O que está acontecendo
AI Owner é a pessoa — não o departamento, não o sistema, não o fornecedor — com responsabilidade formal sobre um sistema de IA específico.
Com autoridade para suspender. Com obrigação de monitorar. Com nome e cargo registrados em documento. Com tempo alocado para exercer essa responsabilidade.
A maioria das empresas não tem AI Owner nomeado. Os modelos "pertencem" à TI coletivamente, ou ao fornecedor, ou ao projeto que foi encerrado há dois anos.
Por que isso é problema do CFO
ISO 42001 exige AI Owner. EU AI Act exige responsável identificável para sistemas de alto risco. Auditoria SOX em sistemas com ML vai perguntar quem responde pelo controle.
Sem nome, não existe controle. Existe esperança de que o sistema funcione. Esperança não é evidência — e o auditor não aceita esperança.
O CFO que assina relatórios de controles internos precisa poder identificar quem responde por cada sistema crítico. IA sem AI Owner é sistema crítico sem responsável identificável.
O que acontece quando isso vai para auditoria
O auditor vai perguntar: quem é o AI Owner desse sistema? O silêncio, ou a resposta "a área de TI", resulta em achado imediato.
Impossível conduzir processo de incidente sem AI Owner. Impossível demonstrar conformidade regulatória sem responsável identificável. Impossível responder perguntas de auditoria sem alguém com autoridade para responder.
Em investigação regulatória, ausência de AI Owner é evidência de ausência de estrutura de governança — o que agrava qualquer outra infração que seja encontrada.
Impacto financeiro estimado
Custo direto da ausência: não é facilmente isolável, mas inclui o custo de qualquer problema que ocorra sem ser detectado por falta de monitoramento, mais o custo de remediação emergencial quando o problema é descoberto.
Custo de remediação: nomeação + treinamento + formalização de AI Owners para todos os sistemas críticos. Estimativa: R$ 50k a R$ 200k dependendo do número de sistemas e da estrutura organizacional.
O que fazer
- Nomear AI Owner para cada sistema crítico esta semana — não esperar próximo ciclo de planejamento
- AI Owner precisa ter: conhecimento suficiente do sistema para monitorar, autoridade real para suspender, tempo efetivamente alocado para a função
- Formalizar em documento simples: nome, sistema sob responsabilidade, escopo de responsabilidades, contato de emergência
- Revisão anual de AI Owners: o responsável ainda está na empresa? Ainda tem capacidade e autoridade? O sistema mudou desde a última nomeação?
- Incluir nomeação de AI Owner como critério de go-live — sem AI Owner definido, sistema não entra em produção
"Controle não é documento. É evidência. AI Owner sem autoridade real para agir não é controle — é cargo honorífico."