ISO/IEC 42001

Definição

A ISO/IEC 42001 é uma norma de sistema de gestão que especifica os requisitos para estabelecer e melhorar continuamente um Sistema de Gestão de Inteligência Artificial (AIMS) ao longo do ciclo de vida da IA de uma organização.

Escopo

Qualquer organização que forneça ou use IA, de qualquer tamanho ou setor. Governa o sistema de gestão em torno da IA —não um produto específico— por isso complementa frameworks específicos de produto ou risco em vez de substituí-los.

Requisitos-chave

• Um sistema de gestão de IA certificável, estruturado como outras normas de gestão ISO.
• Exige uma política de IA, comprometimento da liderança e papéis e responsabilidades claramente atribuídos.
• Centra-se na avaliação de riscos de IA e na avaliação de impacto do sistema de IA.
• Fornece um conjunto de controles de referência (Anexo A) e orientação de implementação (Anexo B).
• Baseia-se no ciclo Planejar-Fazer-Verificar-Agir para a melhoria contínua.
• Complementa a regulação (EU AI Act) e os frameworks de risco (NIST AI RMF).

Controles

Política e papéis de governança de IA

Estabeleça uma política organizacional de IA e atribua responsáveis: a governança começa pela liderança, não pelas ferramentas.

Avaliação de riscos de IA

Identifique, analise e trate os riscos de forma sistemática ao longo do ciclo de vida, e mantenha a avaliação atualizada.

Avaliação de impacto do sistema de IA

Avalie os impactos nas pessoas e na sociedade (equidade, segurança, direitos), não só o risco técnico.

Controles do ciclo de vida (Anexo A)

Aplique controles de dados, design, implantação e operação, selecionando os relevantes para o seu contexto.

Melhoria contínua (PDCA)

Audite, revise e melhore o sistema de gestão de forma cíclica, para que a governança acompanhe a mudança.

Lista de verificação

• 01Defina o escopo do AIMS e uma política organizacional de IA.
• 02Atribua papéis de governança, responsabilidades e prestação de contas da liderança.
• 03Execute avaliações de riscos de IA e de impacto do sistema de IA.
• 04Selecione e implemente os controles relevantes do Anexo A.
• 05Documente objetivos, processos e evidência de operação.
• 06Estabeleça auditoria interna e análise crítica pela direção.
• 07Execute o ciclo Planejar-Fazer-Verificar-Agir e busque a certificação se desejar.

Erros comuns

• Tratá-la como um projeto pontual em vez de um sistema de gestão contínuo.
• Documentar uma política contra a qual ninguém opera no dia a dia.
• Confundi-la com a conformidade ao EU AI Act: a certificação não é conformidade legal.
• Pular a avaliação de impacto e reduzi-la apenas a risco técnico.

Exemplos

• Uma empresa que monta um AIMS para governar todo o seu uso de IA sob uma política e um processo de risco.
• Uma avaliação de impacto que revela um risco de equidade antes de implantar um modelo.
• Uma auditoria interna e análise crítica pela direção anuais que fecham lacunas de governança.

FAQs

ISO/IEC 42001 é o mesmo que cumprir o EU AI Act?

Não. A norma é um sistema de gestão voluntário e certificável; o EU AI Act é lei vinculante. Um AIMS bem conduzido apoia a conformidade legal, mas não a satisfaz por si só.

É possível se certificar?

Sim. Assim como a ISO 27001, um organismo acreditado pode auditar e certificar o sistema de gestão de IA de uma organização frente à norma.

Como se relaciona com o NIST AI RMF?

São complementares: o NIST AI RMF dá um framework de gestão de riscos e características de confiabilidade; a ISO/IEC 42001 dá a estrutura certificável de sistema de gestão para operar a governança de forma contínua.

Referências

• ISO/IEC 42001:2023 — AI management system
• ISO — What is an AI management system?

Governança relacionada