IA Sem Governança: É um Risco de Continuidade — Não um Problema de TI

Quando uma empresa libera IA para o time sem política, sem estrutura de aprovação e sem definição de quais dados podem entrar em quais ferramentas, ela não está sendo ágil. Está transferindo o controle da operação para um conjunto de decisões individuais que nenhuma liderança consegue auditar, reverter ou sequer enxergar.

O argumento mais comum para adiar a governança de IA é o da velocidade: "precisamos experimentar antes de regulamentar." É um argumento que soa razoável até o momento em que algo quebra. E o que quebra, quando quebra, raramente é pequeno — porque os riscos de IA sem estrutura não se manifestam como bugs de software. Eles se manifestam como perda de propriedade intelectual, como dependência crítica de um único colaborador que foi o único a "aprender a usar a ferramenta", como código gerado em massa que ninguém consegue manter, e como queda repentina de produtividade quando o colaborador que construiu o workflow sai da empresa e leva o prompt com ele.

Esses são riscos de continuidade de negócio. E PMEs, por definição, têm menos redundância e menos capacidade de absorver descontinuidades do que grandes corporações.

Segundo levantamento da IBM de 2025, apenas 37% das organizações possuem políticas formais de governança para uso de IA. Isso significa que 63% das empresas estão operando sem qualquer estrutura definida para uma das categorias de ferramenta de maior impacto operacional dos últimos anos.

O fenômeno tem um nome consolidado no mercado de segurança: Shadow AI — o uso de ferramentas de IA por colaboradores sem aprovação, visibilidade ou governança formal dos times de TI, jurídico, compliance ou liderança. É o equivalente moderno do Shadow IT, mas com uma escala de consequência diferente: enquanto um colaborador usando Dropbox pessoal para arquivos da empresa cria um risco de perda de dado localizado, um colaborador usando uma ferramenta de IA com dados de clientes, contratos ou código proprietário cria um risco que pode ser imediato, irreversível e com implicações jurídicas.

A escala do problema é maior do que a maioria das lideranças imagina. Segundo o relatório Cloud and Threat da Netskope de 2026, 47% dos usuários de IA generativa nas empresas acessam essas ferramentas por contas pessoais, completamente fora dos controles corporativos. Uma pesquisa da Menlo Security de 2025 encontrou que 68% dos colaboradores usaram contas pessoais para acessar ferramentas de IA gratuitas no trabalho — e 57% deles inseriram dados sensíveis nessas interações. O levantamento da IDC de 2025 aponta que 56% dos colaboradores usam ferramentas de IA não autorizadas no trabalho, enquanto apenas 23% usam as ferramentas que a empresa fornece e governa.

Em outras palavras: na maioria das empresas, a maior parte da atividade de IA já está acontecendo fora dos controles de segurança, dos frameworks de conformidade e da visibilidade da liderança.

Em março de 2023, a divisão de semicondutores da Samsung levantou a restrição interna ao uso de ChatGPT e permitiu que engenheiros utilizassem a ferramenta para apoiar o desenvolvimento. Em menos de 20 dias, ocorreram três incidentes de vazamento de dados confidenciais — todos não intencionais, todos cometidos por engenheiros sênior que simplesmente estavam tentando fazer o trabalho mais rápido.

No primeiro incidente, um engenheiro colou código-fonte proprietário de um banco de dados de semicondutores no ChatGPT para identificar um bug. No segundo, outro colou código de sequências de teste para chips no mesmo serviço. No terceiro, um colaborador gravou uma reunião interna confidencial, transcreveu com um aplicativo de áudio e alimentou a transcrição no ChatGPT para gerar ata. Em todos os casos, os dados submetidos à plataforma da OpenAI poderiam ter sido incorporados ao treinamento do modelo — saindo do controle da Samsung sem possibilidade de reversão.

A empresa baniu imediatamente o ChatGPT e acelerou o desenvolvimento de ferramentas internas com controles de dados adequados. O incidente virou referência de governança corporativa no mercado de segurança global — não porque a Samsung foi negligente, mas porque fez exatamente o que a maioria das empresas está fazendo hoje: liberou o acesso antes de definir a estrutura.

Para uma PME, o risco equivalente não é menor. É proporcionalmente maior: uma empresa de 30 pessoas que tem um colaborador usando ChatGPT com a planilha de precificação, os contratos de clientes ou o banco de dados de fornecedores está expondo ativos que, para ela, representam uma fatia muito maior do valor total do negócio do que para uma Samsung.

Existe uma dinâmica silenciosa que emerge em todas as empresas que adotam IA sem estrutura: em poucos meses, um ou dois colaboradores se tornam a referência interna para o uso das ferramentas. São eles que sabem qual prompt funciona para gerar a proposta comercial, como configurar o agente que faz a triagem de e-mails, como montar o fluxo que automatiza o relatório semanal.

Esse conhecimento, na esmagadora maioria das PMEs, vive na cabeça dessas pessoas — não em documentação, não em processos formalizados, não em sistemas que outros conseguem operar. Quando esse colaborador sai da empresa — e segundo pesquisa da SHRM de 2023, 72% das empresas têm pelo menos um funcionário cuja saída impactaria significativamente as operações — o que vai embora não é só o talento. É o processo inteiro.

A dependência crítica de pessoas-chave não é um problema novo em empresas. O que a IA sem governança faz é amplificar esse risco de uma forma específica: ela cria dependências que são invisíveis para a liderança, porque os processos estão em ferramentas pessoais, em abas de navegador que ninguém mais sabe abrir, em prompts que nunca foram documentados como ativos da empresa.

O custo de substituição de um colaborador já é alto na estrutura de mercado brasileira. Segundo estimativas do consultor Josh Bersin, referência global em gestão de talentos, substituir um único colaborador custa entre 1,5 e 2 vezes o salário anual daquela pessoa — incluindo recrutamento, onboarding, curva de aprendizado e perda de produtividade da equipe no período de transição. Quando a saída também derruba um conjunto de processos que dependiam exclusivamente daquele colaborador, o custo real é ainda maior e muito mais difícil de quantificar.

Pesquisa da Panopto com empresas globais encontrou que colaboradores em ambientes de alta rotatividade têm 65% mais probabilidade de dizer que é "muito difícil" obter as informações necessárias para fazer o trabalho adequadamente — um ambiente que gera erro, retrabalho e nova rotatividade em ciclo.

Fora do risco de segurança e de continuidade por turnover, existe uma terceira categoria de custo que ainda não está nos demonstrativos de resultado da maioria das PMEs, mas que vai aparecer — tipicamente no segundo ou terceiro ano de adoção de IA sem estrutura de qualidade.

Uma análise da GitClear de 211 milhões de linhas de código alteradas entre 2020 e 2024 documentou o padrão com precisão: o índice de "code churn" — código descartado menos de duas semanas após ser escrito — saltou de 5,5% para 7,9% com o aumento de IA na geração de código. O volume de refatoração caiu de 25% para menos de 10% no mesmo período. Mais código saindo, menos qualidade por linha, menos revisão estrutural.

O resultado operacional desse padrão está começando a se manifestar em 2026: dados da Codebridge indicam que código gerado por IA sem governança de qualidade eleva os custos de manutenção para quatro vezes o nível tradicional ao longo do segundo ano, à medida que a dívida técnica acumula. Os primeiros meses mostram ganho de velocidade. O segundo ano mostra a conta da velocidade sem critério.

Segundo pesquisa da Faros AI citada anteriormente nesta série, sob alta adoção de IA agêntica em código, o "code churn" chegou a aumentar mais de 800% em alguns times. O Gartner projeta que 75% das organizações terão nível de dívida técnica moderado a alto em 2026 — diretamente ligado à expansão do uso de IA sem revisão adequada.

A professora do MIT Armando Solar-Lezama resumiu o fenômeno com uma metáfora precisa: IA de código é como um "cartão de crédito novo que permite acumular dívida técnica de formas que nunca foram possíveis antes."

Esse risco não é exclusivo de código. O mesmo padrão se aplica a qualquer processo onde IA está sendo usada sem critério de revisão: propostas comerciais geradas em massa sem checagem de adequação ao cliente, relatórios financeiros automatizados sem validação do dado de entrada, respostas de atendimento enviadas sem supervisão humana. A velocidade de produção sobe. A taxa de erro sobe junto. E a segunda conta — o retrabalho, a correção, o litígio — chega com atraso suficiente para que a causa não seja óbvia.

Há uma quarta dimensão de risco que ainda é subdiagnosticada, mas que a Information Week e analistas da Omdia estão sinalizando com crescente urgência: o fornecedor de IA como ponto único de falha.

Empresas que construíram fluxos operacionais críticos sobre uma única plataforma de IA — seja ChatGPT, Claude, Gemini, ou qualquer outra — geralmente não têm plano de continuidade para o dia em que esse modelo for descontinuado, reprecificado ou adquirido. Mike Leone, analista da Omdia, descreveu o padrão em entrevista à Information Week: "Eu converso com empresas que têm planos de recuperação de desastre para cada camada da sua infraestrutura, mas quase nenhuma delas pensou no que acontece se o modelo de IA que roda o produto delas desaparecer amanhã."

Para PMEs, o risco de reprecificação é o mais imediato. Empresas que construíram processos assumindo um determinado custo de acesso à IA podem descobrir que esses processos se tornam economicamente inviáveis se o fornecedor ajusta o modelo de precificação — algo que já aconteceu e tende a acontecer mais, dado que os próprios fornecedores estão recalibrando a relação entre custo de inferência e preço de acesso.

O segundo risco de lock-in é mais sutil: quando toda a operação de um processo foi otimizada para o comportamento específico de um modelo — seus pontos fortes, suas limitações, seus padrões de resposta — a migração para outro modelo não é trivial. Os prompts precisam ser reescritos, os workflows revisados, os outputs calibrados de novo. Sem documentação e governança do uso, isso se transforma em um projeto de reestruturação inteiro.

Um equívoco frequente é entender governança de IA como equivalente a restrição de IA. As organizações que tentaram a abordagem de banimento puro descobriram rapidamente que ela não funciona: pesquisas mostram que quase metade dos colaboradores continuaria usando contas pessoais de IA mesmo após um banimento formal. Proibição sem alternativa não elimina o Shadow AI — ela o empurra para mais fundo, retirando qualquer visibilidade que a empresa ainda tinha.

A abordagem que os dados mostram funcionar é diferente. Quando empresas disponibilizam ferramentas de IA aprovadas com controles adequados, o uso não autorizado cai 89%, segundo dados da Healthcare Brew de 2026. O problema não é que as pessoas usam IA — é que usam sem estrutura porque nenhuma estrutura foi oferecida.

Governança funcional de IA para uma PME precisa ter, no mínimo, quatro componentes:

Classificação de dados e política de uso. Quais categorias de dados podem entrar em quais ferramentas. Dados de clientes, contratos, código proprietário, estratégia comercial e informações financeiras precisam de classificação explícita — e a regra precisa ser conhecida antes do incidente, não depois. A ausência dessa política é o que transformou o incidente da Samsung de um equívoco operacional em um problema de propriedade intelectual irreversível.

Inventário de ferramentas e processos. A empresa precisa saber quais ferramentas de IA estão em uso, por quem, para quais processos, e com quais dados. Sem esse mapa, não existe possibilidade de auditoria, de substituição de fornecedor, de onboarding de novo colaborador, ou de avaliação de risco. O inventário não precisa ser um sistema complexo — precisa ser real e atualizado.

Documentação de prompts e workflows como ativos da empresa. Qualquer prompt recorrente, qualquer workflow automatizado e qualquer processo que depende de IA para funcionar precisa ser documentado e versionado como ativo operacional — não como conhecimento individual de quem o criou. Isso é a diferença entre um processo que sobrevive ao turnover e um processo que desaparece quando a pessoa que o construiu sai.

Ponto de revisão humana definido. Todo output de IA que gera uma ação real — uma proposta enviada, um documento assinado, um dado registrado, um pedido processado, uma comunicação publicada — precisa ter um ponto de checagem humana explícito e documentado antes de sair para o mundo. Não porque IA erra sempre, mas porque quando ela erra em escala, sem revisão, o custo de correção é muito maior do que o custo da revisão que não aconteceu.

Há uma forma de vender governança de IA para a liderança de uma PME que vai além do argumento de risco — e que, paradoxalmente, usa o próprio argumento de velocidade que costuma ser usado para adiá-la.

Empresas com governança de IA bem estruturada escalam o uso de IA de forma mais rápida do que aquelas sem estrutura — porque podem onboarding de novos colaboradores com processos documentados, porque podem avaliar quais ferramentas estão gerando retorno e quais estão gerando custo, e porque podem expandir o uso a novas áreas sem o risco de replicar os problemas que já ocorreram em outras.

O McKinsey State of AI 2025 documentou isso: as organizações classificadas como "AI high performers" — aquelas com maior impacto real no EBIT — são 3,6 vezes mais propensas a redesenhar fundamentalmente os fluxos de trabalho ao implantar IA. Redesenho de workflow pressupõe documentação, pressupõe responsável, pressupõe critério. É, por definição, governança.

Governança de IA não é o freio da inovação — é a estrutura que permite que a inovação se torne operação. Sem ela, o que uma PME tem é um conjunto de experimentos individuais que funcionam enquanto as pessoas que os criaram estão na empresa, e que somem quando essas pessoas vão embora.

A pergunta que toda liderança de PME deveria responder hoje não é "temos IA?". É "se nosso melhor usuário de IA sair amanhã, o que quebra na nossa operação?" Se a resposta for longa, o risco de continuidade já está instalado. A governança não é o que vai criar esse risco — é o que vai, finalmente, torná-lo visível e gerenciável.