Singapore IMDA Model AI Governance Framework: o que o Brasil pode aprender em 2026
Em 2019, Singapura escreveu o manual de governar IA por dentro, antes de qualquer regulador exigir. Em janeiro de 2026 repetiu a aposta e lançou o primeiro framework do mundo pra IA agêntica. Ele governa a coordenação entre humanos e agentes pelo ângulo do risco. Botar preço nela é a frente vizinha, e é onde a leitura econômica começa.
Resumo em 90 segundos
Singapura publicou em 2019 o manual de como uma empresa governa IA por dentro, antes de qualquer regulador exigir. Não é lei: sem multa, sem licença. Atualizou pra IA generativa em 2024 e, em janeiro de 2026, lançou o primeiro framework do mundo dedicado a IA agêntica, agentes que decidem e agem sozinhos. Esse framework governa a coordenação entre humanos e agentes, e entre agentes, pelo ângulo do risco: quem responde, o que o agente pode fazer, como interromper. O que ele não faz, de propósito, é botar preço nessa coordenação. Essa é a leitura que a Ritometrics propõe por cima, e ela cabe em três movimentos que não esperam o PL 2338: botar um nome em cada decisão de IA, apartar a decisão técnica da decisão de capital, e escrever quanto humano entra em cada nível de risco. O que é de Singapura e o que a gente acrescenta, sempre separado, porque é a mistura dos dois que confunde a conversa.
O board te chama e pergunta como a empresa governa IA. A conversa pública te dá três nomes. EU AI Act, em vigor desde agosto de 2024, plenamente aplicável em agosto de 2026. PL 2338, ainda na Câmara. NIST AI Risk Management Framework, a referência técnica americana. Os três falam a mesma língua: risco, categoria, obrigação diante de um regulador. Nenhum responde a pergunta que o board fez, que era outra: como organizar a casa por dentro.
Quem responde é um documento que quase ninguém no Brasil leu. Singapura publicou a primeira versão em janeiro de 2019, revisou em janeiro de 2020, ganhou um capítulo pra IA generativa em maio de 2024, e em janeiro de 2026 ganhou o irmão que interessa a quem opera agente: o primeiro framework de governança de IA agêntica do mundo. Tudo sob o mesmo nome de família, o Model AI Governance Framework, assinado pela IMDA. Nada disso é lei. É soft law: manual que se adota por conta própria, com checklist e exemplo de implementação, sem multa e sem licença.
O que é o Model Framework e por que ele existe
Em 2019, Singapura fez uma aposta que ninguém mais tinha feito. A Europa escrevia regra obrigatória. Os Estados Unidos deixavam o mercado se resolver sozinho. Singapura cavou um caminho no meio: escreveu o manual detalhado, com checklist e exemplo de implementação, e não obrigou ninguém a seguir. A aposta era que empresa madura adota de graça o que lhe rende uma conversa melhor com investidor, parceiro e cliente. Sete anos depois, colou. A maioria das empresas reguladas de lá segue por vontade própria, e OCDE, ISO e Conselho da Europa passaram a citar o texto como referência.
Em janeiro de 2026, em Davos, Singapura repetiu a jogada pra um problema novo: agentes de IA que planejam, decidem e executam sozinhos. O framework de IA agêntica saiu como o primeiro do mundo no assunto, e foi atualizado já em maio, com orientação pra sistemas multi-agente e agentes de terceiros. Mesma filosofia de sete anos antes: chegar na frente do regulador, de graça, e deixar o mercado adotar porque compensa.
| Documento | Origem | Tipo | O que responde | Multa em caso de descumprimento |
|---|---|---|---|---|
| EU AI Act | União Europeia | Hard law | Quais regras seguir pra reduzir risco regulatório | Até €35M ou 7% do faturamento global |
| PL 2338 | Brasil (em tramitação) | Hard law (proposta) | Equivalente brasileiro do EU AI Act | Definida no projeto, ainda em ajuste |
| NIST AI RMF | EUA (NIST) | Voluntário federal | Quais riscos técnicos avaliar em modelo | Sem multa, referência técnica |
| Model AI Governance Framework | Singapore (IMDA + PDPC) | Soft law setorial | Como governar IA por dentro, antes do regulador | Sem multa, referência operacional |
| ISO/IEC 42001 | ISO (internacional) | Norma certificável | Como auditar um sistema de gestão de IA | Sem multa, ganho reputacional |
Não existe a peça única que resolve governança de IA na sua empresa, por mais que o fornecedor da vez prometa que existe. O EU AI Act fecha o risco regulatório europeu. O PL 2338 vai fechar o brasileiro quando sair. O Model Framework fecha a governança por dentro. A ISO 42001 fecha a auditoria do sistema. São buracos distintos, e quem tapa um só e dorme tranquilo acorda com os outros três escancarados.
As quatro dimensões do Model Framework
O documento clássico, o de 2019, se organiza em quatro dimensões, não duas, como às vezes se resume por aí. A primeira, governança interna: quem manda em quê, comitê, papéis, supervisão por dentro. A segunda, nível de envolvimento humano: quanto humano entra em cada decisão aumentada por IA. A terceira, gestão de operações: qualidade de dado, mitigação de viés, validação e robustez do modelo. A quarta, comunicação com stakeholders: o que se conta pro usuário, como se explica a decisão da máquina, por onde ele reclama. A versão de 2024 pra IA generativa expandiu isso pra nove frentes: accountability, dados, proveniência de conteúdo, testes, segurança, entre outras. E a de 2026 pra IA agêntica reorganizou tudo em torno de quatro pilares próprios.
| Dimensão | Foco | Saída esperada | Quem é dono típico |
|---|---|---|---|
| Governança interna | Estrutura organizacional, papéis e supervisão por dentro | Carta de governança escrita, com um nome em cada cadeira | Chief of Staff, COO ou comitê executivo |
| Nível de envolvimento humano | Quanto humano entra em cada tipo de decisão aumentada por IA | Matriz de quem decide o quê, por tipo de decisão | COO, ouvindo o CTO |
| Gestão de operações | Qualidade de dado, mitigação de viés, validação e robustez do modelo | Rotina de teste, monitoramento e reprodutibilidade | CTO + time de Dados |
| Comunicação com stakeholders | O que se conta e como se explica a decisão de IA pro usuário | Regra de transparência e canal de feedback | Produto + Jurídico |
O framework de IA agêntica de 2026 parte de um fato que o de 2019 não precisava enfrentar: um agente não só sugere, ele age. Chama API, altera sistema, aciona outro agente. Por isso o texto se apoia em quatro pilares, todos voltados a conter o que a autonomia introduz de novo.
| Pilar | O que exige na prática |
|---|---|
| Avaliar e limitar o risco na largada | Análise por caso de uso, conforme o nível de autonomia e o acesso a dado do agente |
| Responsabilidade humana de verdade | Dono nomeado entre quem desenvolve, implanta, opera e usa, com poder de interromper ou revisar a ação |
| Controles técnicos e processo | Permissão mínima, guardrail de ferramenta, deploy gradual, monitoramento em tempo real e log |
| Responsabilidade do usuário final | Transparência sobre o que o agente faz, canal de escalação e gente treinada pra supervisionar |
Repare no que as quatro dimensões e os quatro pilares têm em comum: todos governam a coordenação pelo ângulo do risco. Quem responde, o que o agente pode tocar, quando o humano entra, como se interrompe. É o ângulo certo pra evitar estrago. Só que tem uma frente vizinha que nenhuma versão do framework toca, de propósito, porque não é o trabalho dele: quanto essa coordenação custa em moeda. Cada humano sênior que ratifica o que a máquina produziu tem um preço em folha. Cada rodada de revisão, cada handoff entre pessoa e agente, cada agente que chama outro agente consome tempo caro. O framework diz "ponha um responsável e limite o estrago". A leitura econômica pergunta "e quanto isso custa por mês?". Daqui pra frente, o que for do framework vem marcado como tal; o que for leitura nossa, também.
Movimento 1: botar um dono nomeado em cada decisão de IA
O primeiro movimento aterrissa direto: toda decisão de IA precisa de um nome colado nela. Isso o framework já pede: a dimensão de governança interna fala em papéis e supervisão, e o pilar de responsabilidade do framework agêntico exige deixar claro quem responde entre quem desenvolve, implanta, opera e usa o agente. O que a Ritometrics acrescenta é uma forma prática de fatiar essa responsabilidade pra não sobrar canto órfão. Quatro categorias: decisão sobre o modelo (qual escolher, como treinar, quando ajustar), decisão sobre o dado (de onde vem, se presta, como anonimizar), decisão sobre o output (validar, calibrar, ratificar) e decisão de capital (quanto gastar, quanta gente, qual fornecedor). Essa quarta é recorte nosso, de propósito: é a que some da conta.
É aqui que a empresa brasileira tropeça em 2026. A IA entra com a decisão espalhada e ninguém de tutor. O CTO escolhe o modelo, o time de dados puxa o dado, o líder de área valida o output, e a decisão de capital fica órfã, sem ninguém que assuma a conta. O resultado é conhecido: o orçamento de IA incha sem dono, o ROI desce a chute de corredor, e o board cobra uma explicação que não tem de quem cobrar. Comitê de IA não tapa esse buraco, porque comitê é cerimônia mensal sobre risco e modelo, não o dono que responde pela decisão que se repete toda semana.
| Categoria de decisão | O que decide | Quem deveria ser dono | Como costuma estar no Brasil (2026) |
|---|---|---|---|
| Modelo | Qual escolher, como treinar, quando ajustar, quando aposentar | CTO ou líder de IA | CTO, e essa é a única clara |
| Dado | De onde vem, se presta, como anonimizar, quanto reter | DPO + time de Dados | Time de Dados sozinho, com o DPO ausente em 2 de cada 3 casos |
| Output | Validar, calibrar, ratificar a saída do modelo | Líder da área de negócio | Líder de área no improviso, sem critério escrito |
| Capital | Quanto gastar, qual o ROI, qual fornecedor, quanta gente | CFO, ouvindo o COO | Terra de ninguém em 4 de cada 5 casos |
A quarta linha é a que mais pesa em folha na operação de verdade, e é justamente a que nem o EU AI Act nem o PL 2338 alcançam. O compliance te diz se o modelo é de alto risco. Não te diz quanto custa rodar o modelo somado ao tempo sênior gasto coordenando o uso dele, que é onde o dinheiro escorre. O framework de Singapura não nomeia esse dono. Ele fala em responsabilidade clara, e para aí. A Ritometrics vai um passo além e diz quem tem o vocabulário pra assumir a conta: o CFO.
Movimento 2: apartar a decisão técnica da decisão de capital
O segundo movimento é um corte, e esse é inteiramente leitura nossa. O framework não fala em orçamento nem em CFO. Decidir o técnico (qual modelo, qual dado, qual prompt) obedece a um critério; decidir o capital (qual orçamento de inferência, qual ROI, qual contrato de fornecedor) obedece a outro. Empilhar os dois numa mesa só é a raiz de um erro que se repete pelo mid-market brasileiro. A empresa que aprova fornecedor de IA olhando só o técnico, o modelo mais potente, ignora o ROI até a fatura explodir. A que aprova olhando só o bolso, o mais barato, prende-se a um modelo capenga e deixa eficiência na mesa. Botar cada decisão na sua mesa não dobra a papelada. Corta um erro de alocação de capital que sai muito mais caro que a reunião extra.
| O que está em jogo | Decisão técnica | Decisão de capital |
|---|---|---|
| Critério que manda | Desempenho, segurança, precisão | ROI, payback, custo total carregado |
| Métrica de cabeceira | Acurácia, latência, robustez | R$ por decisão atravessada, payback em meses |
| Dono da cadeira | CTO + líder de IA | CFO + COO |
| Ritmo típico | Mensal a trimestral | Trimestral a anual |
| Quem cobra de fora | Fornecedor técnico, auditoria do modelo | Board, auditor financeiro, investidor |
A leitura econômica em reais só fecha quando essas duas linhas ficam formalmente apartadas. O CFO que assume a coluna da direita ganha uma autonomia de narrativa que o comitê único de IA nunca entrega. O CTO segue dono da coluna da esquerda, protegido pra decidir no técnico sem ter que defender ROI a cada nova versão. No mid-market brasileiro, essa separação cabe em 60 dias de redesenho de comitê. CFO assume a frente econômica.
Movimento 3: escrever a revisão humana calibrada pelo risco
O terceiro movimento é o que mais mexe na folha, e é o mais ancorado no próprio framework. A segunda dimensão do documento clássico é literalmente sobre isso: determinar o nível de envolvimento humano na decisão aumentada por IA, conforme o risco. O framework agêntico reforça, exigindo mecanismos que deixem o humano interromper, interceptar ou revisar a ação do agente. O que o framework não faz, de novo, é botar preço nisso. A Ritometrics propõe três níveis com o custo à vista. No risco baixo, o humano olha depois do fato, por amostragem. No médio, ratifica antes de a coisa acontecer. No alto, aprova com revisão funda e contra-argumento. Escolher o nível é decisão de governança, não de tecnologia: o CTO dá pitaco, mas a cadeira é do COO com o Compliance.
No Brasil de 2026, essa regra quase nunca está no papel. O líder de área decide na hora quando ratifica a saída do modelo, quando deixa passar, quando barra. E sem critério escrito, a ratificação balança entre o exagero (revisar tudo, por medo do risco que ele imagina) e o relaxo (não revisar nada, porque ninguém tem tempo). A balança custa folha sênior dos dois lados, sem entregar ganho do tamanho do gasto. É exatamente onde a aresta A2H se torna a categoria invisível mais cara de uma operação híbrida.
| Nível de risco | Profundidade da revisão | Onde costuma cair | Custo carregado por saída revisada |
|---|---|---|---|
| Baixo | Humano olha depois, por amostragem | Comunicação interna, primeiro rascunho de texto | R$ 50 a 150 por saída |
| Médio | Humano ratifica antes de a ação rodar | Análise pra cliente, proposta comercial, dado pro board | R$ 300 a 800 por saída |
| Alto | Humano aprova com revisão funda e contra-argumento | Preço, contrato grande, ajuste salarial, decisão estratégica | R$ 1.500 a 4.500 por saída |
| Crítico (um recorte do alto) | Dois sêniores na mesa, mais auditoria documentada | Decisão regulatória, fusão e aquisição, decisão de desligamento em massa | R$ 6.000 a 18.000 por saída |
A última coluna é a fatura que ninguém abriu ainda no Brasil. Custo carregado por saída revisada, multiplicado pelo volume mensal de cada nível, é o preço de verdade de coordenar humano e máquina. Sem a regra escrita, esse preço se dissolve na folha, sem rótulo, sem alguém pra cobrar. Com a regra escrita, o gasto de coordenação ganha um número que dá pra medir.
O que o Brasil pode aprender (e o que não pode copiar)
Os três movimentos cabem em 90 dias por dentro de casa, sem esperar voto no Congresso, sem fornecedor externo, sem comitê regulatório. A receita é curta. No mês 1, cole um dono em cada uma das quatro categorias de decisão de IA. No mês 2, aparte o comitê técnico do comitê de capital. No mês 3, escreva os níveis de revisão humana calibrados pelo risco, com o custo carregado estimado em cada um.
O que não atravessa o oceano é a estrutura de cima. Singapura tem uma agência só, a IMDA, com mandato regulatório e setorial ao mesmo tempo, um luxo raro fora de uma cidade-Estado, e já está na terceira geração do manual (comum, generativa, agêntica) enquanto o Brasil ainda debate a primeira lei. Por aqui, a ANPD cuida de dado pessoal, sem braço dedicado à IA, e o PL 2338 reparte a responsabilidade por vários órgãos. Querer clonar a IMDA dentro da ANPD ou inventar uma agência única é discussão de política pública que dura mais que o ano da sua empresa. Os três movimentos operacionais seguem valendo independente de como a regulação brasileira terminar desenhada.
As versões mais novas atravessam só pela metade. A de 2024 pra IA generativa e a de 2026 pra IA agêntica trazem peças úteis (proveniência de conteúdo, transparência com o usuário, supervisão calibrada ao risco), mas a proveniência pede ajuste jurídico (LGPD e PDPA pisam em bases diferentes pra dado pessoal usado em treino) e a transparência pede outro grau pela cultura do mercado local. Esse ajuste cabe num projeto à parte, de Jurídico com Produto, e não trava o resto.
Plano de adoção em 90 dias pra empresa brasileira
| Mês | O movimento do mês | O que fica escrito | Quem puxa |
|---|---|---|---|
| Mês 1 | Colar um dono em cada uma das 4 categorias de decisão de IA | Carta de governança de 2 páginas, um nome por cadeira, sem brecha | Chief of Staff coordena, COO e CFO ratificam |
| Mês 2 | Apartar o comitê técnico do comitê de capital | Duas cartas de comitê: ritmo, agenda padrão, quórum mínimo | COO desenha, board ratifica |
| Mês 3 | Escrever os níveis de revisão humana com custo carregado em cada um | Matriz de níveis de risco × profundidade × custo carregado estimado | COO + CFO escrevem a quatro mãos |
| Mês 4 (opcional) | Inventário inicial pra conferir o custo real contra o estimado | Radar de arestas cruzando 3 a 5 decisões reais já mapeadas | Diretor de operações + analista sênior dedicado |
O quarto mês é opcional porque o inventário das arestas em 30 dias serve de prova real pros números estimados no mês 3. Quem entrega do mês 1 ao mês 3 já cobriu o essencial dos três movimentos. O mês 4 é o que fecha a leitura econômica em reais que se defende na frente do board.
Perguntas frequentes
O Model AI Governance Framework de Singapura é uma regulação obrigatória?
Não. É soft law, e a diferença não é detalhe: ninguém multa quem o ignora. Foi publicado pela IMDA (Infocomm Media Development Authority) junto com a PDPC (Personal Data Protection Commission), primeira versão em 2019, segunda edição em janeiro de 2020, uma versão dedicada à IA generativa em maio de 2024, e um framework próprio pra IA agêntica em janeiro de 2026. Sem multa, sem licença, sem comitê regulatório. É um manual: checklist operacional e exemplo de implementação. A adoção é voluntária, mas a maioria das empresas reguladas em Singapura segue assim mesmo, por um motivo prático. Quem chega na frente do investidor, do parceiro ou do cliente enterprise com governança documentada fecha mais rápido do que quem chega com boas intenções.
Qual a diferença prática entre o Model Framework e o EU AI Act?
Um responde a um regulador, o outro responde ao seu próprio board. O EU AI Act é hard law, em vigor desde agosto de 2024 e plenamente aplicável em agosto de 2026, com multa de até €35M ou 7% do faturamento global e quatro classes de risco (proibido, alto, limitado, mínimo), cada uma com obrigação distinta. Ele responde quais regras seguir pra não levar multa. O Model Framework de Singapura responde outra pergunta: como organizar a governança por dentro pra que cada decisão sobre IA fique defensável e auditável dentro de casa, independente do que o regulador exige. Não competem. Um cobre o risco que dá multa, o outro cobre o que apodrece quando ninguém é dono da decisão.
Por que CFOs e COOs brasileiros deveriam ler o Model Framework antes do PL 2338?
Porque o PL 2338, em tramitação na Câmara em 2026, é o EU AI Act de sotaque brasileiro: risco, categoria, multa, direito do titular. Mesma frente. O Model Framework de Singapura cobre a frente vizinha, a que nem o PL 2338 nem o EU AI Act tocam: a governança da operação com IA dentro de casa. Ele exige dono nomeado pra decisão de IA e um fluxo formal de revisão humana calibrado ao risco. Isso é do framework. Separar a decisão técnica da decisão de capital e botar o CFO na conta é a leitura que a Ritometrics acrescenta por cima. Nenhum dos quatro movimentos depende de votação no plenário. Cabem na sua empresa esta semana.
O Model Framework mede coordenação entre humano e máquina em moeda?
Direto, não. E vale ser honesto sobre isso. Nenhuma versão do framework mede coordenação em moeda; não é o trabalho dele. O que ele oferece é o chão. A terceira dimensão do documento clássico, gestão de operações, cuida de monitoramento contínuo e qualidade de dado, o terreno onde o custo de coordenar humano e máquina se manifesta. O framework de IA agêntica de 2026 vai além e nomeia a coordenação entre agentes como território de risco. Botar preço nisso é o passo que a Ritometrics propõe por cima: a empresa que já rastreia o uso e mede a qualidade do que o sênior ratifica está a um passo de contar, em reais, quanto essa coordenação custa.
O que o framework de IA agêntica de 2026 muda em relação às versões anteriores?
Foi lançado em janeiro de 2026, em Davos, e atualizado em maio do mesmo ano, o primeiro framework de governança do mundo feito pra agentes que planejam e agem sozinhos. Ele parte de um problema que o texto de 2019 não tinha: um agente não só sugere, ele executa: chama API, mexe em sistema, aciona outro agente. Por isso se organiza em quatro pilares: avaliar e limitar o risco antes de soltar o agente, manter um humano de fato responsável e capaz de interromper a ação, botar controles técnicos (permissão mínima, monitoramento em tempo real, log de tudo) e deixar clara a responsabilidade de quem usa. A atualização de maio acrescentou orientação pra sistemas multi-agente e agentes de terceiros. Pra quem opera força de trabalho híbrida, é a leitura de risco mais atual que existe. Falta, como nas versões anteriores, a leitura de custo.
O fechamento
A empresa brasileira de 2026 não precisa esperar o PL 2338 entrar em vigor pra governar a própria IA por dentro. Singapura mostrou duas vezes, em 2019 com IA comum e em 2026 com agentes, que governança operacional pode nascer antes de qualquer regra obrigatória, e que a adoção voluntária cresce sozinha quando o manual é bom o bastante pra virar referência de mercado. O Model AI Governance Framework não é o único modelo no mundo. É o mais bem testado pra quem precisa arrumar a casa antes de o regulador bater na porta.
O que ele governa é o risco da coordenação: quem responde, o que o agente faz, quando o humano entra. O que ele deixa em aberto é o preço dessa coordenação. Essa é a frente vizinha, e é onde a leitura econômica encaixa, com o CFO na conta e o custo em reais na mesa, para que o vetor invisível da governança de IA ganhe leitura em moeda. O framework fecha o risco, a leitura econômica fecha o capital, e as duas correm em paralelo. Quem cobre as duas chega na frente do board com a resposta inteira, não com metade.