Scovai Scovai
AI & Operations 2026-06-19 1 min read

Os 11% Preparados, os 54 Incidentes: o novo estudo da IBM sobre IA agêntica diz que o controle-by-design supera a velocidade 16 a 1 — e as operações mid-market escalam agentes sem um piso de governança

DSL

Dr. Sarah Liu

Os 11% Preparados, os 54 Incidentes: o novo estudo da IBM sobre IA agêntica diz que o controle-by-design supera a velocidade 16 a 1 — e as operações mid-market escalam agentes sem um piso de governança

Apenas 11% dos executivos de tecnologia se sentem plenamente preparados para a escala de implantação de agentes de IA que esperam para este ano, e a organização média da amostra mais recente da IBM absorveu 54 incidentes de agentes nos últimos doze meses — eventos não intencionais ou prejudiciais que exigiram a intervenção corretiva de uma pessoa (IBM Institute for Business Value, 2026). Esses números vêm de uma pesquisa global com 2.000 CIOs e CTOs — pessoas que dirigem empresas com equipes de segurança, funções de compliance e uma governança de TI que você não tem. Se 11% de preparo é o teto em empresas construídas para absorver tudo isso, pergunte-se como é o piso em uma operação de 200 FTE que adiciona agentes a finanças, suporte e agendamento neste trimestre, sem nada dessa estrutura.

É disso que trata este artigo. Não de se você deve implantar agentes — você vai, e o caso de produtividade é real — mas de se você está construindo a governança da IA agêntica necessária para sobreviver aos que implanta. Os dados da IBM contêm uma constatação que redefine toda a decisão: controle não é o freio sobre a velocidade dos agentes. É o motor.

A lacuna de controle é um problema mid-market vestido de enterprise

A IBM nomeia a tensão central com precisão: a responsabilidade está superando o controle. Dois terços dos executivos de tecnologia pesquisados dizem ser responsabilizados por sistemas de IA que não controlam plenamente, e 77% admitem que a adoção de IA já superou as capacidades de governança da sua organização (IBM Institute for Business Value, 2026). 70% afirmam que equipes de toda a empresa implantam tecnologia mais rápido do que a TI consegue rastrear — shadow deployment, agentes acionados num departamento e descobertos depois.

Lido como operador mid-market, a tradução é desconfortável. Numa enterprise, "a TI não consegue rastrear" significa que uma empresa de 5.000 pessoas tem lacunas. Numa empresa de 200 FTE, muitas vezes não existe um "a TI não consegue rastrear" central, porque não há uma TI central rastreando. O agente que seu líder de suporte conectou ao helpdesk num fim de semana não está no mapa de ninguém. A lacuna de controle que a IBM mede na enterprise é, estruturalmente, maior para você — porque a enterprise ao menos sabe que a lacuna existe e tem um CISO cujo trabalho é fechá-la.

Isso importa agora porque os agentes não são teóricos. A Gartner projeta que 40% das aplicações enterprise terão agentes de IA específicos para tarefas até o fim de 2026, ante menos de 5% no ano anterior (Gartner, 2025). As ferramentas que você já paga estão injetando agentes no seu stack, tenha você um plano de governança para eles ou não.

Quanto os 54 incidentes realmente custam

Um "incidente" soa inofensivo até você olhar a distribuição por severidade. Dos 54 incidentes de agentes registrados em média, 17% foram de alta severidade — eventos que levaram mais de quatro horas para conter. Entre esses casos graves, 37% envolveram exposição de dados ou uma violação de segurança, 33% foram falhas em cascata dos sistemas e 17% violações de compliance (IBM Institute for Business Value, 2026). Isso não é "o chatbot deu uma resposta estranha". É um vazamento de dados de clientes, um processo a jusante que quebrou porque um agente o alimentou com saída errada, uma exposição regulatória que aparece na auditoria.

Escale isso honestamente ao seu ambiente. Você não absorverá 54 — você é menor. Mas também não absorverá os de alta severidade como uma enterprise. Um incidente de exposição de dados de quatro horas numa empresa com contrato de resposta a brechas e equipe de comunicação é um evento contido. O mesmo incidente numa empresa de 200 FTE é o líder de operações, o fundador e um advogado externo numa chamada, cancelando todo o resto por uma semana. A contagem de incidentes escala com o seu tamanho; o custo por incidente não escala para baixo com ele.

A Deloitte enuncia a versão macro sem rodeios: a IA agêntica está escalando mais rápido do que os guardrails destinados a governá-la (Deloitte Insights, 2026). A distância entre velocidade de implantação e maturidade de controle não é uma esquisitice mid-market. É a condição que define este ciclo tecnológico. O problema específico do mid-market é que ele está se lançando nessa distância com a menor margem de erro.

Controle é a precondição da velocidade, não um imposto sobre ela

Eis a constatação que deveria mudar como você sequencia o trabalho. O instinto — o meu também, antes de ler os dados — é que a governança o atrasa: cada controle adicionado é um checkpoint, e checkpoints custam velocidade. Os números da IBM invertem completamente essa intuição.

As organizações que embutem o controle diretamente nos seus sistemas de agentes, em vez de governá-los manualmente depois do fato, implantam 16 vezes mais agentes de IA, registram 25% menos incidentes e apresentam margens operacionais 18% maiores do que as organizações que governam à mão (IBM Institute for Business Value, 2026). Elas também gastam cerca de quatro vezes menos do seu orçamento de IA para isso. Dezesseis a um em volume de implantação não é uma diferença de arredondamento. É a distância entre organizações que confiam o suficiente nos seus agentes para deixá-los proliferar e organizações obrigadas a vigiar cada um porque nunca construíram a instrumentação para desviar o olhar.

O mecanismo é intuitivo uma vez visto. Governança manual é uma pessoa conferindo o trabalho de um agente. Essa pessoa é o gargalo — ela limita quantos agentes você pode rodar ao número que um humano consegue supervisionar. Controle-by-design significa que a observabilidade, a titularidade e o kill-switch estão embutidos no agente na implantação, de modo que o sistema se supervisiona e só escala as exceções. Você não está trocando velocidade por segurança. Você está comprando a velocidade com a segurança, porque é a segurança que permite escalar além do limite de atenção de um único humano nervoso.

Por isso "vamos adicionar governança quando os agentes provarem seu valor" está exatamente ao contrário. As organizações que implantam 16 vezes mais agentes não ganharam o direito de escalar indo rápido primeiro e adicionando controle depois. Elas escalaram porque o controle estava lá desde o primeiro agente.

A contra-objeção: "governança é overhead de enterprise que não podemos bancar"

A objeção mais forte de um operador experiente é orçamentária, e merece resposta direta. Controle-by-design soa como um programa enterprise — uma plataforma de governança, um comitê de risco, uma contratação de compliance. Somos 200 pessoas. Não conseguimos montar uma função de controle na escala da IBM, e fingir que conseguimos só significa não implantar nada enquanto os concorrentes entregam.

Justo. E os dados em parte concordam: as organizações que vencem aqui são, de forma desproporcional, as de forte disciplina financeira, que implantam 2,4 vezes mais agentes sem orçamento maior e têm três vezes mais probabilidade de se sentirem preparadas (IBM Institute for Business Value, 2026). Isso poderia ser lido como "você precisa de uma maturidade que não tem". Mas veja o que disciplina realmente significa nos dados — não é um orçamento maior, é o mesmo orçamento gasto numa ordem diferente. Controle-by-design custa quatro vezes menos do que aparafusar governança depois. O caminho caro é o que a objeção supõe barato: implantar rápido, sem governança, e depois pagar para conter os 54 incidentes e instalar os controles sob pressão. O piso de governança não é overhead de enterprise. São as três ou quatro decisões de design que você toma sobre cada agente antes de implantá-lo, e custam uma conversa, não um departamento.

O piso de governança: instrumente o próximo agente, não o último incidente

A correção é estreita e inteiramente sob seu controle neste trimestre. Você não precisa de uma plataforma de governança. Precisa de um piso — um padrão mínimo que todo novo agente cumpre antes de tocar produção. Três coisas, instaláveis no próximo agente que você implantar.

Primeiro, observabilidade antes de autonomia. Nenhum agente vai ao ar até você poder ver o que ele fez — um log de suas ações, entradas e saídas que um humano possa revisar depois sem reconstruí-lo de memória. Se você não consegue responder "o que esse agente fez ontem?" em menos de cinco minutos, o agente não está pronto. É o único controle que transforma um incidente grave silencioso num detectado.

Segundo, um dono nomeado por agente. Cada agente tem uma pessoa responsável pelo seu comportamento — não um comitê, um nome. Toda a lacuna de controle da IBM é a distância entre responsabilidade e controle; você a fecha na sua escala garantindo que cada agente tenha alguém cujo trabalho é controlá-lo. Os shadow deployments morrem aqui, porque um agente sem dono não pode rodar.

Terceiro, um raio de ação definido e um kill switch. Antes da implantação, você decide o que o agente pode tocar e como o para. Um agente que pode ler a agenda é um risco diferente de um que pode enviar e-mails a clientes ou movimentar dinheiro; restrinja-o ao mínimo e garanta que uma pessoa possa colocá-lo offline em segundos sem um ticket de engenharia. É isso que impede que o erro de um único agente se torne a falha em cascata que representa 33% dos incidentes graves.

Nenhuma dessas três coisas exige pessoal que você não tem. Elas exigem decidir, antes de implantar, que o agente ganha sua autonomia sendo observável, com dono e delimitado. Essa decisão é o piso de governança, e é a diferença entre escalar agentes e acumular incidentes.

A história agregada dos dados da IBM 2026 é que os agentes chegam mais rápido que os controles, e as organizações que vencem não são as que implantam mais rápido — são aquelas cuja velocidade é construída sobre controle em vez de comprada à sua custa. A história subjacente, para um líder de operações que adiciona agentes neste trimestre, é uma única decisão de sequência: se o próximo agente do seu plano nasce com observabilidade, um dono e um kill switch embutidos, ou nasce nu e os reconquista no modo difícil depois que o primeiro incidente força a conversa. Construa o piso no próximo agente. A vantagem de 16 a 1 não vai para quem se move primeiro — vai para quem se move primeiro com o controle já dentro da máquina.

Ready to go beyond the CV?

Scovai's AI-powered Talent Passport reveals what resumes can't: personality, potential, and true job fit.