Governança de IA é decisão de arquitetura, não de compliance

Menos de 10% das empresas integram revisões de risco e conformidade de IA diretamente nos pipelines de desenvolvimento. Os dois números são do mesmo planeta, mas parecem vir de realidades paralelas.

O Gartner publicou esta semana uma análise de Sumit Agarwal defendendo que governança precisa ser embarcada na arquitetura dos sistemas de IA, não tratada como auditoria periódica. A lista de controles técnicos é sólida: guardrails nos prompts e respostas, observabilidade de comportamento, rastreabilidade do ciclo de vida, gateways centralizados pra controlar acesso a APIs, catálogos de modelos e wrappers pra isolar aplicações dos modelos subjacentes. Na teoria, um framework completo. Na prática, a maioria das empresas ainda não sabe quantos modelos estão rodando dentro de casa.

A maturidade está caindo enquanto a adoção sobe

A pesquisa de maturidade da McKinsey, publicada em março, mostra que a nota média de maturidade em IA responsável subiu de 2.0 pra 2.3 numa escala de 4. Parece progresso, mas só cerca de 30% das organizações atingem nível 3 ou superior em governança. A dimensão que mais cresceu foi tecnologia e gestão de risco. A que menos avançou foi justamente governança e controles pra IA agêntica. As empresas estão ficando melhores em construir, mas não em governar o que constroem.

O ServiceNow reforça o ponto: o índice global de maturidade em IA empresarial caiu de 44 pra 35 pontos numa escala de 100 entre 2024 e 2025. Menos de 1% das organizações passa de 50 pontos. Isso não é paradoxo. É consequência direta de escalar sem governar.

O problema não é falta de framework

NIST AI RMF, EU AI Act, ISO/IEC 42001 estão todos aí, documentados, com diretrizes claras. O problema é que governança de IA virou um item de roadmap que vive permanentemente no próximo trimestre. A pressão por colocar modelo em produção é imediata. A pressão por rastreabilidade e auditoria é abstrata até o dia em que deixa de ser.

A Deloitte, no relatório State of AI 2026, colocou de forma direta: empresas onde a liderança sênior molda ativamente a governança de IA extraem significativamente mais valor de negócio do que aquelas que delegam o trabalho pra times técnicos. Governança não é assunto do CISO ou do DPO. É assunto do C-level inteiro. E aqui está o desconforto: a maioria dos boards discute IA regularmente, cerca de 62% segundo a NACD, mas apenas 27% adicionaram governança de IA formalmente aos seus comitês.

Shadow AI não é shadow IT

Quem opera infraestrutura sabe como essa dinâmica funciona. É o mesmo padrão de shadow IT, só que com esteroides. Times de negócio contratam APIs de IA por conta própria. Desenvolvedores integram modelos em microsserviços sem passar por revisão de segurança. O departamento de dados descobre três meses depois que tem um modelo em produção consumindo dados sensíveis sem mascaramento.

A diferença é que shadow IT tradicional era uma planilha no Google Drive. Shadow AI é um agente autônomo tomando decisão de negócio.

Três pré-requisitos que quase ninguém tem

A proposta do Gartner de tratar governança como requisito técnico fundacional é correta. Mas requer algo que poucos CIOs têm hoje: inventário completo dos modelos em uso, rastreabilidade de dados de ponta a ponta e ownership claro de cada sistema com IA. Sem esses três elementos, qualquer framework de governança é um PDF bonito numa pasta do SharePoint.

O gap não é de conhecimento. É de prioridade. Investir em guardrails, observabilidade e catálogos de modelos não gera receita direta. Não aparece no quarterly review como feature entregue. Mas a ausência deles aparece, e geralmente da pior forma possível: num incidente de dados, numa decisão automatizada enviesada ou numa auditoria regulatória que encontra um modelo em produção sem documentação.

Governança de IA embarcada na arquitetura é o caminho certo. Mas exige tratar governança como se trata infraestrutura: se não está no desenho desde o dia zero, vai custar dez vezes mais pra encaixar depois.