Governança Contínua — Playbook Operacional
Documento canônico:
04-operations/governanca-continua-operating-playbook.md
Status: operacional Produto: Governanca Continua Issue: #25
Objetivo
Seção intitulada “Objetivo”Definir como a Tech Human opera Governanca Continua mes a mes sem depender de improviso ou memoria do fundador.
O playbook responde:
- quem faz o que;
- quais rituais existem;
- que evidencia precisa ser coletada;
- quando escalar para Squad, CTO aaS, THunting ou Trustyu Forge;
- como transformar acompanhamento em decisao executiva.
Ciclo mensal padrao
Seção intitulada “Ciclo mensal padrao”| Semana | Ritual | Responsavel | Saida |
|---|---|---|---|
| Semana 1 | Intake de mudancas | Analista de Governanca | Lista de novos sistemas, agentes, automacoes, incidentes e decisoes |
| Semana 1 | Checkpoint executivo | Governance Lead | Prioridades do mes e riscos que exigem sponsor |
| Semana 2 | Audit mensal | Tech Human Lead + Analista | Evidencias, score de evolucao e riscos atualizados |
| Semana 2 | Revisao de seguranca/dados | Security Reviewer quando aplicavel | Achados D3, LGPD, acesso, dados e recomendacoes |
| Semana 3 | Decision review | Governance Lead + cliente | Decisoes aprovadas, recusadas ou pendentes |
| Semana 4 | Board report | Governance Lead | Relatorio executivo e backlog priorizado |
| Semana 4 | Planejamento do proximo ciclo | Governance Lead + owner cliente | Acoes do proximo mes e escopo confirmado |
Rituais
Seção intitulada “Rituais”1. Intake de mudancas
Seção intitulada “1. Intake de mudancas”Objetivo: impedir que novos riscos entrem sem visibilidade.
Perguntas:
- Que sistemas, agentes ou automacoes foram criados ou alterados?
- Houve incidente, quase-incidente ou alerta de seguranca?
- Algum fornecedor novo foi usado com dados internos?
- Alguma area criou fluxo de IA sem aprovacao?
- Alguma decisao tecnica ficou parada?
Saida obrigatoria:
- changelog do portfolio;
- itens que precisam de audit;
- itens que precisam de decisao executiva;
- itens fora de escopo.
2. Audit mensal
Seção intitulada “2. Audit mensal”Objetivo: atualizar maturidade, risco e evidencia.
Checklist:
- Portfolio monitorado revisado.
- Sistemas alterados identificados.
- Novos agentes ou automacoes registrados.
- Riscos D1, D2, D3 e D4 revisados.
- Score de evolucao atualizado.
- Evidencias anexadas.
- Backlog de risco reordenado.
3. Decision review
Seção intitulada “3. Decision review”Objetivo: transformar recomendacao tecnica em decisao de negocio.
Formato:
- 5 min — mudancas do mes;
- 10 min — riscos novos;
- 15 min — decisoes que exigem sponsor;
- 10 min — acoes do cliente;
- 5 min — acoes Tech Human;
- 5 min — confirmacao de proximos passos.
4. Board report
Seção intitulada “4. Board report”Objetivo: dar visibilidade executiva sem excesso tecnico.
Conteudo:
- score de evolucao;
- risco residual;
- decisoes tomadas;
- decisoes pendentes;
- riscos que precisam de budget;
- recomendacao clara: manter, corrigir, construir, contratar, pausar ou escalar.
5. Retro trimestral
Seção intitulada “5. Retro trimestral”Objetivo: ajustar escopo, politica e maturidade.
Perguntas:
- O portfolio monitorado cresceu?
- O retainer continua no pacote correto?
- O cliente reduziu risco ou apenas acumulou discussoes?
- Alguma dor virou padrao repetivel para Trustyu Forge?
- Falta pessoa interna para operar? Se sim, THunting entra?
- NeedyU.ai esta capturando memoria suficiente?
| Atividade | Sponsor | Owner cliente | Governance Lead | Tech Human Lead | Analista | Security Reviewer |
|---|---|---|---|---|---|---|
| Aprovar risco residual | A | C | R | C | I | C |
| Atualizar dashboard | I | C | A | C | R | C |
| Conduzir audit mensal | I | C | A | R | R | C |
| Revisar seguranca critica | I | C | C | C | I | R/A |
| Emitir board report | A | C | R | C | C | C |
| Acionar TH Build/Squad | A | C | R | R | I | C |
| Acionar THunting | A | R | C | C | I | I |
| Acionar Trustyu Forge | A | C | R | C | I | I |
Legenda: R = responsavel, A = aprovador, C = consultado, I = informado.
Escalonamento obrigatorio
Seção intitulada “Escalonamento obrigatorio”Escalar para sponsor quando:
- risco critico fica aberto por mais de 7 dias;
- D3 cai abaixo de 40;
- dado sensivel, segredo ou falha de autorizacao aparece;
- novo agente usa dados de cliente sem regra clara;
- decisao tecnica depende de budget;
- owner interno nao executa acao combinada por dois ciclos;
- o portfolio monitorado cresce alem do pacote contratado.
Escalar para Tech Human Lead quando:
- houver duvida sobre score;
- recomendacao envolver reconstruir, pausar ou desligar;
- decisao envolver arquitetura, multi-tenancy, seguranca ou dados;
- o cliente pedir execucao fora do retainer.
Hotline
Seção intitulada “Hotline”Uso correto:
- duvida critica de decisao;
- triagem de incidente;
- avaliacao rapida de risco;
- aprovacao emergencial de agente ou automacao;
- orientacao para conter risco ate o proximo ritual.
Nao usar para:
- suporte de usuario final;
- desenvolvimento de feature;
- operacao de infraestrutura;
- plantao 24/7;
- atendimento ilimitado sem prioridade.
SLA recomendado:
| Severidade | Exemplo | Resposta alvo |
|---|---|---|
| Critica | vazamento, acesso indevido, segredo exposto | ate 4h uteis |
| Alta | decisao bloqueando producao ou go-live | ate 1 dia util |
| Media | duvida tecnica relevante | ate 2 dias uteis |
| Baixa | melhoria ou orientacao geral | proximo checkpoint |
Definicao de pronto mensal
Seção intitulada “Definicao de pronto mensal”Um ciclo mensal esta pronto quando:
- dashboard atualizado;
- relatorio mensal enviado;
- backlog de risco priorizado;
- decisoes pendentes explicitadas;
- acoes com owner e prazo definidos;
- itens fora de escopo encaminhados comercialmente;
- evidencias arquivadas.