Quando o Estado já podia saber: IA, auditoria pública e riscos sistêmicos

A IA começa a deslocar, silenciosamente, o centro de gravidade da auditoria pública. O Tema não se limita mais à pergunta sobre como algoritmos podem acelerar análises, classificar documentos, detectar anomalias ou produzir ganhos de eficiência em órgãos de controle. A questão mais relevante, e talvez a mais incômoda, é outra: quando a tecnologia passa a permitir a identificação antecipada de padrões de risco, sinais fracos, recorrências anômalas e cadeias prováveis de falha institucional, até que ponto a administração pública ainda pode justificar sua inércia com base na imprevisibilidade, na limitação operacional ou na insuficiência de informações?

O relatório The State of Artificial Intelligence in Public Audit, publicado pela OCDE em 2026, oferece um ponto de partida especialmente relevante para essa reflexão. O documento examina a adoção de IA por instituições de auditoria pública em países selecionados e na união europeia, com base em consultas realizadas a 15 instituições de 14 países e da união europeia. Entre os usos identificados estão a detecção de anomalias, a avaliação de riscos, a classificação de casos, os modelos preditivos e preventivos, a gestão do conhecimento, o processamento inteligente de documentos, a análise visual e espacial e o uso de IA generativa para atividades de redação, síntese e tradução. Embora o grau de maturidade institucional ainda varie de forma expressiva, o relatório indica que a auditoria pública já ingressou em uma fase de experimentação estratégica, na qual a inteligência artificial deixa de ser apenas promessa tecnológica e passa a integrar, ainda que de modo desigual, a infraestrutura contemporânea do controle público (OCDE, 2026).

Esse movimento precisa ser interpretado com cuidado. A IA não substitui o controle público, não elimina o juízo profissional dos auditores, não transforma dados precários em verdades institucionais e não dispensa governança. Ao contrário, o relatório da OCDE é claro ao apontar que a expansão da IA na auditoria pública depende de dados confiáveis, infraestrutura interoperável, capacidade técnica interna, métricas de impacto, estruturas de supervisão, transparência, explicabilidade e preservação da confiança pública. Um algoritmo aplicado sobre bases fragmentadas não corrige a desordem institucional. Apenas processa essa desordem em escala. A inovação, portanto, não está na simples adoção da ferramenta, mas na construção da arquitetura institucional capaz de torná-la juridicamente legítima, tecnicamente confiável e democraticamente controlável (OCDE, 2026; DIGNUM, 2019; FLORIDI, 2023).

Ainda assim, há uma consequência jurídica e institucional que não pode ser ignorada. A partir do momento em que ferramentas de IA passam a ampliar a capacidade de leitura de grandes bases de dados, identificar padrões antes invisíveis e antecipar riscos relevantes, modifica-se o próprio padrão de diligência esperado das instituições públicas. A pergunta deixa de ser apenas o que o gestor sabia em determinado momento. Passa a alcançar também aquilo que a instituição tinha condições razoáveis de saber, organizar, cruzar, interpretar e prevenir. Essa transição é decisiva porque desloca a auditoria pública de uma posição predominantemente retrospectiva para uma função progressivamente antecipatória.

A tradição do controle público sempre esteve ligada à verificação posterior da regularidade. Examina-se o ato, o contrato, a despesa, a execução, o dano, a conformidade formal e, eventualmente, a responsabilidade. Essa lógica permanece indispensável, mas já não é suficiente diante de sistemas públicos complexos, nos quais uma decisão aparentemente localizada pode deflagrar efeitos sucessivos sobre orçamento, continuidade de serviços, confiança social, judicialização, integridade institucional e responsabilização de gestores. O risco público contemporâneo não se apresenta apenas como evento isolado. Muitas vezes, ele se forma em cadeia.

É justamente nesse ponto que a discussão sobre IA na auditoria pública precisa sair do lugar comum. O debate não deveria permanecer restrito ao binômio eficiência e opacidade, embora ambos sejam relevantes. O verdadeiro problema está na relação entre IA, previsibilidade institucional e riscos sistêmicos. Se uma contratação mal planejada pode gerar atrasos, aditivos, paralisações, litígios, deterioração do serviço, sobrecarga de órgãos de controle e perda de confiança na Administração, então o erro inicial não pode ser examinado apenas em sua aparência procedimental. Ele deve ser analisado como possível ponto de ignição de uma cadeia de eventos. A IA importa porque pode ampliar a capacidade institucional de perceber essas cadeias antes que elas se tornem irreversíveis.

A distinção proposta por Niklas Luhmann entre risco e perigo ajuda a compreender a gravidade desse deslocamento. O risco está associado a danos futuros que podem ser atribuídos a decisões tomadas no presente, ao passo que o perigo aparece vinculado a fatores externos não imputáveis ao decisor. Essa distinção é valiosa para o Direito Público porque impede que toda falha administrativa seja tratada como fatalidade. Quando uma instituição dispõe de meios para conhecer, estruturar e interpretar sinais relevantes, mas permanece organizada de modo a ignorá-los, a omissão deixa de ser simples deficiência operacional. Passa a integrar o campo da decisão institucional sobre o risco (LUHMANN, 1993).

Ulrich Beck já havia demonstrado que a modernidade avançada produz riscos que escapam aos esquemas tradicionais de controle, sobretudo porque se distribuem por sistemas interdependentes e atravessam fronteiras técnicas, econômicas, políticas e jurídicas. Embora sua análise tenha sido construída em outro contexto histórico, sua utilidade para a administração pública contemporânea é evidente. O estado decide em ambientes nos quais os efeitos de uma política, de uma contratação, de uma omissão regulatória ou de uma falha de fiscalização podem ultrapassar o perímetro imediato do ato administrativo. A sociedade de risco exige, portanto, instituições capazes de reconhecer que a normalidade formal do procedimento não garante, por si só, a racionalidade sistêmica da decisão (BECK, 1992).

Essa percepção se torna ainda mais relevante quando confrontada com a teoria dos acidentes normais de Charles Perrow. Em sistemas complexos e fortemente acoplados, falhas relevantes nem sempre decorrem de um erro único, visível e linear. Muitas vezes, surgem da interação inesperada entre componentes que, isoladamente, pareciam administráveis. Transportada para a governança pública, essa ideia permite compreender por que determinadas crises administrativas não resultam apenas de má-fé, incompetência individual ou ausência de norma. Elas podem decorrer de desenhos institucionais incapazes de perceber interdependências, acoplamentos, dependências decisórias e efeitos de propagação. A inteligência artificial, nesse contexto, pode funcionar como instrumento de leitura desses acoplamentos, desde que submetida a governança adequada (PERROW, 1999).

A auditoria pública orientada por IA não deve, portanto, ser tratada como mera evolução instrumental da fiscalização. Ela aponta para uma possível mutação do controle. O controle retrospectivo pergunta o que deu errado. O controle preditivo pergunta onde algo pode dar errado. O controle sistêmico, por sua vez, pergunta que cadeia de eventos pode ser desencadeada se nada for feito. Essa terceira dimensão ainda é pouco explorada no debate jurídico brasileiro, mas talvez seja a mais importante para compreender a nova fronteira da governança pública.

Essa leitura também evita uma visão ingênua da auditoria. Michael Power demonstrou que a expansão das práticas de auditoria nas sociedades contemporâneas nem sempre significa aumento real de controle substantivo. Em muitos casos, pode haver ritualização da verificação, produção de aparências de controle e deslocamento da atenção para procedimentos formalmente auditáveis. A IA pode aprofundar esse risco. Se mal governada, ela pode produzir uma nova camada de ritual tecnológico, na qual painéis, alertas, classificações algorítmicas e modelos preditivos conferem aparência de racionalidade a instituições que continuam incapazes de compreender seus próprios riscos. O problema, portanto, não é apenas auditar com IA, mas saber se a IA amplia a inteligência institucional ou apenas automatiza a liturgia do controle (POWER, 1997).

A contribuição mais robusta da IA à auditoria pública está em sua capacidade de tensionar a cultura do controle por amostragem e da responsabilização tardia. Modelos de detecção de anomalias, sistemas de classificação, análise semântica de documentos, processamento inteligente de informações e avaliação preditiva de riscos permitem que órgãos de controle trabalhem com maior densidade informacional. Não se trata de substituir o auditor, mas de permitir que sua atuação seja orientada por sinais mais qualificados. O relatório da OCDE indica que diversas instituições já experimentam ferramentas para localizar transações de maior risco, priorizar auditorias, identificar inconsistências, organizar conhecimento acumulado e apoiar a análise documental em larga escala (OCDE, 2026).

Mas essa capacidade técnica produz uma consequência institucional delicada. Quanto mais o estado amplia suas condições de perceber riscos, menor se torna o espaço para alegar desconhecimento absoluto. Evidentemente, não se pode exigir previsão total, controle perfeito ou eliminação integral da incerteza. A Administração Pública não opera em laboratório. Suas decisões envolvem limitações orçamentárias, conflito de prioridades, assimetrias informacionais, instabilidade política e contingências materiais. O ponto é outro. A questão não é saber se o Estado deve prever tudo, mas se pode permanecer deliberadamente desorganizado diante de riscos que já eram estruturalmente identificáveis.

Essa é a fronteira entre a falha individual e a omissão programada do controle. Quando uma instituição não possui dados íntegros, não integra sistemas, não capacita equipes, não define métricas, não estabelece trilhas de auditoria, não documenta decisões automatizadas e não cria mecanismos de supervisão humana, ela não apenas falha ao usar tecnologia. Ela constrói um ambiente de cegueira institucional. E a cegueira institucional, em matéria de risco público, não é neutra. Ela favorece a repetição de falhas, a fragmentação de responsabilidades e a naturalização do dano.

Ortwin Renn oferece contribuição relevante ao compreender a governança do risco como um processo que envolve avaliação técnica, comunicação, participação, decisão e responsabilidade institucional. Essa perspectiva afasta a ideia de que risco seja apenas uma variável mensurável por especialistas. O risco precisa ser governado, e governar riscos significa organizar instituições para decidir melhor sob incerteza. Na auditoria pública, isso implica reconhecer que a IA não deve apenas identificar anomalias, mas integrar um sistema mais amplo de interpretação, priorização, comunicação e resposta institucional (RENN, 2008).

A mesma preocupação aparece na análise de Christopher Hood, Henry Rothstein e Robert Baldwin sobre regimes de regulação do risco. Os autores demonstram que o risco é administrado por arranjos institucionais específicos, compostos por regras, práticas, recursos, culturas organizacionais e formas de responsabilização. Essa leitura é especialmente útil porque impede que a IA seja tratada como solução isolada. Ferramentas algorítmicas só produzem valor público quando inseridas em regimes institucionais capazes de transformar alertas em decisões, decisões em ações e ações em aprendizado organizacional (HOOD; ROTHSTEIN; BALDWIN, 2001).

A partir daí, torna-se possível propor uma ideia central: a IA aplicada à auditoria pública inaugura um novo dever de extrapolação institucional do risco. Esse dever não significa previsão absoluta do futuro, nem adoção acrítica de modelos preditivos. Significa que decisões públicas relevantes precisam ser avaliadas para além de sua legalidade imediata, considerando cadeias plausíveis de consequência, conexões intersetoriais, efeitos de propagação e vulnerabilidades acumuladas. A Administração que decide sem examinar esses desdobramentos não atua apenas com deficiência analítica. Atua com déficit de governança.

Essa noção dialoga com a literatura sobre organizações de alta confiabilidade. Karl Weick e Kathleen Sutcliffe demonstram que organizações capazes de lidar com ambientes complexos não são aquelas que eliminam todas as falhas, mas aquelas que desenvolvem sensibilidade aos sinais fracos, atenção às operações, relutância em simplificar excessivamente a realidade e capacidade de resposta rápida diante de indícios de deterioração. Aplicada ao setor público, essa abordagem permite compreender que a boa governança não depende apenas de normas formais, mas de uma cultura institucional capaz de perceber pequenas anomalias antes que elas se convertam em crises públicas (WEICK; SUTCLIFFE, 2015).

Essa é precisamente uma das promessas mais relevantes da IA na auditoria pública. Em vez de olhar apenas para o dano consolidado, a instituição passa a observar padrões de comportamento, desvios de trajetória, recorrências anormais e sinais de acoplamento entre riscos. Um contrato reiteradamente aditivado, uma obra com atrasos típicos de determinado perfil, um conjunto de municípios com indicadores fiscais semelhantes aos de entes já em crise, uma política pública que reproduz falhas documentais recorrentes, todos esses elementos podem deixar de ser vistos como ocorrências isoladas e passar a compor uma gramática institucional do risco.

Naturalmente, essa gramática não pode ser entregue cegamente ao algoritmo. Frank Pasquale adverte que sociedades governadas por sistemas opacos tendem a concentrar poder informacional em estruturas que classificam, ordenam e influenciam decisões sem transparência suficiente. No setor público, esse risco é agravado porque a opacidade algorítmica pode comprometer direitos, obscurecer responsabilidades e dificultar o controle democrático sobre o próprio controle. Uma auditoria pública orientada por IA precisa ser explicável, documentada, auditável e contestável. O estado não pode fiscalizar a sociedade por meio de mecanismos que ele mesmo não consegue justificar adequadamente (PASQUALE, 2016).

Virginia Dignum e Luciano Floridi caminham em direção semelhante ao sustentar que a IA responsável exige mais do que desempenho técnico. Ela pressupõe alinhamento a valores, responsabilidade, desenho institucional adequado e consideração dos impactos sociais. Essa preocupação é essencial para a auditoria pública, pois modelos de IA podem produzir falsos positivos, falsos negativos, enviesamentos, discriminações indiretas e distorções de prioridade. A eficiência do algoritmo não basta. É preciso saber quem define seus objetivos, quais dados o alimentam, como seus resultados são validados, quem responde por seus erros e de que forma o sistema preserva o julgamento humano (DIGNUM, 2019; FLORIDI, 2023).

Virginia Eubanks mostra, em outro campo de análise, que sistemas automatizados aplicados a políticas públicas podem reproduzir desigualdades, intensificar vulnerabilidades e transformar populações em objetos de classificação permanente. Embora sua obra trate de realidades específicas, a advertência é pertinente para qualquer uso público de IA: automatizar uma estrutura injusta ou mal desenhada não a torna racional. No controle público, isso significa que modelos preditivos podem direcionar atenção institucional de forma desproporcional, reforçar padrões históricos de fiscalização seletiva ou invisibilizar riscos que não se ajustam aos dados disponíveis (EUBANKS, 2018).

Também por isso, a IA na auditoria pública não pode ser compreendida apenas como uma questão de inovação administrativa. Ela é matéria de governança democrática. Michael Kearns e Aaron Roth demonstram que algoritmos socialmente responsáveis exigem incorporação de valores como privacidade, justiça e proteção contra efeitos indesejados. Stuart Russell, por sua vez, chama atenção para o problema do controle de sistemas inteligentes e para a necessidade de alinhamento entre objetivos computacionais e valores humanos. No setor público, essa preocupação ganha densidade jurídica, pois a finalidade da IA não pode ser definida apenas por critérios de performance, mas por parâmetros de juridicidade, proporcionalidade, accountability e interesse público (KEARNS; ROTH, 2019; RUSSELL, 2019).

Há, portanto, uma tensão produtiva no relatório da OCDE. De um lado, ele demonstra que a IA pode fortalecer a auditoria pública, melhorar a seleção de objetos de controle, ampliar a capacidade analítica e antecipar riscos. De outro, evidencia que a tecnologia depende de condições institucionais que muitos Estados ainda não consolidaram. Essa tensão precisa ser levada a sério. A auditoria pública do futuro não será melhor apenas porque utilizará algoritmos. Será melhor se conseguir integrar dados, pessoas, métodos, supervisão humana, transparência, governança e responsabilidade em uma arquitetura coerente.

O ponto mais importante é que a IA torna mais visível aquilo que antes podia permanecer disperso. Em políticas públicas complexas, a falha raramente nasce pronta. Ela se forma por acumulação. Um dado negligenciado, um alerta ignorado, um contrato mal estruturado, uma fiscalização adiada, um indicador tratado como irrelevante, uma exceção que vira padrão. O dano sistêmico não surge apenas no fim da cadeia. Ele começa quando a Administração perde a capacidade de interpretar o encadeamento de suas próprias decisões.

Essa percepção altera o sentido jurídico da prevenção. Prevenir não é apenas evitar danos conhecidos. É estruturar instituições capazes de reconhecer sinais de propagação do risco. A IA pode contribuir para isso ao ampliar a capacidade de examinar bases massivas, cruzar informações, identificar anomalias e apoiar a priorização de controles. Mas a prevenção continuará sendo uma responsabilidade humana, jurídica e institucional. O algoritmo pode indicar padrões. A decisão sobre o que fazer com esses padrões permanece vinculada à autoridade pública.

Daí a necessidade de uma nova categoria de análise: a governança da previsibilidade. Não se trata de exigir que o Estado antecipe todos os cenários possíveis, o que seria irrealista e paralisante. Trata-se de afirmar que, diante de ferramentas capazes de ampliar a leitura institucional do risco, a Administração tem o dever de organizar suas capacidades informacionais de forma compatível com a complexidade das decisões que toma. A ausência dessa organização pode revelar, em certos casos, não apenas ineficiência, mas falha estrutural de governança.

Cass Sunstein adverte que decisões públicas diante de cenários extremos exigem equilíbrio entre prevenção racional e exagero regulatório. Essa advertência é necessária para evitar que a IA produza uma administração capturada pelo medo, incapaz de decidir sem simular catástrofes infinitas. O dever de prever riscos sistêmicos não pode degenerar em paralisia decisória. Seu papel é qualificar a decisão pública, e não substituí-la por uma gestão defensiva e burocraticamente aterrorizada pelo futuro (SUNSTEIN, 2007).

O desafio, portanto, é construir uma administração capaz de decidir melhor, e não simplesmente de acumular alertas. Alertas sem governança produzem ruído. Dados sem interpretação produzem ilusão de controle. Modelos preditivos sem supervisão humana produzem irresponsabilidade difusa. Auditoria automatizada sem transparência produz opacidade. A IA só reforça o controle público quando integrada a uma cultura institucional capaz de transformar informação em discernimento e discernimento em ação responsável.

É nesse ponto que o relatório da OCDE deve ser lido para além da tecnologia. Seu verdadeiro alcance não está apenas em mapear usos de IA na auditoria pública, mas em revelar a emergência de um novo padrão institucional. A auditoria pública deixa de ser exclusivamente uma técnica de verificação posterior e passa a integrar a arquitetura de antecipação de riscos do Estado. Isso não elimina o controle tradicional. Mas amplia sua função. Controlar já não significa apenas apontar o erro depois do dano. Significa também criar condições para que o dano não se forme silenciosamente por encadeamento de decisões mal instruídas.

Essa transformação tem implicações profundas para a responsabilidade pública. Quando o risco era invisível, disperso ou tecnicamente inalcançável, a omissão podia ser explicada por limites reais de conhecimento. Mas, quando os sinais existem, os dados são acessíveis, os padrões podem ser identificados e as ferramentas estão disponíveis, a inércia institucional se torna mais difícil de justificar. O estado não será responsável por não prever o imprevisível. Mas poderá ser questionado por permanecer incapaz de perceber aquilo que já se tornara institucionalmente cognoscível.

A IA, portanto, não inaugura um estado onisciente. Essa seria uma fantasia perigosa. Ela inaugura algo mais modesto, e talvez mais exigente: um estado que já não pode se esconder com a mesma facilidade atrás da própria cegueira. Se a auditoria pública passa a dispor de meios para identificar anomalias, antecipar riscos e compreender cadeias de propagação, a governança pública precisará responder a uma pergunta cada vez mais difícil: quando o dano aconteceu, o estado realmente não sabia, ou apenas não se organizou para saber?

Essa talvez seja a questão central da nova auditoria pública. E também o ponto de partida para uma teoria jurídica mais madura sobre riscos sistêmicos na administração. Em sociedades complexas, a omissão institucional não se mede apenas pelo ato que deixou de ser praticado, mas pela arquitetura que impediu o estado de perceber, a tempo, a cadeia de eventos que ele próprio ajudou a desencadear. A IA não resolve esse problema. Mas torna sua existência impossível de ignorar.

______________

BECK, Ulrich. Risk Society: Towards a New Modernity. London: Sage Publications, 1992.

DIGNUM, Virginia. Responsible Artificial Intelligence: How to Develop and Use AI in a Responsible Way. Cham: Springer, 2019.

EUBANKS, Virginia. Automating Inequality: How High-Tech Tools Profile, Police, and Punish the Poor. New York: St. Martin’s Press, 2018.

FISCHHOFF, Baruch; KADVANY, John. Risk: A Very Short Introduction. Oxford: Oxford University Press, 2011.

FLORIDI, Luciano. The Ethics of Artificial Intelligence: Principles, Challenges, and Opportunities. Oxford: Oxford University Press, 2023.

HOOD, Christopher; ROTHSTEIN, Henry; BALDWIN, Robert. The Government of Risk: Understanding Risk Regulation Regimes. Oxford: Oxford University Press, 2001.

KEARNS, Michael; ROTH, Aaron. The Ethical Algorithm: The Science of Socially Aware Algorithm Design. Oxford: Oxford University Press, 2019.

LUHMANN, Niklas. Risk: A Sociological Theory. New York: Aldine de Gruyter, 1993.

OCDE. The State of Artificial Intelligence in Public Audit: Evidence from Selected Countries and the European Union. Paris: OECD Publishing, 2026. OECD Artificial Intelligence Papers, n. 58.

PASQUALE, Frank. The Black Box Society: The Secret Algorithms That Control Money and Information. Cambridge: Harvard University Press, 2016.

PERROW, Charles. Normal Accidents: Living with High-Risk Technologies. Princeton: Princeton University Press, 1999.

POWER, Michael. The Audit Society: Rituals of Verification. Oxford: Oxford University Press, 1997.

POWER, Michael. Organized Uncertainty: Designing a World of Risk Management. Oxford: Oxford University Press, 2007.

RENN, Ortwin. Risk Governance: Coping with Uncertainty in a Complex World. London: Earthscan, 2008.

RUSSELL, Stuart. Human Compatible: Artificial Intelligence and the Problem of Control. New York: Viking, 2019.

SUNSTEIN, Cass R. Worst-Case Scenarios. Cambridge: Harvard University Press, 2007.

WEICK, Karl E.; SUTCLIFFE, Kathleen M. Managing the Unexpected: Sustained Performance in a Complex World. 3. ed. San Francisco: Jossey-Bass, 2015.