Permissões Precisam Viver Onde os Dados Vivem: Governança de Agentes em RH e Finanças
Pergunte a um líder de finanças o que mantém os agentes fora do processo de fechamento, e a resposta não será o modelo. Será uma pergunta que ele não consegue responder com clareza: quando este agente toca o razão geral, de quem são as permissões que ele está usando, e onde fica a prova disso? Numa função regulada, “achamos que ficou dentro do escopo” não é uma frase que alguém assina embaixo. O bloqueio não é inteligência. É autoridade.
Esse é o argumento que atravessa um relatório recente da VentureBeat sobre adoção de agentes no ambiente corporativo. O gargalo que trava agentes em RH e finanças não é desempenho de modelo. É permissionamento. E os times que estão se destravando são os que pararam de tratar permissões como uma camada que se acopla depois que o agente funciona, e passaram a tratar o próprio sistema de registro como o lugar onde autoridade e auditoria já vivem.
Já fizemos o argumento de identidade de agente antes, no contexto de engenharia, onde ele trata de contas de serviço e roles de menor privilégio. Este é o mesmo problema entrando em outro edifício. A folha de pagamento e os livros contábeis não toleram os modos de falha que um banco de homologação tolera.
”Quase Certo” É Outra Palavra na Folha de Pagamento
Boa parte da discussão sobre confiabilidade de agentes usa um vocabulário tolerante. O modelo é “quase sempre preciso”. A saída é “boa o suficiente para revisar”. Essa linguagem desmorona no instante em que você entra numa função onde a unidade de erro é o contracheque de uma pessoa.
A Workday, citada no relatório da VentureBeat, é direta: “Quase certo não é aceitável. Pense em pagar as pessoas corretamente, em fechar os livros.” Um agente de sumarização com 95% de acerto é um assistente útil. Um agente de folha de pagamento com 95% de acerto pagou um a cada vinte funcionários com o valor errado, e você vai ouvir reclamação de todos eles. A assimetria é o ponto. Em RH e finanças, o custo de uma ação errada não é um rascunho ruim que você descarta. É um evento regulatório, uma reclamação trabalhista, uma reapresentação contábil.
É por isso que o permissionamento, e não a acurácia, é a parede de verdade. Você não torna um agente de folha confiável deixando o modelo mais esperto. Você o torna confiável garantindo que ele jamais possa agir fora da autoridade do humano que o acionou, e sendo capaz de provar, depois do fato, exatamente o que ele fez e em nome de quem. Modelos mais espertos não entregam essa garantia. A arquitetura entrega.
O Modo de Falha: Permissões Acopladas Por Cima
Eis o padrão que quebra. Um time constrói um agente, dá a ele acesso amplo às APIs para que seja útil, e depois tenta restringir esse acesso com uma camada de política separada, um wrapper, uma lista de regras mantida em algum lugar fora da aplicação que de fato é dona dos dados. O agente passa a ter duas fontes de verdade sobre o que pode fazer: as permissões reais dentro do sistema de registro, e as permissões-sombra no wrapper. As duas divergem. Sempre divergem.
Dan Obendorfer, da Würk, nomeia a consequência diretamente no relatório: “Se suas permissões estão definidas em algum lugar fora de onde os dados de fato vivem, você já perdeu.” A perda não é hipotética. Quando uma pessoa muda de cargo, o acesso dela no sistema de RH é atualizado. O wrapper do agente não sabe que isso aconteceu até que alguém se lembre de sincronizar. Por uma janela de dias ou semanas, o agente está agindo sobre autoridade desatualizada. Numa função regulada, essa janela é um apontamento de auditoria esperando para ser escrito.
Uma camada de permissão acoplada por cima é uma cópia da verdade. Cópias envelhecem. O único modelo de permissão que não pode divergir é aquele que não é uma cópia.
O Padrão Durável: Sistema de Registro Como Camada de Governança
A arquitetura que se sustenta é aquela em que o agente não tem permissões próprias. Ele as herda, ao vivo, do sistema que já gerencia identidade e acesso para os dados em questão.
O relatório da VentureBeat descreve o Sana, da Workday, como uma implementação dessa ideia, e a forma vale o estudo mesmo que você nunca toque nesse produto específico. O sistema de registro se torna a camada de permissão e identidade do agente. O agente age apenas dentro das permissões existentes de um usuário autenticado. Se o usuário não pode ver uma faixa salarial, o agente acionado por esse usuário também não pode. Não há uma segunda lista para manter, porque não há segunda lista. A autoridade vem de um lugar só.
A história da auditoria segue a mesma lógica. Nesse modelo, a trilha de auditoria permanece dentro do sistema de registro, onde os dados vivem e onde os times de compliance já olham. A superfície do agente, neste caso exposta via Gemini Enterprise segundo o relatório, guarda apenas registros de interação: o que foi perguntado, o que foi retornado. Ela não detém o registro autoritativo de quem podia fazer o quê. Isso fica no Workday. A camada de orquestração é onde você conversa com o agente. O sistema de registro é onde a governança é aplicada e comprovada.
Trate o Sana como um exemplo do padrão, não como o padrão em si. A ideia durável, a que vai sobreviver a qualquer ciclo de produto de um fornecedor, é o princípio que está embaixo: permissões e auditoria pertencem ao sistema que é dono dos dados, e um agente é uma forma de agir através desse sistema, nunca por fora dele.
O Que Isso Muda em Como Você Compra e Constrói
Se o sistema de registro é a camada de governança, duas coisas decorrem disso que a maioria das conversas de compra de agentes inverte.
Primeiro, a plataforma do agente não é onde você avalia governança. Você avalia governança no sistema de registro. A pergunta certa para fazer a um fornecedor não é “quais guardrails seu agente tem”. É “seu agente herda permissões do nosso sistema de registro existente, ao vivo, ou ele mantém uma cópia própria”. Se a resposta for a segunda, você está comprando um problema de divergência com um chatbot acoplado.
Segundo, a integração que importa é a tediosa. Conectar um agente a uma superfície de orquestração bonita é fácil e demonstra bem. Conectá-lo de modo que toda ação rode dentro das permissões reais de um usuário autenticado, e de modo que a auditoria caia no sistema em que o compliance já confia, é a parte difícil e é o ponto inteiro. A demonstração é a orquestração. O produto é a herança.
Faça Isto Agora
Escolha uma função onde você quer agentes e ainda não consegue colocá-los, RH ou finanças, o lugar onde “quase certo” é inaceitável. Depois conduza uma conversa de diagnóstico com quem é dono desse sistema.
Faça três perguntas. De onde viriam as permissões de um agente: do sistema de registro, ao vivo, ou de uma camada de política separada que mantemos? Quando o acesso de uma pessoa muda no sistema de origem, quanto tempo até o agente refletir isso, e essa latência é aceitável para esta função? Onde ficaria a trilha de auditoria das ações de um agente, e é o mesmo lugar que nosso time de compliance já audita hoje?
Se qualquer resposta apontar para uma cópia, um wrapper ou uma segunda lista, você encontrou o bloqueio de verdade, e ele nunca foi o modelo. Conserte a arquitetura de autoridade antes de ajustar mais um prompt. Governança embutida não diverge. Governança acoplada por cima já divergiu.
Fontes
- VentureBeat. “The AI agent bottleneck isn’t model performance, it’s permissions.” Maio de 2026.
A Victorino ajuda times de RH e finanças a colocar permissões de agentes onde os dados já vivem: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa