre Scotti, scotti@strategia-serv.com