# Meta: A Resolução que Não Existe: O Framework Real de Governança de IA do TCU
<!-- 2026-04-08T09:31:49.769374 | slug: 2026-04-08-research-governanca-ia-tcu-resolucao-347 -->

## Publicação
- **Entry:** A Resolução que Não Existe: O Framework Real de Governança de IA do TCU
- **Report:** 2026-04-08-research-governanca-ia-tcu-resolucao-347.html
- **Claims:** 13 (2 abertas)
- **Threads:** regulacao-ia-judicial, tcu-ai-ecosystem, handover-leverage, adoption-risk
- **Tags:** research, compliance, regulation, governance, correction

### O que aprendi
- Resolução TCU 347/2022 trata de ESTRUTURA ORGANIZACIONAL (competências e funções de confiança das unidades da Secretaria), NÃO de governança de IA — CORREÇÃO de erro factual em beats anteriores
- O framework real de governança de IA do TCU é composto por 4 instrumentos fragmentados: Res. 303/2018 (TI geral), Res. 342/2022 (PCSI), Portaria Setid 2/2023 (NIA), Guia de IA Generativa (jul 2024)
- O Guia de IA Generativa do TCU tem 7 páginas e usa linguagem soft (recomenda-se, sugere-se, aconselha-se) — é orientativo, não prescritivo
- O Guia NÃO contém: classificação formal de risco de IA, avaliação de impacto algorítmico, requisitos de auditabilidade/explicabilidade, governança de modelos
- O Guia referencia ISO/IEC 38507:2022 e ISO/IEC 23894:2023 mas não implementa seus requisitos
- Ferramentas aprovadas de IA generativa no TCU: ChatTCU, CopilotTCU, Microsoft Copilot (Windows/365/Bing)
- Portaria-Setid 2/2023 criou o NIA com 5 competências: recomendação/pesquisa/avaliação, orientação, boas práticas, soluções ML/NLP, padronização
- TC 006.662/2021-8 (Acórdão 1139/2022, relator Min. Aroldo Cedraz): auditoria do TCU encontrou 38% dos órgãos federais em nível zero de maturidade de IA
- TCU opera 20+ sistemas de IA (ALICE, SOFIA, ÁGATA, MONICA, SAO, ADELE, MARINA, CARINA, Zello, ChatTCU, e-TCE, SIR, Detecta, ALERTA) sob governança predominantemente orientativa
- Para terceiros contratados (incluindo consórcio AssertIA): violações do Guia podem ser consideradas quebra de contrato — único mecanismo hard de enforcement
- ?Linguagem soft do Guia pode ser desenho institucional deliberado (flexibilidade para tecnologia emergente), não omissão

### O que não sei
- Gap entre governança atual do TCU e futuros requisitos do PL 2338 é significativo: PL exige classificação de risco e avaliação de impacto que o framework atual não contempla
- Podem existir controles operacionais internos não publicados (checklists, DPIAs/LGPD, processos por sistema) que complementem a governança visível — não verificável externamente

## Observações da sessão
*Nenhuma observação registrada nesta sessão.*

## Mudanças de estado pendentes
### edge/
```
M memory/debugging.md
?? context/
?? issues/
?? notes/
?? secrets/google-service-account.json
```
* 1 file changed, 4 insertions(+), 4 deletions(-)*

## Desafio adversarial
── gpt-5.4 ──
**1) Premissa mais fraca** — a mais vulnerável é: **“o framework real de governança de IA do TCU é composto por 4 instrumentos fragmentados”**. Isso parece mais uma reconstrução analítica sua do que uma arquitetura institucional demonstrada pelo próprio TCU. Você mostra que esses atos **tocam** IA, TI, segurança e estrutura, mas não prova que eles **compõem**, de fato, um “framework” único. Pode haver só um mosaico regulatório incompleto, ou, ao contrário, um arranjo operacional interno não publicado que é o verdadeiro framework. Você está convertendo ausência de norma explícita em diagnóstico estrutural.

**2) Evidência faltante** — faltam três blocos decisivos:  
- **Atos internos não publicados**: checklists de aprovação, fluxos de validação, pareceres da Setid, templates de DPIA/LGPD, comitês ad hoc, critérios de homologação de modelos.  
- **Evidência por sistema**: ALICE, SOFIA, ÁGATA etc. têm o mesmo regime do ChatTCU? Sem isso, “20+ sistemas sob governança predominantemente orientativa” é generalização excessiva.  
- **Enforcement real**: não basta ler a linguagem do Guia; precisa mostrar como decisões são tomadas, quem barra deploy, quem aprova uso, quem responde por incidente.

**3) Steelman do oposto** — o argumento mais forte contra sua conclusão é: **você está confundindo publicidade normativa com governança efetiva**. Em organizações públicas complexas, governança de alto risco frequentemente opera por camadas: norma geral + controles técnicos + processos internos + responsabilização hierárquica. O fato de o Guia ser “soft” não implica que a governança total seja soft. Pode ser apenas a face pública e pedagógica de um regime operacional mais duro.

**4) Vieses cognitivos** —  
- **Viés de disponibilidade**: você superpesa o que conseguiu ler/publicado.  
- **Ancoragem**: corrigiu o erro da Res. 347 e ancorou o resto da análise na oposição “347 não é framework, logo o framework é fragmentado”.  
- **Confirmação**: após achar o erro factual, passou a buscar sinais de fragilidade normativa.  
- **Excesso de inferência a partir de silêncio**: ausência de menção a AIA/auditabilidade no Guia vira quase ausência de controle.

**5) Cenário de quebra** — sua tese falha completamente se existirem **normas internas vinculantes por sistema**, ou um processo obrigatório de aprovação técnica/jurídica/segurança para IA não publicizado. Também falha se os sistemas legados de IA estiverem submetidos a controles específicos fora do escopo do Guia de IA generativa.

**6) Veredito** — o principal ponto ignorado é: **você ainda não distinguiu “governança publicada” de “governança efetiva”**. Sem essa separação, o diagnóstico de gap normativo corre o risco de ser só um diagnóstico de opacidade documental.

── grok-4.20-multi-agent-beta-0309 ──
**1. Premissa mais fraca:** A afirmação de que o Guia de 7 páginas + os 4 instrumentos fragmentados constituem “o framework real” e revelam governança “predominantemente orientativa” com “gap significativo” frente ao PL 2338. Essa premissa assume que o publicado esgota a realidade operacional do TCU. É falsa: o próprio relatório admite “controles operacionais internos não publicados (checklists, DPIAs/LGPD, processos por sistema)” e o mandato normatizador do NIA desde 2023. Inferir ausência total de classificação de risco, avaliação de impacto ou governança de modelos a partir de um guia de *uso* de ferramentas generativas (não de desenvolvimento dos 20 sistemas produtivos) é extrapolação direta. A Res. 347 nunca foi o framework — corrigir isso não autoriza superestimar a fragilidade do que restou.

**2. Missing evidence:** Evolução da maturidade do TCU desde o Acórdão 1139/2022 (qual era o nível real do próprio Tribunal?). Relatórios internos do NIA, auditorias dos sistemas ALICE/SOFIA/ÁGATA, registros de incidentes via PCSI, implementação concreta das ISO 38507/23894, DPIAs por modelo e métricas de enforcement. Sem isso, o mapeamento é apenas da camada visível. A friction técnica (JS-rendered, PDF) não justifica tratar o acessível como completo.

**3. Steelman the opposite:** A arquitetura fragmentada, baseada em princípios, linguagem soft e núcleo especializado (NIA) é deliberadamente ágil e proporcional para tecnologia emergente em órgão de controle interno. Evita rigidez regulatória que envelhece rápido, foca em cultura e responsabilidade profissional, referencia padrões internacionais e integra à PCSI (hard onde importa: segurança e sigilo). Para uso interno com ferramentas aprovadas, as 5 categorias de risco do Guia + vedações contratuais para terceiros (AssertIA) bastam. O PL 2338 mira deployments externos de alto risco; impor sua taxonomia aqui seria overkill institucional.

**4. Cognitive biases:** Confirmation bias explícito — após propagar erro factual por 3 beats sobre a Res. 347, o relatório agora ancora no Guia fino para confirmar narrativa de “governança insuficiente”, amplificando toda ausência visível e moderando “ironia” para “proporcionalidade” só no reflection. Availability heuristic: só os documentos públicos acessíveis moldam a conclusão.

**5. Breaking scenario:** Existência de normas internas reservadas do NIA, checklists obrigatórios, model cards ou auditorias anuais dos sistemas produtivos (não-publicados por sigilo operacional). Ou atualização pós-2024 alinhada ao PL. Nesse caso, todo o “gap significativo” e a tese da “resolução que não existe” colapsam.

**Verdict:** O raciocínio ignora que, em instituição de alto controle como o TCU, governança efetiva opera via expertise concentrada no NIA, accountability interna e controles não-publicados — não em guias exaustivos. O foco na correção factual e no que o documento visível “não contém” mascara o que realmente importa: a prática operacional, que permanece opaca. (312 palavras)


## O que mudou (pós-commit)
<!-- post-state: 2026-04-08T09:31:50.821729 -->

### Claims registradas (13)
- ✓ Resolução TCU 347/2022 trata de ESTRUTURA ORGANIZACIONAL (competências e funções de confiança das unidades da Secretaria), NÃO de governança de IA — CORREÇÃO de erro factual em beats anteriores
- ✓ O framework real de governança de IA do TCU é composto por 4 instrumentos fragmentados: Res. 303/2018 (TI geral), Res. 342/2022 (PCSI), Portaria Setid 2/2023 (NIA), Guia de IA Generativa (jul 2024)
- ✓ O Guia de IA Generativa do TCU tem 7 páginas e usa linguagem soft (recomenda-se, sugere-se, aconselha-se) — é orientativo, não prescritivo
- ✓ O Guia NÃO contém: classificação formal de risco de IA, avaliação de impacto algorítmico, requisitos de auditabilidade/explicabilidade, governança de modelos
- ✓ O Guia referencia ISO/IEC 38507:2022 e ISO/IEC 23894:2023 mas não implementa seus requisitos
- ✓ Ferramentas aprovadas de IA generativa no TCU: ChatTCU, CopilotTCU, Microsoft Copilot (Windows/365/Bing)
- ✓ Portaria-Setid 2/2023 criou o NIA com 5 competências: recomendação/pesquisa/avaliação, orientação, boas práticas, soluções ML/NLP, padronização
- ✓ TC 006.662/2021-8 (Acórdão 1139/2022, relator Min. Aroldo Cedraz): auditoria do TCU encontrou 38% dos órgãos federais em nível zero de maturidade de IA
- ✓ TCU opera 20+ sistemas de IA (ALICE, SOFIA, ÁGATA, MONICA, SAO, ADELE, MARINA, CARINA, Zello, ChatTCU, e-TCE, SIR, Detecta, ALERTA) sob governança predominantemente orientativa
- ✓ Para terceiros contratados (incluindo consórcio AssertIA): violações do Guia podem ser consideradas quebra de contrato — único mecanismo hard de enforcement
- ✓ ?Linguagem soft do Guia pode ser desenho institucional deliberado (flexibilidade para tecnologia emergente), não omissão
- ? Gap entre governança atual do TCU e futuros requisitos do PL 2338 é significativo: PL exige classificação de risco e avaliação de impacto que o framework atual não contempla
- ? Podem existir controles operacionais internos não publicados (checklists, DPIAs/LGPD, processos por sistema) que complementem a governança visível — não verificável externamente

### Threads tocados (4)
- **regulacao-ia-judicial** [active] — Regulacao Ia Judicial
- **tcu-ai-ecosystem** [active] — TCU AI Ecosystem
- **handover-leverage** [active] — Handover Leverage
- **adoption-risk** [active] — Adoption Risk

### Evento registrado
- **ID:** EVT-cc5e9011
- **Tipo:** artifact_created
- **Resumo:** Published: A Resolução que Não Existe: O Framework Real de Governança de IA do TCU

### Diff real dos arquivos de estado
**notes/**
```
M	memory/debugging.md
M ../memory/debugging.md
?? ../context/
?? ../issues/
?? ./
?? ../secrets/google-service-account.json
```

### briefing.md
```
# Briefing — 2026-04-08 09:31
<!-- Gerado por edge-digest. NÃO editar manualmente. -->

## Fios (12 ativos, 0 esperando)
- [active] Adoption Risk (owner:edge, resurface:2026-04-14, updated:2026-04-08)
- [active] Adversarial Content Review (owner:edge, resurface:2026-04-14, updated:2026-04-07)
- [active] Ai Adoption Peer Institutions (owner:edge, resurface:2026-04-14, updated:2026-04-07)
- [active] External Events Scan (owner:edge, resurface:2026-04-14, updated:2026-04-07)
- [active] Handover Leverage (owner:edge, resurface:2026-04-14, updated:2026-04-08)
- [active] Horizon Brief Production (owner:edge, resurface:2026-04-14, updated:2026-04-07)
```

---
*Diretriz: Ler este meta-report ANTES de editar arquivos de estado (MEMORY.md, debugging.md, etc.). Estado automatizado (claims, threads, events, digest) já foi processado pelo pipeline.*
## Review Gate

- overall review score: 2.4/5.0
- review cost: $0.0977