O que conta como comprovante na Threada?

Cada ação governada registra o ator, as entradas, a evidência em que se baseou, a política que a permitiu e o resultado. Juntos, esses campos são o comprovante daquela etapa.

Isso deixa os operadores mais lentos?

Os comprovantes são produzidos pelo runtime como um subproduto do trabalho normal, não como uma tarefa de registro separada. Os operadores aprovam e agem; o registro se monta sozinho.

As ações de IA também podem deixar comprovantes?

Sim. As ações, os comentários e as aprovações de agentes aparecem como eventos de ator explícitos, distintos dos usuários humanos, de modo que uma linha do tempo mostra quem ou o que realizou cada etapa.

Por que toda ação deveria deixar um comprovante

A maioria dos softwares lembra o que mudou. Bem menos software lembra por que uma mudança foi permitida, quem ou o que a decidiu e em que evidência a decisão se apoiou. Essa lacuna é onde a confiança se desgasta silenciosamente. Uma equipe de operações geralmente consegue responder “qual é o estado agora”; muitas vezes não consegue responder “mostre-me como chegamos aqui e prove que tínhamos permissão para isso”.

A Threada foi construída para que a segunda pergunta seja sempre respondível. Toda ação governada deixa um comprovante.

O que um comprovante realmente contém

Um comprovante não é uma linha de log. Uma linha de log diz “algo aconteceu”. Um comprovante diz o suficiente para reconstruir e defender uma decisão depois. Na Threada, uma ação governada registra:

O ator. Um operador humano ou um participante de IA, registrados como eventos de ator distintos. A aprovação de um agente nunca se passa por uma pessoa.
As entradas. O WorkItem, suas entidades extraídas, a identidade do solicitante e o canal de origem pelo qual a solicitação chegou.
A evidência. As citações, o rastro de recuperação e — quando o contexto foi insuficiente — o motivo explícito do fallback. Não é possível criar Work sem citações ou sem um motivo de fallback registrado.
A política. Qual conjunto de políticas estava ativo, em qual versão e se foi aplicado a todo o tenant ou a um pack, fluxo de trabalho, canal ou grupo de solicitantes restrito.
O resultado. Se a ação foi proposta, aprovada, rejeitada, executada, bem-sucedida ou falhou — com a ligação de volta ao registro externo que ela tocou.

Leia esses campos em conjunto e você terá uma explicação defensável de uma única etapa. Leia-os ao longo do ciclo de vida de um WorkItem e você terá seu histórico completo.

Auditabilidade como padrão, não como um recurso que você acopla depois

A tentação na maioria dos sistemas é adicionar a auditoria depois: lançar o recurso e então envolvê-lo em logs quando um cliente pede evidência para SOC 2 ou um regulador aparece. Essa ordem está invertida. A auditoria adicionada depois é sempre parcial, porque ao sistema nunca foi pedido que carregasse o contexto no momento em que a decisão foi tomada.

A Threada inverte a ordem. O runtime emite eventos estruturados em cada transição significativa — work_item_created, approval_requested, approval_decided, action_proposed, action_executed, fallback_triggered — porque o ato de fazer o trabalho é o mesmo ato que o registra. Não há uma etapa separada de “ligar a auditoria”, porque não há nenhum momento em que o trabalho aconteça fora do registro.

É isso que queremos dizer quando afirmamos que o modelo é de registros-e-comprovantes. O registro não é um relatório que você gera; é o resíduo de fazer o trabalho corretamente.

Por que os comprovantes mudam o modo como as equipes operam

Um comprovante é útil para o auditor no fim do trimestre. Mas seu valor mais silencioso é para o operador no meio de uma terça-feira qualquer.

Quando cada ação carrega sua evidência e sua base de política, três coisas ficam mais fáceis:

A revisão fica rápida e honesta. Um aprovador não precisa reconstruir o contexto de memória nem perseguir o solicitante atrás do pedido original. A evidência fica ao lado da ação. Confiança, reversibilidade e clareza são visíveis no ponto de decisão, de modo que os revisores otimizam para a revisabilidade e não apenas para a velocidade.
A reversão fica segura. Como o comprovante nomeia a versão da política e as entradas, reverter uma ação é uma operação definida, não um projeto de arqueologia. Você sabe o que está desfazendo e por que foi feito.
A responsabilização deixa de ser adversarial. Quando o registro se monta sozinho, “quem aprovou isto” não é uma acusação — é apenas um campo. A separação de funções entre os papéis de construtor, aprovador e governança é aplicada e visível, de modo que a questão da responsabilização é respondida antes de alguém precisar perguntar.

O trabalho de alto risco permanece humano, registrado

Os comprovantes não significam que tudo está automatizado. Significam que tudo é responsabilizável. As automações de alto risco seguem uma progressão explícita com intervenção humana — proposta, depois aprovada, depois em execução — e só executam automaticamente onde uma política permite explicitamente. O comprovante registra qual desses caminhos uma determinada ação seguiu. Automação e aprovação não estão em tensão; ambas são apenas etapas que deixam um rastro.

O resultado é um sistema que você pode entregar a um auditor e a um novo operador com a mesma confiança. O auditor vê que os controles se sustentaram. O operador vê como a última pessoa lidou com o caso diante dela. Ambos estão lendo os mesmos comprovantes.

Essa é a aposta por trás da Threada: que o momento mais barato para capturar por que uma decisão foi permitida é o instante em que você a toma, e que uma equipe que nunca trabalha fora do registro é uma equipe que sempre consegue responder à segunda pergunta.