ISO/IEC 42001: governança de IA com framework auditável

Cinco anos atrás, governança de IA era debate acadêmico. Dois anos atrás, virou tema de board em big tech. Hoje, virou exigência operacional em empresa que usa IA pra qualquer coisa relevante - mesmo que a empresa nem se considere "uma empresa de IA".

O ponto de virada: ISO/IEC 42001:2023. Publicada em dezembro de 2023, é a primeira norma global certificável pra Sistema de Gestão de Inteligência Artificial. Pode parecer recente demais pra preocupação - mas três coisas estão acontecendo simultaneamente que aceleram a relevância:

1. EU AI Act entrou em vigor com prazos escalonados ao longo de 2025-2026
2. Marco regulatório brasileiro de IA está em fase final de tramitação
3. Cliente B2B em setor regulado começou a exigir evidência de governança

ISO 42001 vira o atalho técnico aceito por todos os 3 - regulação europeia, brasileira e cliente exigente.

Quem usa IA hoje (provavelmente sua empresa)

Antes de pensar em governança, vale fazer inventário. Em 2026, organização média usa IA em:

• Triagem de currículos (RH)
• Atendimento ao cliente (chatbot)
• Análise de crédito
• Detecção de fraude
• Recomendação de produto/conteúdo
• Diagnóstico médico assistido
• Gestão de cadeia logística
• Geração de conteúdo (marketing, jurídico, treinamento)
• Análise preditiva (vendas, manutenção, RH)

A pergunta certa: "em quantos desses sua empresa usa IA hoje?". Resposta típica: 3-7. E em quantos você tem documentação clara de risco, modelo, dados de treinamento e supervisão humana? Resposta típica: 0.

Esse gap é o que ISO 42001 cobre.

Os 4 eixos da governança de IA

Eixo 1: Risco por sistema

Cada sistema de IA é classificado por nível de risco. Critérios comuns:

• Impacto em pessoas - decisão sobre crédito, contratação, atendimento médico tem alto risco
• Reversibilidade - decisão automatizada que rejeita candidato é menos reversível que sugestão de produto
• Escala - sistema que afeta milhões tem risco maior que sistema interno
• Vulnerabilidade do público - crianças, idosos, populações marginalizadas pedem cuidado adicional

Esse mapa de risco define profundidade dos controles - sistema de baixo risco precisa de documentação básica, sistema de alto risco precisa de auditoria periódica, supervisão humana e teste de viés.

Eixo 2: Transparência e explicabilidade

Pra cada sistema relevante, ISO 42001 exige documentação técnica chamada de Model Card:

• Propósito do modelo
• Dados de treinamento (origem, volume, viés conhecido)
• Performance medida em cenários representativos
• Limitações conhecidas (onde o modelo falha)
• Versionamento e histórico de mudanças

Isso é diferente de "documentação técnica" no sentido tradicional. Model Card é instrumento de transparência - serve pra que stakeholder não-técnico (auditor, regulador, cliente) entenda o que o modelo faz e onde ele pode falhar.

Eixo 3: Detecção e mitigação de viés

Sistemas de IA reproduzem viés dos dados de treinamento. ISO 42001 exige:

• Avaliação periódica de viés em variáveis protegidas (gênero, raça, idade, deficiência)
• Métricas claras de fairness (paridade demográfica, igualdade de oportunidade, etc)
• Plano de mitigação documentado quando viés é detectado
• Re-treinamento ou ajuste quando métricas saem de threshold aceitável

Setores em que isso é especialmente crítico: RH (triagem, avaliação), financeiro (crédito, fraude), saúde (diagnóstico, priorização), educação (avaliação automatizada).

Eixo 4: Supervisão humana

"Humano no loop" deixou de ser conceito ético abstrato pra virar requisito normativo. ISO 42001 exige definir:

• Em quais decisões humano é obrigatório (alto risco, alto impacto)
• Em quais decisões humano pode revisar amostra (médio risco)
• Em quais decisões automação total é aceitável (baixo risco)

E mais importante: registro de quando humano interveio, qual decisão tomou diferente da IA, e qual o aprendizado pra próximas iterações.

EU AI Act, marco brasileiro e ISO 42001

Tabela rápida de como os 3 se conectam:

Aspecto	EU AI Act	Marco BR (em curso)	ISO 42001
Classificação por risco	4 níveis	Provavelmente similar	Customizável
Documentação obrigatória	Sim, detalhada	Sim	Sim, via Model Cards
Avaliação de viés	Sim, alto risco	Sim	Sim
Supervisão humana	Sim, alto risco	Sim	Sim
Sanção	Multa até 7% do faturamento global	Em definição	Não certifica

ISO 42001 é o framework operacional. EU AI Act e marco brasileiro são as leis. Quem implementa ISO 42001 fica em posição muito melhor pra atender as leis - e pode demonstrar isso pra cliente, regulador ou auditor.

Quem precisa começar agora

3 cenários onde a urgência é real:

• Empresa que vende IA pra Europa - EU AI Act já se aplica a fornecedores não-europeus em certos casos
• Setor regulado que adotou IA recentemente - saúde, financeiro, educação. Regulador setorial vai começar a perguntar
• Empresa que usa IA em decisões sobre pessoas - RH, crédito, atendimento. Risco reputacional e legal já é palpável

Pra esses, vale começar agora. Caminho enxuto:

1. Inventário de sistemas de IA (1 mês)
2. Classificação de risco (1 mês)
3. Model Cards pra sistemas de risco médio-alto (2-3 meses)
4. Avaliação de viés inicial (1-2 meses)
5. Definição de pontos de supervisão humana (1 mês)
6. Política de IA aprovada pela liderança (1 mês)
7. Auditoria interna após 6 meses

Em 9-12 meses, organização média sai com sistema funcional - mesmo sem ainda buscar certificação externa.

O ponto de fundo

IA chegou em qualquer empresa que automatiza decisão. Hoje é tarde demais pra fingir que não usa. E é cedo demais pra esperar que problema apareça antes de agir - quando aparece em IA, costuma ser visível, viral e caro.

ISO 42001 não é tema futurista. É item operacional pra qualquer organização séria que usa IA em decisão relevante. Quem entende isso, prepara. Quem não entende, descobre da pior forma quando regulador, cliente ou imprensa pergunta.