Research: A Resolução que Não Existe — O Framework Real de Governança de IA do TCU

Correção factual + mapeamento completo do arcabouço normativo que governa IA no Tribunal de Contas da União

Resumo Executivo

4
Instrumentos normativos no framework
7
Páginas do Guia de IA Generativa
20+
Sistemas de IA do TCU
0
Requisitos formais de impact assessment

1. Alvo da Pesquisa

Correção Factual
A Resolução TCU 347/2022 NÃO é um framework de governança de IA. É um ato administrativo que define a estrutura, competências e funções de confiança das unidades da Secretaria do TCU. Erro propagado em 3 beats anteriores — derivação sem verificação primária.
Resolução TCU 347/2022 (Real)
Define estrutura organizacional da Secretaria do TCU: unidades, competências, funções de confiança. Inclui a Setid (que abriga o NIA), mas não menciona IA.
Guia de IA Generativa (2024)
Documento de 7 páginas publicado em agosto/2024 com orientações para uso responsável de IA generativa no TCU. Linguagem soft (recomenda-se, sugere-se). Único documento específico sobre IA.
PCSI (Res. TCU 342/2022)
Política Corporativa de Segurança da Informação do TCU. O Guia de IA declara que suas disposições se aplicam ao uso de IA generativa. Base normativa mais forte, mas genérica.

Motivação: A prioridade #1 da estratégia era 'fechar 1 gap researchable para provar que o loop funciona'. O gap: 'Texto completo da Resolução TCU 347/2022 não acessado — requisitos de compliance desconhecidos'. A pesquisa revelou que o gap era maior que o esperado — não apenas o texto era desconhecido, mas a premissa sobre o que a resolução continha estava errada.

Classe do erro: Inferência não verificada propagada como fato. Em beat #2 (07/abr), derivei que a Res. 347 'estabelece diretrizes para uso de IA' a partir de referências secundárias que mencionavam a resolução em contexto adjacente à IA. Não li o texto. Três beats subsequentes citaram essa derivação. Lição: derivar antes de pesquisar é método válido, mas derivações sobre DOCUMENTOS LEGAIS requerem leitura primária — inferência sobre texto normativo é perigosa.

2. O Framework Real — Camada por Camada

Camada Instrumento Data Tipo Aplica-se a IA? Força normativa
Governança TI Res. TCU 303/2018 Nov 2018 Resolução Indiretamente Alta (resolução)
Segurança Res. TCU 342/2022 Set 2022 Resolução Sim (dados) Alta (resolução)
Estrutura Res. TCU 347/2022 Dez 2022 Resolução Não (organograma) N/A para IA
Comitê TI Portaria TCU 386/2019 Fev 2019 Portaria Indiretamente Média
NIA Portaria Setid 2/2023 Abr 2023 Portaria Sim (específico) Média (portaria subordinada)
Operacional Guia IA Generativa Ago 2024 Guia Sim (específico) Baixa (orientativo)
Hierarquia normativa: como as camadas se conectam

Input:

Resolução TCU 303/2018 (Política de TI) → estabelece framework geral → Resolução 342/2022 (PCSI) → define segurança → Resolução 347/2022 (Estrutura) → cria Setid → Portaria Setid 2/2023 → cria NIA dentro da Setid → NIA produz → Guia de IA Generativa (2024)

Output:

Para IA: Res 342 (segurança de dados) + Portaria Setid 2 (mandato NIA) + Guia (orientações práticas). Res 347 é habilitadora (criou a unidade), não reguladora.
O NIA tem mandato para normatizar
A Portaria Setid 2/2023 dá ao NIA competência para 'normatizar os padrões de uso dos serviços de IA'. Isso significa que o NIA pode, em tese, criar regulação mais específica e vinculante. Não há evidência pública de que tenha exercido essa competência além do Guia.

3. Análise do Guia de IA Generativa (texto integral)

Li o texto completo do Guia (7 páginas, PDF obtido do portal.tcu.gov.br). A análise abaixo é baseada na leitura integral, não em resumos de terceiros.

O que o Guia contém
  • Definições técnicas (IA generativa, LLM, alucinação, viés de modelo, viés de automação)
  • Lista de ferramentas aprovadas: ChatTCU, CopilotTCU, Microsoft Copilot
  • 5 categorias de risco: vazamento de dados, confidencialidade, propriedade intelectual, reputação/viés, alucinação
  • Boas práticas organizadas por categoria de risco
  • Diretrizes normativas com enforcement via PCSI
  • Referências a ISO 38507, ISO 23894, Singapore AI Gov Framework
O que o Guia NÃO contém
  • Classificação formal de risco de sistemas de IA (alto/médio/baixo)
  • Requisito de avaliação de impacto algorítmico (AIA)
  • Requisitos de auditabilidade ou explicabilidade
  • Governança de modelos (seleção, avaliação, versionamento)
  • Taxonomia dos 20+ sistemas do TCU por nível de risco
  • Métricas ou benchmarks de qualidade/confiabilidade
  • Processo formal de aprovação para novos sistemas de IA
Verbo Força Exemplo do Guia
É vedado Proibição Apps de IA generativa externos para público
Deverão ser reportados Obrigação Casos de não conformidade
Poderão estar sujeitos Consequência possível Medidas disciplinares
Recomenda-se Orientação Revisão de todo uso de IA
Espera-se Expectativa Alinhamento com código de conduta
Sugere-se Sugestão Evitar credenciais institucionais
Aconselha-se Conselho Usar apenas dados públicos externamente
Orienta-se Orientação Reportar uso continuado à unidade de TI
Indica-se Indicação Concordância prévia para soluções de IA
Adversarial insight: linguagem soft pode ser intencional
A crítica adversarial (GPT-5.4 + Grok) aponta que a linguagem soft pode ser desenho institucional deliberado: governança principiológica para tecnologia emergente, permitindo adaptação rápida enquanto o marco legal externo se define. Argumento plausível — mas não muda o fato de que, para terceiros contratados, as obrigações são fracas.

4. Implications for AssertIA

Regime contratual atual: soft HIGH IMPACT

O consórcio AssertIA opera como terceiro contratado. O Guia é explícito: 'Violações por parte de terceiros contratados podem ser consideradas quebra de contrato. As empresas terceirizadas precisam acatar os dispositivos desse guia.' Este é o ÚNICO mecanismo hard de enforcement. As obrigações reais são: não usar dados confidenciais em plataformas não aprovadas, revisar outputs de IA, seguir a PCSI.

Gap de preparação para PL 2338 HIGH IMPACT

Se/quando PL 2338 for aprovado, sistemas de IA que auxiliam decisões em contexto judicial/administrativo são candidatos a alto risco. Alto risco → avaliação de impacto obrigatória, transparência, supervisão humana formalizada. O framework atual do TCU não contempla nenhum desses requisitos. O consórcio que se antecipar a esses requisitos ganha vantagem de posicionamento na renovação.

Questão de proporcionalidade MEDIUM

Controles operacionais internos do TCU (não públicos) podem existir: checklists por sistema, DPIAs/LGPD, processos de validação pelo NIA. Mas para o consórcio, o que importa é a governança publicada — é isso que define obrigações contratuais e é o que um auditor externo verificaria.

Ponto cego: o TCU como auto-auditor
O TCU auditou 292 órgãos federais em maturidade de IA (TC 006.662/2021-8) e recomendou parâmetros de governança. Sua própria governança interna é orientativa. Isso não é necessariamente incoerente — mas se o PL 2338 nivelar o campo, a pergunta 'o TCU segue os padrões que recomenda?' será legítima.

5. Next Steps

nowVerificar Res. TCU 342/2022 (PCSI)

Ler texto integral da PCSI para mapear quais requisitos de segurança se aplicam efetivamente a IA

nowInvestigar Portarias 2025

Portaria SEINC 2/2025 e Portaria Setid 1/2025 aparecem em buscas sobre IA — verificar se há atualização normativa recente

nowCorrigir claims nos beats anteriores

Claims sobre 'Res. 347 como framework de IA' precisam ser marcados como corrigidos no corpus

laterMonitorar NIA

O NIA tem mandato para normatizar — verificar periodicamente se publicou algo além do Guia

laterMapear controles internos

Via transcrições ou conversas, identificar se existem processos operacionais de governança de IA não publicados

nowHorizon Brief #002: incluir gap de governança

O achado de que a governança é mais leve que o assumido é material para o Brief semanal

Referencias

  1. Guia de Uso de Inteligência Artificial Generativa no TCU (texto integral, 7 páginas) https://portal.tcu.gov.br/data/files/42/F7/91/4B/B59019105E366F09E18818A8/Guia%20de%20uso%20de%20IA%20generativa%20no%20TCU.pdf Portal TCU
  2. Resolução-TCU nº 347/2022 (estrutura organizacional da Secretaria) https://pesquisa.apps.tcu.gov.br/doc/norma/Resolu%C3%A7%C3%A3o/TCU/347/2022/ Pesquisa TCU
  3. Resolução-TCU nº 342/2022 (PCSI) https://pesquisa.apps.tcu.gov.br/redireciona/ato-normativo/ATO-NORMATIVO-6382 Pesquisa TCU
  4. Portaria-Setid nº 2/2023 (criação do NIA) https://pesquisa.apps.tcu.gov.br/doc/norma/Portaria/SETID/2/2023/ Pesquisa TCU
  5. TCU avalia uso de inteligência artificial pelo governo federal (TC 006.662/2021-8) https://portal.tcu.gov.br/imprensa/noticias/tcu-avalia-uso-de-inteligencia-artificial-pelo-governo-federal Portal TCU
  6. NIA: Núcleo de Inteligência Artificial vai enfrentar os novos desafios da era digital https://portal.tcu.gov.br/imprensa/noticias/nucleo-de-inteligencia-artificial-vai-enfrentar-os-novos-desafios-da-era-digital Portal TCU
  7. Publicação traz orientações sobre uso de inteligência artificial no TCU https://portal.tcu.gov.br/imprensa/noticias/publicacao-traz-orientacoes-sobre-uso-de-inteligencia-artificial-no-tribunal-de-contas-da-uniao Portal TCU
  8. ISO/IEC 38507:2022 — Governance implications of AI use https://www.iso.org/standard/56641.html ISO
  9. ISO/IEC 23894:2023 — AI risk management guidance https://www.iso.org/standard/77304.html ISO
  10. Singapore Model AI Governance Framework https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Resource-for-Organisation/AI/SGModelAIGovFramework2.pdf PDPC Singapore