Governança de IA: da ansiedade à vantagem competitiva

Três anos e meio depois do lançamento do ChatGPT, o diagnóstico sobre o uso corporativo da inteligência artificial está consolidado, e é desconfortável até mesmo para empresas que já avançaram na curva de maturidade. Não falta investimento, não falta tecnologia. Falta governança, sobra ansiedade. No centro do problema, uma constatação que cresce a cada novo ciclo de adoção: a velocidade de evolução dos modelos é superior à velocidade com que as organizações conseguem incorporá-los com segurança, propósito e medição de valor.

Os números do paradoxo se acumulam. Segundo a edição mais recente do Stanford AI Index, 95% das empresas não conseguem demonstrar impacto mensurável da adoção de IA sobre o lucro, e apenas 12% dos funcionários afirmam que o trabalho mudou de fato. Executivos C-level têm mais do que o dobro de probabilidade de apontar a falta de prontidão dos funcionários como obstáculo do que de reconhecer o próprio papel da liderança em viabilizar essa prontidão. Quase 40% das empresas que mediram economia de custos com IA ficaram abaixo de 10%, embora 90% sigam aumentando o orçamento. E, segundo dados de IBM e McKinsey, apenas 7% das organizações operam hoje agentes de IA totalmente autônomos em produção. “O problema não está nos modelos, está na forma como as organizações tentam adotá-los”, resumiu Cristina De Luca, diretora editorial da The Shift.

Foi sobre essa tensão — entre o entusiasmo de experimentar e a necessidade de governar — que tratou o painel “Governança de IA: da ansiedade à vantagem competitiva”, realizado pelo CESAR durante o Web Summit Rio 2026. A discussão foi conduzida a partir de um framework de quatro estágios de maturidade da IA nas organizações: experimentação, coordenação, governança e, ao final, diferenciação competitiva. Não são estágios necessariamente lineares — podem ocorrer simultaneamente em diferentes áreas de uma mesma empresa —, mas é a maturidade conjunta deles que separa quem apenas testa a IA de quem captura valor com ela.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

“Se não começarmos a usar a IA, vamos, possivelmente, perder o nosso negócio. Isso vale para o nosso negócio, que é a inovação, mas a gente acredita que vale para cada um dos negócios que envolvem tecnologia de algum jeito.” (Beto Benedito Macedo, diretor executivo do CESAR)

Mediado por Cristina De Luca, o painel reuniu Beto Benedito Macedo, diretor executivo do CESAR; Max Rodrigues, consultor de tecnologia digital na Petrobras; e Felipe Rego, CEO da Iotiza. Cada um trouxe à mesa um ângulo distinto do mesmo desafio: como avançar com a IA sem perder o controle de aspectos críticos como cibersegurança, dados sensíveis, exposição regulatória e medição efetiva do valor gerado. O CESAR opera o CISSA, Centro de Competência Embrapii em Segurança Cibernética, em torno do qual se articula boa parte da pesquisa aplicada que sustenta a discussão sobre governança de IA no Brasil, e essa moldura esteve presente em todo o debate.

Abaixo, os principais momentos da conversa.

Experimentação: quando a liderança abraça a incerteza

“Você via claramente a gestão abrindo espaço e estando disposta a investir em algo que eles mesmos não sabiam se daria retorno. Esse entusiasmo, essa vontade de experimentar, tem que vir da gestão.” (Max Rodrigues, Petrobras)

Em meados de 2023, ainda nos primeiros meses após o lançamento do ChatGPT, a área de TI da Petrobras decidiu apostar em uma filosofia simples: “construa e eles virão” — referência ao filme “Campo dos Sonhos”. A empresa estruturou uma infraestrutura interna de serviços com modelos de IA generativa acessíveis via APIs, custeada pela área de projetos, e abriu o ambiente para que equipes da TI desenvolvessem aplicações experimentais. A regra explícita era: não se exige resultado garantido, exige-se aprendizado.

Max Rodrigues, consultor de tecnologia digital que atua na área de PD&I da Petrobras junto ao SEMPES, foi um dos primeiros a ser desafiado. Em seis meses, sua equipe levou ao ar um sistema de portfólio para a área de TIC. Em 2024 veio a explosão de aplicações; em 2025, a consolidação. Hoje, segundo Rodrigues, a empresa tem na casa das 200 aplicações em produção, muitas delas operando em rotinas como geração de slides, montagem de pautas de reunião e leitura de impedimentos em backlogs ágeis.

O eixo do testemunho, porém, não está no número de aplicações, mas no contrato de confiança que viabilizou a experimentação. “Toda a gestão que ia consumir a aplicação tinha a predisposição e a premissa de que ela podia responder errado, e que íamos aprender juntos como resolver isso”, afirmou. A lição que ficou: experimentação real exige uma liderança disposta a abrir espaço para o erro, financiar o aprendizado e proteger o time da pressão por resultados imediatos.

• A iniciativa começou com um pequeno grupo de Product Owners e desenvolvedores trabalhando como early adopters do próprio serviço corporativo de IA.
• Cada nova aplicação entrou em produção também sob lógica de early adoption: o usuário sabia que estava interagindo com algo em construção e participava da curva de aprendizado.
• A maturidade do framework de experimentação só ficou evidente mais tarde, quando a empresa entrou no estágio da coordenação e governança.

Coordenação: a IA encapsulada na ponta

“A inteligência artificial fica lá na frente, perto dos sensores, pegando informações de cinco, seis, oito grandezas distintas, faz a análise daquilo e entrega para a rede só o suporte à decisão. Mas a decisão ainda é humana, é do gestor.” (Felipe Rego, Iotiza)

Felipe Rego, CEO da Iotiza, trouxe o contraponto de quem fornece IA para clientes em setores radicalmente distintos, de shoppings e condomínios residenciais a concessionárias de energia, água e gás, passando por entretenimento, alimentos, óleo e gás, saúde e educação. A Iotiza é o braço operacional do IoT Studio, empresa que Rego fundou após 30 anos na Petrobras e que se especializou em Edge AI — inteligência artificial embarcada em dispositivos de Internet das Coisas. A IA, nesse modelo, opera próxima aos sensores, processa localmente e envia apenas a recomendação para a nuvem.

A escolha do encapsulamento responde a uma realidade prática: na ausência de um marco regulatório consolidado para IA no Brasil, os clientes da Iotiza se dividem em três perfis. O primeiro recusa qualquer IA. O segundo, onde se concentra a maioria dos clientes, aceita usá-la, mas não quer se expor. O terceiro, raríssimo, quer agentes totalmente autônomos. “Mas isso não é o mundo real. O mundo real hoje é o do meio”, resumiu Rego. Para esse meio, a IA encapsulada oferece um compromisso viável: a tecnologia funciona, gera recomendação, mas a decisão final fica com o humano.

Um dos exemplos que Rego trouxe ao painel ilustra bem a lógica: em uma usina nuclear, a IA não toca nos reatores. O que ela faz é monitorar reservatórios remotos de água — parte de um plano de contingência terciário para resfriamento do reator — substituindo rondas humanas com picapes e réguas manuais por sensores conectados que custam cerca de R$ 150 por mês. “É uma coisa barata, mas gera valor de segurança que antes dependia da frequência com que alguém ia até lá medir”, afirmou.

• Outros exemplos de aplicação: monitoramento hídrico em complexos como o Rio Centro; controle de galpões de criação de aves a partir de sensores de amônia, luminosidade e vazão; gestão de consumo de energia e gás.
• Para clientes com automação já madura – 70% a 80% dos processos -, a barreira para avançar à autonomia plena raramente é técnica: é a falta de segurança jurídica.
• Enquanto não há marco regulatório, a Iotiza trabalha com IA contida no perímetro do dispositivo, mantendo a tomada de decisão sob responsabilidade humana.

Governança: quando o controle chega a reboque

“Deixamos o momento de experimentação avançar e houve uma explosão de aplicações dentro da companhia. A governança chegou um pouco atrasada. Ela chegou a reboque. O entusiasmo foi maior do que o pé no chão.” (Max Rodrigues, Petrobras)

Se a experimentação foi celebrada como acerto estratégico, ela também produziu um efeito colateral previsível: o crescimento descoordenado de aplicações em produção, com graus distintos de exposição a riscos técnicos e de segurança. Em 2025, depois de dois anos de crescimento acelerado no número de soluções de IA generativa em uso na empresa, a Petrobras passou por um ciclo de auditoria que revelou a necessidade de aprimorar controles, processos e práticas de cibersegurança em algumas das aplicações que estavam no ar.

Rodrigues não detalhou as descobertas específicas, mas usou uma metáfora que sintetiza bem o aprendizado: “Tem que ter alguém sempre no teu ombro — o anjinho bom e o anjinho mau. O anjinho mau diz: cara, segura um pouquinho a onda aí. Olha pro dia a dia de algumas coisas que você não pode esquecer”. Em painel anterior da série, especialistas em cibersegurança do CISSA já haviam alertado que a velocidade dos LLMs exige amarração com práticas robustas de DevSecOps, sob risco de transformar produtividade em superfície de ataque.

O ponto importante: o problema não é a experimentação em si, mas o intervalo entre o entusiasmo e a chegada da governança. Quanto maior esse intervalo, maior a dívida técnica e de segurança que se acumula, e mais difícil é organizar depois o que foi construído de forma dispersa. Para empresas que querem replicar o modelo de early adoption, a lição do painel é clara: a governança precisa nascer junto com a experimentação, não vir depois para corrigir.

Captura de valor: como medir o que a IA entrega

“A qualidade do que a IA acha nos testes é a mesma da qualidade humana? Não. Existe uma grande sobreposição, mas existe uma fatia que a IA acha e uma fatia que o homem acha que a IA não acha. O desafio da governança é estabelecer práticas para capturar esse valor.” (Beto Benedito Macedo, CESAR)

Para Beto Macedo, diretor executivo do CESAR, o quarto estágio do framework — captura de valor e diferenciação — só se materializa quando a empresa consegue medir o que ganhou com a IA. E essa medição, segundo ele, é mais difícil do que parece. Usar IA Generativa para escrever um relatório melhor é eficiente, mas é quase impossível mensurar o ganho real desse uso difuso. O valor concreto aparece quando a IA é embutida em processos específicos da operação, e isso exige desenho de experimentos, baselines anteriores e comparação rigorosa antes da viciada generalização da ferramenta.

Macedo trouxe um exemplo de um cliente do CESAR, na área pública, em que a IA foi aplicada a um processo de testes de software. “A gente tinha quatro homens-mês fazendo o trabalho, passou a usar dois homens-mês. Isso é um ganho de 55%”, afirmou. Mas a leitura mais interessante do caso não está no ganho de produtividade, está na diferença qualitativa: a IA encontra um conjunto de defeitos, o testador humano encontra outro conjunto, com sobreposição parcial. Cada um tem a sua fatia. O ideal, portanto, é combiná-los.

A conclusão de Macedo é que governança não é apenas controle, é também método. Sem governança, o investimento em IA tende a se diluir em ganhos não auditáveis. Com ela, é possível identificar onde está o valor real e fazer escolhas estratégicas sobre onde escalar e onde recuar.

Dados sensíveis e o limite regulatório

“Você está expondo um milhão de pessoas a uma informação que é privativa, é privada. Como é que eu trabalho com isso? Hoje, sem marco regulatório, eu avançaria com essa vestimenta completamente offline.” (Felipe Rego, Iotiza)

O bloco final do painel se debruçou sobre o ponto em que cibersegurança, privacidade e regulação se encontram — e onde a ausência de uma das três paralisa o avanço das outras duas. Felipe Rego apresentou um projeto em fase embrionária no IoT Studio, em parceria com o CESAR: um dispositivo vestível para crianças e adolescentes autistas, capaz de identificar sinais fisiológicos que antecedem uma crise de ansiedade — temperatura, batimento cardíaco, sudorese, padrão de movimento. O sensor, construído com fibra ótica moldável e lavável, integra múltiplas grandezas em uma única peça.

A função do produto seria notificar a própria criança, por vibração, sobre o início de uma crise, para que ela ou seu cuidador possam adotar uma estratégia de autorregulação. Mas, na ausência de um marco regulatório consolidado para IA aplicada a dados de saúde de menores, Rego decidiu projetar o dispositivo como uma solução totalmente offline: sem conectividade, com a IA encapsulada no próprio wearable e dados armazenados localmente. “Você está lidando com dados que são privativos. É uma vulnerabilidade muito grande. A gente vai avançar nesse projeto, mas só vamos definir a autonomia da IA quando houver marco regulatório”, afirmou.

Beto Macedo, no fechamento do painel, reforçou que regulação é necessária, sobretudo em casos sensíveis, em que pessoas têm direito a explicação sobre decisões automatizadas que as afetem, como uma negativa de crédito. Mas alertou que excesso de regulação trava inovação em um país que já não tem um LLM próprio. “A gente tem o desafio de ter um marco regulatório, mas é importante que as empresas se envolvam nessa discussão. O Brasil tem capacidade de fazer coisas de impacto mundial em aplicações de IA, desde que a gente experimente rápido, com governança”, concluiu.

O que esse painel ensina sobre governança de IA

A conversa deixou um conjunto de recomendações práticas para empresas que pretendem avançar nos quatro estágios de maturidade da IA, com governança e cibersegurança como eixos estruturantes. Abaixo, um apanhado:

1. Experimentar com contrato de aprendizado claro. A experimentação real exige que a gestão abra espaço para o erro e financie o aprendizado. Sem esse contrato explícito entre líderes e times, a tendência é que cada falha seja interpretada como fracasso, paralisando a curva de adoção.
2. Construir governança com a experimentação. Deixar a governança chegar depois é receita para acumular dívida técnica e exposição a riscos de cibersegurança. Quanto mais cedo o framework de governança nasce, mais leve e menos retroativo será o esforço de adequação.
3. Tratar cibersegurança como parte da arquitetura, não como remendo. A velocidade de adoção dos LLMs amplia a superfície de ataque das organizações. Práticas de DevSecOps, auditorias periódicas e revisão de vulnerabilidades em código gerado por IA precisam fazer parte do ciclo de desenvolvimento desde o primeiro piloto.
4. Encapsular a IA quando o risco regulatório é alto. Em setores sensíveis e na ausência de marco regulatório consolidado, a Edge AI oferece um compromisso viável: a IA processa localmente, gera recomendação, e a decisão final fica com o humano, reduzindo exposição a riscos jurídicos e de privacidade.
5. Medir o valor real, não o uso. ChatGPT escrever um relatório melhor é eficiente, mas não é mensurável. Captura de valor exige IA embutida em processos específicos, com baseline anterior, experimento controlado e comparação rigorosa. Sem isso, o investimento se dilui em ganhos não auditáveis.
6. Combinar IA e humano em vez de substituir. O caso de testes do CESAR mostra que IA e testador humano encontram conjuntos diferentes de defeitos, com sobreposição parcial. Substituir um pelo outro nunca é a melhor escolha; combiná-los é onde se captura mais valor.
7. Participar da discussão regulatória. Excesso de regulação trava inovação; falta dela trava o avanço em setores sensíveis. As empresas precisam estar dentro da discussão regulatória em curso — não apenas reagir ao resultado dela.
8. Experimentar rápido, mas com o pé no chão. O ritmo dos modelos é tão acelerado que empresas que não experimentam correm risco de obsolescência. Mas a velocidade da experimentação precisa ser acompanhada da maturidade da governança, ou pode gerar problemas que superam o valor capturado.