MÓDULO 3.4

🏛️ Governança e risco: NIST AI RMF, ISO 42001, EU AI Act

Governança não é freio — é o que permite escalar IA com controle e confiança. Conhecer os três frameworks principais transforma o consultor em referência para clientes que precisam estruturar sua postura diante da IA.

6
Tópicos
~50
Minutos
Audit
Nível
Govern.
Tipo

Três frameworks internacionais definem o estado da arte em governança de IA: o NIST AI RMF (gestão de riscos), a ISO/IEC 42001 (sistema de gestão) e o EU AI Act (regulação por risco). Conhecê-los não é burocracia — é o que torna o consultor capaz de recomendar estruturas proporcionais e defensáveis.

NIST AI RMF GOVERN · MAP MEASURE · MANAGE gestão de riscos de IA ciclo contínuo + ISO/IEC 42001 AIMS — Sistema de Gestão de IA ciclo PDCA certificável + EU AI Act Inaceitável / Alto / Limitado / Mínimo regulação por risco extra-territorial Governança proporcional ao risco

Os três frameworks se complementam — gestão de risco + sistema de gestão + classificação regulatória.

1

🗂️ NIST AI RMF — as 4 funções

O AI Risk Management Framework do NIST (National Institute of Standards and Technology) é o framework de gestão de riscos de IA mais adotado nos EUA e referência global. Organiza a gestão em 4 funções que formam um ciclo contínuo.

GOV

GOVERN — Cultura e políticas

Estabelece a cultura organizacional de responsabilidade pela IA: políticas, papéis e responsabilidades, treinamento da equipe e accountability. É a função que define "como nos comportamos em relação à IA".

MAP

MAP — Identificar riscos por contexto

Para cada sistema de IA, identificar o contexto de uso, as partes afetadas e os riscos relevantes. O mesmo modelo pode ter riscos muito diferentes dependendo de como e onde é usado.

MEA

MEASURE — Avaliar impactos

Quantificar e avaliar os riscos identificados — probabilidade, severidade do impacto, grupos afetados. Transforma a lista de riscos em dados que informam decisões.

MAN

MANAGE — Tratar e monitorar

Implementar controles para os riscos prioritários e monitorar continuamente — o que inclui detectar novos riscos que surgem com a operação e o tempo.

💡 Como usar o NIST na prática

Para PMEs, use o NIST como checklist mínimo: "Temos políticas? Identificamos os riscos deste sistema? Medimos o impacto? Temos controles?" Não precisa implementar o framework completo — basta cobrir os pontos críticos para o contexto.

2

🌐 ISO/IEC 42001 — o sistema de gestão de IA

Publicada em 2023, a ISO/IEC 42001 é o primeiro padrão internacional de sistema de gestão especificamente para IA (AIMS — AI Management System). Para quem conhece a ISO 9001 ou 27001, a estrutura é familiar: PDCA e requisitos de conformidade.

🔄 O ciclo PDCA aplicado à IA

Plan — Planejar

Definir o escopo do AIMS, identificar partes interessadas, analisar riscos e oportunidades, estabelecer objetivos de gestão de IA.

Do — Fazer

Implementar políticas, controles e processos. Documentar as práticas de desenvolvimento e uso de IA da organização.

Check — Checar

Monitorar, medir e auditar o AIMS. Verificar se os controles estão funcionando e os objetivos sendo atingidos.

Act — Agir

Tomar ações corretivas, melhorar continuamente o sistema de gestão com base nos resultados do monitoramento.

📌 Quem precisa da 42001

Organizações que desenvolvem ou implantam IA em escala, que atendem clientes com exigências de conformidade, ou que buscam diferenciação competitiva via certificação. Para PMEs sem esses drivers, use os princípios sem a certificação formal.

3

🇪🇺 EU AI Act — classificação por risco

O EU AI Act (em vigor desde 2024) é a primeira regulação abrangente de IA no mundo. Classifica os usos de IA em 4 categorias e define obrigações proporcionais ao risco. Empresas brasileiras que lidam com dados de cidadãos europeus estão sujeitas.

PROIBIDO

Risco inaceitável — sistemas que violam direitos fundamentais. Exemplos: social scoring por governos, reconhecimento biométrico em espaços públicos em tempo real, manipulação subliminar.

ALTO

Alto risco — IA em infraestrutura crítica, saúde, educação, emprego, crédito, migração, justiça. Exige registro, transparência, supervisão humana, avaliação de conformidade.

LIMITADO

Risco limitado — chatbots, deepfakes. Exige transparência: o usuário precisa saber que está interagindo com IA ou consumindo conteúdo gerado por ela.

MÍNIMO

Risco mínimo — filtros de spam, jogos com IA, recomendações de playlist. Sem obrigações específicas além das leis gerais.

4

⚡ Os 5 riscos de IA que todo consultor deve conhecer

Independente de frameworks, todo consultor de IA precisa ter na ponta da língua os 5 riscos fundamentais — porque são os que surgem nos projetos reais e que o cliente vai precisar decidir como tratar.

⚖️ Viés

Modelos treinados em dados historicamente enviesados replicam e amplificam discriminação. Em crédito, emprego ou saúde, pode ser ilegal além de injusto.

🌀 Alucinação

LLMs geram outputs incorretos apresentados com confiança. Em contextos jurídicos, médicos ou financeiros, uma alucinação não detectada pode causar dano real.

🔐 Segurança

Prompt injection, extração de dados via prompts maliciosos, ou envio inadvertido de dados sensíveis para APIs externas sem contratos adequados.

👤 Privacidade

Dados pessoais inseridos em prompts podem ser armazenados e usados para treino. Contexto de funcionários ou clientes em LLMs de terceiros sem DPA é risco LGPD.

🏢 Risco de reputação

Um incidente de IA — seja uma resposta ofensiva, uma decisão discriminatória ou um vazamento de dados — pode viralizar antes que a empresa saiba o que aconteceu. A reputação paga o custo da falta de governança.

5

⚖️ Governança proporcional ao risco

O erro mais comum é propor o mesmo nível de governança para todos os usos de IA. Um chatbot de FAQ interno exige muito menos estrutura do que um sistema de concessão de crédito. Proporcionalidade é o que torna a governança viável e adotada.

📐 Governança por nível de risco

Baixo risco Política de uso aceitável + revisão humana dos outputs + registro de incidentes. Simples.
Médio risco Adicionalmente: avaliação de viés antes do deploy + monitoramento de outputs + responsável definido para IA.
Alto risco Adicionalmente: comitê de revisão + audit trail completo + conformidade com EU AI Act/ISO 42001 + supervisão humana obrigatória em decisões.
Proporcional

controle ∝ risco

Viável

PME consegue implementar

Escalável

cresce com o uso de IA

Adotado

equipe segue porque faz sentido

6

🚀 Governança como facilitador, não freio

A narrativa importa. O consultor que apresenta governança como "compliance obrigatório" encontra resistência. O que apresenta como "o que permite escalar IA sem crises" encontra aliados na liderança.

✗ Sem governança

  • Decisões de IA ad-hoc — sem trilha de auditoria
  • Incidente vira crise pública antes da resposta
  • Escalar IA significa escalar riscos sem controle
  • Clientes B2B rejeitam o fornecedor sem política de IA

✓ Com governança proporcional

  • Políticas claras aceleram decisões operacionais
  • Monitoramento detecta problemas antes que virem crises
  • Escalar IA com confiança — base documentada
  • Política de IA vira diferencial competitivo em B2B

💡 Como vender governança para liderança

Não fale em compliance. Fale em velocidade: "Com políticas claras, sua equipe vai poder usar IA sem precisar perguntar para o jurídico toda vez — isso acelera a operação." Governança boa é governança que ninguém percebe como obstáculo.

🎒 Resumo do módulo

NIST AI RMF — 4 funções: GOVERN, MAP, MEASURE, MANAGE. Ciclo contínuo de gestão de riscos.
ISO/IEC 42001 — AIMS com ciclo PDCA. Certificável, para quem precisa de conformidade formal.
EU AI Act — 4 classes: inaceitável → alto → limitado → mínimo. Obrigações proporcionais ao risco.
Governança como facilitador — políticas claras aceleram adoção; detecção precoce evita crises.

Próxima trilha:

T4 — Planos: do diagnóstico ao roadmap executável, com business case, priorização e estrutura de piloto

← Módulo anterior Próxima Trilha: Planos →