Governança natural sobre a inteligência artificial

A inteligência artificial está dentro das empresas e, muitas vezes tem atuado sem que a liderança tenha percebido onde, como e com quais limites. Aparece no e-mail que sugere respostas, no atendimento automatizado que conversa com clientes, no marketing que produz textos e imagens em minutos, no RH que ranqueia currículos e no financeiro que entrega análises com aparência de certeza. O ganho é sedutor; velocidade, escala, redução de custo e produtividade. O detalhe que muda tudo é que, quando a IA entra em processos relevantes, ela deixa de ser apenas uma ferramenta e passa a influenciar decisões. A empresa não está só automatizando tarefas, está alterando o processo decisório, seu modo de operar e o tipo de risco que assume.

Esse deslocamento do “fazer” para o “decidir” tem um efeito direto sobre a agenda de administradores/diretores. O tema deixa de ser exclusivamente tecnológico e passa a ser, também, de governança corporativa: se a IA influencia o modo como a companhia atua, ela entra no radar natural dos deveres fiduciários, pois cabe ao administrador estruturar controles e supervisionar os riscos relevantes sobre qualquer interação com a IA, da mesma forma que faria com qualquer outro vetor capaz de afetar resultados, reputação e continuidade do negócio.

A situação ainda fica mais interessante quando alguns prompts poderiam, ao menos em tese, substituir o trabalho de renomadas consultorias de negócios, como no alardeado caso de uma pesquisa de mercado que seria tão boa quanto à da prestigiada consultoria McKinsey, foi entregue em minutos por uma inteligência artificial, economizando milhares de dólares em consultoria, sendo este apenas um dos numerosos exemplos de “milagres” da IA, pois o administrador poderia trocar o aconselhamento recebido de uma consultoria como a McKinsey, por uma consulta (quase) gratuita com o ChatGpt.

A proliferação destes “milagres”, dentro e fora do ambiente corporativo criam uma aura quase mística em torno da eficiência e infalibilidade, elevando a IA ao posto de ente supremo, nossos Deus EX Machina, como destacado em carro alegórico no desfile carnavalesco de Putignano, na Itália.

E é justamente nesse ponto que os deveres fiduciários ganham relevância prática. A “aura de infalibilidade” é um risco de governança por si só: ela induz decisões apressadas, terceirização mental e relaxamento de controles. O administrador diligente não precisa desconfiar de tudo, mas precisa desconfiar o suficiente para evitar que uma ferramenta passe a ditar rumos sem validação. A prudência aqui não é conservadorismo, é método. 

Se a IA está substituindo uma análise que antes exigia equipes, tempo e validação, a pergunta executiva não é “isso é brilhante?”, mas “quais premissas sustentam isso, quais dados entraram, quais limites existem e quem responde se estiver errado?”, lembrado que as próprias IAs afirmam que podem “mentir”.

Desta forma, apesar de um fenômeno historicamente recente, as Inteligências Artificiais mudaram completamente nossa forma de trabalhar e decidir, impactando diretamente a governança corporativa e compliance. A relação com as IAs não pode ser um capítulo “bonito” de política interna, nem um medo travestido de prudência, mas como todo e qualquer recurso, deve ser enquadrado em um conjunto mínimo de regras e controles para capturar valor sem criar um passivo invisível e caro, como em casos de vazamento de informação, promessa indevida ao consumidor, falhas em escala, litígios com parceiros, tensão com dados pessoais e desgaste de marca.

Neste sentido, ressaltamos que a responsabilização de administradores não nasce do “erro tecnológico”, mas sim, sobre o modo de utilização desta tecnologia. Quando uma falha de IA gera dano relevante, a discussão tende a girar em torno de perguntas de governança: havia política clara? havia supervisão proporcional ao risco? havia delimitação de dados sensíveis? havia revisão humana em decisões críticas? havia documentação mínima que embasasse as escolhas? Em outras palavras, o foco costuma recair menos sobre a IA e mais sobre a diligência (ou a falta dela) no modo como a companhia decidiu adotá-la, configurá-la e operá-la.

A boa notícia é que não é necessário criar uma estrutura pesada e custosa para “controlarmos” a IA, basta fazermos o que deveríamos fazer desde sempre, que é uma disciplina proporcional, prática e repetível, do tipo que cabe na agenda e vira cultura.

Costumo dizer que governança é muito simples e muito difícil pois tudo envolve governança e, se ela se envolve em tudo, não e envolve em nada, logo, o primeiro passo é enxergar onde o risco nasce no cotidiano, porque é ali que a governança prova seu valor e onde a discussão inevitavelmente encosta nos deveres fiduciários dos administradores, não para exigir que diretores e conselheiros sejam técnicos, mas para lembrar que a responsabilidade de organizar o processo decisório e supervisionar riscos relevantes continua humana.

O primeiro e mais impactado é o dever de diligência (Lei das S.A., art. 153). Diligência, aqui, não significa “acertar sempre”, mas decidir e supervisionar com método: saber onde a IA é usada, quais dados entram, quais decisões ela influência, quem revisa os resultados da IA em atividades sensíveis e como a companhia reage quando há erro. IA cria uma armadilha típica: resultados convincentes induzem a “terceirização mental”, o administrador deixa de verificar porque “a máquina disse”. Essa postura é o oposto de diligência. Em ambientes de alto risco, diligência se traduz em controles mínimos, revisão humana, testes e monitoramento.

Também ganha relevância o dever de sigilo (Lei das S.A., art. 155). O uso cotidiano de IA, especialmente em ferramentas abertas, aumenta o risco de exposição involuntária de informação estratégica: contratos, preços, estratégias, margens, listas de clientes, disputas, planos de M&A, dados pessoais e segredos de negócio. O ponto não é proibir IA, mas tratá-la como o que ela é: um ambiente que pode registrar e reter interações. Se a companhia não define ferramentas aprovadas, não limita o uso de dados sensíveis e não treina a equipe para não “colar o negócio inteiro” em prompts, ela fragiliza um dever clássico e expõe o quê talvez seja seu principal ativo, a informação.

Em companhias abertas e em qualquer empresa com governança minimamente estruturada, a IA também toca o dever de informação e transparência. Se o uso de IA é relevante para risco, continuidade operacional, incidentes de segurança, dependência crítica de fornecedor ou promessas ao mercado, a administração precisa garantir que a governança corporativa esteja adequadamente informada e que a comunicação externa não induza qualquer stakeholder a erro. Em tempos de “AI-washing”, o risco não é só tecnológico; é de credibilidade.

Em síntese, a IA não cria um catálogo de deveres fiduciários; ela aumenta a exigência prática dos deveres antigos. Se a administração trata a IA como moda, ela tende a ganhar velocidade e perder controle. A responsabilidade, no fim, continua sendo da administração.

Tudo isso evidencia que a pergunta correta não é “vamos usar IA?”, mas sim, “como a IA está sendo usada e sob qual comando?”. A diferença entre gerar valor e acumular passivos está menos na tecnologia e mais na governança corporativa. Governança de IA, em linguagem empresarial, é decidir onde a IA pode atuar, com qual finalidade, quais dados podem ser imputados, quem autoriza, quem responde pelo uso, quais controles existem e como a empresa reage quando algo dá errado. Compliance, por sua vez, é fazer isso sem violar aquilo que a empresa já precisa cumprir: privacidade e proteção de dados, confidencialidade, defesa do consumidor, propriedade intelectual, segurança da informação, regulações e obrigações contratuais. O tema é novo no nome, mas antiquíssimo na essência, organizar e registrar processos, em conjunto com a atribuição de responsabilidades.

E há um aspecto adicional, tipicamente corporativo: decisões sobre IA precisam ser registradas com um mínimo de racionalidade. Não para criar papel, mas para consolidar governança, afinal, quando algo dá errado, a pergunta costuma ser “quem aprovou e por quê?”. A existência de critérios, matriz de risco e decisões documentadas ajuda a demonstrar diligência, delimitar responsabilidades e evitar que, retrospectivamente, tudo pareça óbvio. A boa administração não é a que nunca erra; é a que demonstra processo de decisão responsável.

Quando a empresa implementa governança corporativa mínima, os efeitos aparecem rapidamente na rotina do empresário. O primeiro é a redução do improviso e, os improvisos da inteligência humana e artificial podem ser igualmente catastróficos. Isso não só reduz o risco, como aumenta consistência, melhora qualidade e dá visibilidade para a liderança. O segundo efeito é a queda do retrabalho, pois em regra, o ciclo costuma ser previsível, a IA acelera, erra, explode como uma bomba, exige correção e retratação, com imenso consumo de tempo, energia, dinheiro e credibilidade. Com regras simples, a IA continua acelerando, mas com menos interrupções e menos custo oculto. O terceiro efeito é contratual, a contratação de ferramentas deixa de ser “assinatura de software” e vira decisão estratégica sobre dados, logs, subcontratação, incidentes e responsabilidade.

Essa “visibilidade para a liderança” é, inclusive, um componente fiduciário extremamente relevante. Administradores não podem gerenciar o que não enxergam. Ao exigir uma foto clara do processo, com todos os riscos e vantagens, a administração cumpre um dever básico de supervisão, que é transformar um fenômeno difuso (cada área usando IA do seu jeito) em um mapa gerenciável. Isso é governança pura e simples e é exatamente o tipo de conduta que se espera de quem administra o patrimônio e o destino de uma organização, com ou sem IA.

Há ainda um ganho silencioso que costuma valer sozinho o esforço, a governança de IA melhora a governança de dados como um todo. A IA depende de dados e se o dado é ruim, a decisão tende a ser ruim. Se o dado é sensível e circula sem critério, o risco explode. Na prática, ao organizar o uso da IA, a empresa é empurrada a mapear dados sensíveis, definir acessos, qualificar bases e criar disciplina informacional, melhorando decisões em cadeia, inclusive em áreas que não “usam IA” diretamente, afinal, todo o negócio depende de dados, gerando eficiência empresarial e não apenas uma pauta jurídica isolada para passar na auditoria.

É comum surgir a ansiedade: “preciso entender de tecnologia para responder por isso?”. A resposta curta e simples é não. Não se espera que o administrador seja um expert em inteligência artificial ou programe. Espera-se que ele governe de forma corporativa, que é fazer as perguntas certas e exigir respostas com donos, prazos e rotinas, esse repertório de perguntas, repetido com disciplina, evita o “apagão de responsabilidade” em que todo mundo usa e ninguém é dono.

E agora, caminhando para o final, cabe um ajuste de perspectiva: dever fiduciário não é “saber tudo”, é “não fechar os olhos”. Ignorar a presença e o impacto da IA, sobretudo quando ela afeta o dia a dia da operação, pode ser visto como omissão de supervisão. Já por outro lado, estabelecer controles proporcionais, buscar informação adequada, exigir relatórios e criar mecanismos de revisão humana nos pontos críticos são atitudes que, além de proteger a companhia, alinham-se diretamente ao núcleo da diligência e inteligência esperadas de quem administra.

No plano prático, uma governança corporativa enxuta e eficaz nasce de medidas simples e práticas. A empresa escolhe as certas ferramentas, criando um padrão replicável e fiscalizável, corta o improviso, especialmente para tarefas que envolvam dados sensíveis, estratégicos ou pessoais. Treina o time, explicando o que pode e o que não pode e, principalmente, por quê. Mapeia usos que já existem, porque eles sempre existem, e classifica por risco. Nos temas de alto risco, estabelece supervisão humana obrigatória e checagem antes que qualquer saída da IA se transformar em decisão. Ajusta contratos com fornecedores para endereçar temas que antes passavam despercebidos: retenção de prompts, armazenamento de logs, subcontratados, propriedade intelectual, confidencialidade e resposta a incidentes. Define um responsável por manter visibilidade do assunto e cria um canal interno para dúvidas e relatos de incidentes. Por fim, desenha-se um plano de resposta simples, mas efetivo: quem aciona quem, como suspende, como comunica, como corrige e como registra.

Existe um receio comum de que governança corporativa “mate” a inovação, mas, na prática, acontece o contrário. Quando as pessoas sabem quais ferramentas usar e quais limites respeitar, elas inovam com menos medo e mais consistência. Quando existe um caminho claro para aprovar novos usos, projetos nascem de forma certeira e com menos retrabalho. Quando há um plano de resposta, incidentes deixam de ser catástrofes e viram eventos gerenciáveis.

A tese central, do ponto de vista empresarial, é que governança corporativa e compliance de IA não são custos de conformidade, mas sim, instrumentos de proteção e expansão de valor. Geram valor porque reduzem passivos ocultos e preservam credibilidade. 

Se pensarmos sob a ótica da administração de uma companhia, chegamos à uma regra; IA bem governada não é apenas uma escolha operacional, é um sinal de maturidade de gestão. Ela evidencia que a companhia sabe inovar sem terceirizar responsabilidade, sabe ganhar eficiência sem renunciar a controles e sabe buscar vantagem competitiva preservando seus ativos mais valiosos, informação, reputação e credibilidade. Em tempos de IA, talvez a virtude mais subestimada não seja a coragem de adotar, mas a capacidade de adotar com método.

Como fechamento, há uma constatação quase inevitável, e nem precisemos consultar o ChatGPT para alcança-la, IA vai se tornar tão comum quanto planilhas e e-mail. O diferencial competitivo não será “usar IA”, mas sim, usar IA com maturidade, de maneira responsável e com uma supervisão humana capacitada. Empresas que tratam IA como moda ganham velocidade e acumulam passivos, enquanto as empresas que tratam IA com governança corporativa e como capacidade organizacional ganham velocidade com controle, aumentam sua eficiência, , protegem reputação e conseguem inovar sem sobressaltos. No fim, a pergunta que separa o uso inteligente do uso imprudente é simples e brutalmente prática: a IA está operando sob comando ou no comando?