A ISO 42001 é jovem. Saiu em dezembro de 2023. Mas mesmo no primeiro ano e meio de operação já dá pra identificar os padrões de reprovação que aparecem nas auditorias.
Conversei com auditores certificadores e com colegas que já conduziram auditorias internas. O mesmo padrão se repete: certas falhas, mesmo que pareçam pequenas, são automaticamente classificadas como não-conformidade maior. E não-conformidade maior trava a certificação.
Vou te contar os quatro erros que mais reprovam — e o que fazer pra não cair em nenhum.
Erro 1: Inventário de IA desatualizado ou incompleto
O inventário de sistemas de IA é a pedra angular da norma. Sem inventário confiável, todo o SGIA cai por terra. Não tem como governar o que você não conhece.
O que o auditor vai fazer: pegar a lista de sistemas que você apresentou, e verificar se ela bate com a realidade. Como ele verifica? Conversa com gestores de área. Olha os contratos de SaaS. Pede pra ver alguns sistemas funcionando ao vivo.
Se na entrevista com o gerente comercial ele mencionar uma ferramenta de análise preditiva que não está no inventário, é não-conformidade. Se o gestor de RH falar do bot de pré-seleção que está rodando há 8 meses e não consta da lista, é não-conformidade.
Empresa que tenta omitir sistemas "pequenos" pra simplificar o escopo se queima. O auditor sempre acha.
O que funciona: inventário vivo. Processo formal de inclusão de novos sistemas (todo novo sistema entra no inventário antes de entrar em produção). Revisão trimestral com cada gestor de área. Cross-check anual com contratos de SaaS.
Os tipos de sistema que mais escapam do inventario
Em quase todo cliente os mesmos quatro tipos de sistema escapam:
- Plugins de IA nos sistemas SaaS ja contratados (Microsoft Copilot, Salesforce Einstein, Google Workspace AI)
- Ferramentas de IA usadas pelo marketing sem TI saber (Jasper, Copy.ai, ferramentas de SEO)
- Modelos preditivos antigos rodando em planilhas avancadas ou notebooks de analistas
- Sistemas legados com componentes de IA esquecidos (anti-fraude que ninguem sabe quem implantou)
Caçar esses sistemas exige trabalho de detetive. Vale a pena fazer antes do auditor, porque depois custa mais caro.
Erro 2: Política de uso de IA que ninguém leu
A política existe. Está aprovada. Está publicada na intranet. Mas o auditor entrevista 5 funcionários e nenhum lembra do conteúdo.
Isso é não-conformidade. A norma exige que a política seja comunicada e compreendida por todos os colaboradores que interagem com sistemas de IA.
Não basta publicar. Precisa ter:
- Evidência de comunicação inicial (email, intranet, treinamento)
- Treinamento periódico (anual no mínimo)
- Registro de quem fez o treinamento e quando
- Avaliação de compreensão (quiz, prova, declaração assinada)
- Reciclagem após cada atualização da política
Já vi empresa ser reprovada com política impecável tecnicamente porque na entrevista os 6 funcionários sorteados pelo auditor não souberam responder sequer o que era a tal política.
Como medir compreensao da politica
O auditor vai querer evidencia de que a politica foi compreendida, nao so comunicada. As formas que funcionam:
- Quiz de 10 perguntas apos o treinamento, com pontuacao minima de 70%
- Reciclagem anual obrigatoria com mesmo quiz
- Assinatura formal do funcionario declarando ciencia
- Comunicacoes pontuais quando ha alteracao relevante
- Pesquisa de cultura anual com perguntas sobre a politica
Empresa que faz quiz e arquiva resultados tem evidencia robusta. Empresa que so manda email comunicando, nao.
Erro 3: Ausência de AI Owner nos sistemas críticos
Esse é traiçoeiro. A norma exige que cada sistema de IA classificado como médio ou alto risco tenha um responsável formalmente nomeado — o AI Owner.
Esse AI Owner não é o desenvolvedor. Não é o sysadmin. É a pessoa que responde pelo negócio daquele sistema: define o que ele faz, aprova mudanças significativas, é o ponto focal quando algo dá errado.
Na maioria das empresas que atendi, ninguém tinha esse papel formalmente. Era difuso. "O sistema de credit scoring é responsabilidade do time de risco." Mas quem exatamente no time de risco? Ninguém sabia.
Auditor reprova na hora.
O AI Owner é o equivalente do Process Owner da ISO 9001 — sem ele, não há responsabilidade clara, não há accountability, não há sistema de gestão.
Os erros classicos na nomeacao de AI Owner
Vejo tres padroes ruins de nomeacao:
- AI Owner virtual ("o time de risco" — ninguem especifico)
- AI Owner tecnico (CIO ou arquiteto) ao inves de funcional (gestor do negocio que usa o sistema)
- AI Owner sobrecarregado (uma pessoa responsavel por 15 sistemas, na pratica nao consegue cuidar de nenhum)
O bom AI Owner: pessoa especifica nomeada, do lado do negocio, responsavel por no maximo 3-5 sistemas de medio/alto risco, com tempo formal alocado pra essa funcao (geralmente 10-20% da jornada).
Use o checklist para identificar seus gaps antes que o auditor identifique.
Baixar checklist ISO 42001 gratuito →A definição formal precisa estar em documento aprovado, com nome, cargo, data de início como AI Owner, responsabilidades específicas. Geralmente isso vai num apêndice da política ou em documento específico por sistema.
Erro 4: Evidências de controle que não existem ou não estão datadas
Esse é o campeão de não-conformidade nos primeiros ciclos de auditoria ISO 42001.
A empresa declara que faz monitoramento de viés do modelo trimestralmente. O auditor pede a evidência do último trimestre. Não existe. Ou existe mas não tem data. Ou está num email perdido sem registro formal.
A regra é simples: se não está documentado, não existe.
O que precisa estar documentado pra cada sistema de IA crítico:
- Avaliação de impacto e risco (atualização anual mínima)
- Resultados de testes de viés (com data, metodologia, conclusões)
- Logs de monitoramento de drift (mensal pra sistemas críticos)
- Relatórios de revisão periódica do AI Owner
- Registro de incidentes e tratamento
- Aprovações de mudanças significativas no modelo ou dados
Tudo com data. Tudo com responsável identificado. Tudo arquivado de forma que o auditor consiga acessar em 24h.
Eu vejo o tempo todo: empresa que tem os controles rodando na prática, mas que não documenta. Quando o auditor pergunta, a resposta é "sim, fazemos". Quando ele pede evidência, vem o silêncio.
Não-conformidade.
Como organizar evidencias pra acesso rapido
Auditor da ISO 42001 vai pedir evidencia em ritmo de auditoria — quer ver em minutos. Empresa que tem evidencia espalhada em emails, drives pessoais, planilhas locais, perde tempo procurando e da impressao de bagunca.
Solucao: repositorio centralizado por sistema. Pasta unica com tudo. Indexada. Pesquisavel. Acesso controlado.
Cliente que organiza isso bem responde requisicoes do auditor em 5 minutos. Cliente que improvisa demora 2-3 horas por requisicao e acumula apontamentos.
O que fazer nos 60 dias antes da auditoria
Se sua auditoria de certificação está marcada e você está nervoso, aqui vai o protocolo que entrego pros meus clientes:
Dias 1-15: Auditoria interna completa. Vai atrás de cada uma das 10 cláusulas principais. Identifica gaps. Lista tudo, sem julgamento. Conte com 20-40 itens encontrados em qualquer empresa que está no primeiro ciclo.
Dias 15-30: Triagem dos gaps. Quais podem reprovar (não-conformidades maiores)? Quais são menores? Quais podem ser corrigidos antes da auditoria e quais vão pro plano pós-auditoria?
Dias 30-50: Correção das não-conformidades maiores. Foco total. Documentação atualizada. Aprovações formais. Treinamentos rodados.
Dias 50-60: Simulação de auditoria. Sorteio de 5 sistemas. Você atua como auditor. Faz as perguntas que ele faria. Testa o time. Refina o que falhar.
Empresas que seguem esse protocolo passam com 2-4 não-conformidades menores, todas tratáveis no plano de ação pós-certificação. Empresas que improvisam costumam levar 8-12 não-conformidades, incluindo 1-2 maiores que travam a certificação.
A diferença não é orçamento. É preparação metódica. Quem chega na auditoria sem saber o que vai aparecer já perdeu.
O papel da simulacao final
A simulacao na semana -1 e a etapa mais subestimada. E nela que o time real fica frente a frente com perguntas tipicas de auditor. E descobre que sabe menos do que parecia.
Sempre que rodo simulacao, encontro pelo menos 3-5 pessoas que precisam de reforco. Reforcam-se. Chegam na auditoria preparadas. Se nao fizesse a simulacao, descobriria isso no dia da auditoria real — tarde demais.
Simulacao bem feita custa 2 dias. Reprovacao na auditoria custa 60 dias e R$ 60-100 mil de retrabalho. A matematica e simples.
O orcamento real de uma auditoria de certificacao
Orçamento típico para certificação ISO 42001 em empresa de médio porte:
- Organismo certificador (auditoria de estágio 1 + estágio 2): R$ 35-80 mil
- Consultoria mentora (se contratada): R$ 30-100 mil
- Adequação técnica (controles, monitoramento, documentação): R$ 20-80 mil
- Tempo de equipe interna (8-15% de FTE por 9-12 meses)
- Auditorias de manutenção anuais: 30-40% do custo inicial cada
- Treinamento e gestão de mudança: R$ 5-20 mil
Total no primeiro ciclo: R$ 90-280 mil dependendo da complexidade. Manutenção: R$ 30-50 mil/ano nos dois anos seguintes. Recertificação a cada 3 anos: similar ao custo inicial.
Empresa que entra com clareza desse orçamento toma decisões melhores. Empresa que entra esperando "R$ 40 mil resolve" frustra-se rapido.
O retorno do investimento que poucos calculam
Vale a pena calcular o ROI da certificação. Em mercados B2B sensíveis, certificação vira diferenciador comercial concreto:
- Acesso a RFPs que exigem a certificação
- Redução de prêmio de seguro D&O e cyber
- Melhor posicionamento em due diligence de investidores
- Capacidade de cobrar preço premium em contratos sensíveis
- Redução de churn em clientes enterprise que valorizam governança
Em alguns setores, certificação se paga em 12-18 meses só pelos novos contratos viabilizados. Em outros setores, ela é defensiva — protege os contratos que já existem. Em ambos, faz sentido financeiro.
Veja também
Guia CompletoISO 42001: o que é, para quem é e por que vai ser exigida antes do que você imagina
A ISO 42001 chegou em dezembro de 2023. Em 2025, clientes enterprise já estão pedindo. Em 2026, vai aparecer em contratos. Entenda o que é e o que a sua empresa precisa fazer.
Como ImplementarComo implementar ISO 42001 em 12 meses sem paralisar a operação
Implementar ISO 42001 em uma empresa que já usa IA é diferente de implementar em uma que está começando. Veja o caminho real, sem consultoria de 12 meses pré-paga.
Perguntas frequentes
Quais erros reprovam empresas na certificação ISO 42001?
Os mais comuns: 1) Escopo mal definido (incluir sistemas que não são IA ou excluir os que são). 2) Ausência de avaliação de impacto de IA documentada. 3) Políticas de uso responsável genéricas sem aplicação prática demonstrável. 4) Falta de rastreabilidade dos dados de treino dos modelos. 5) Papéis e responsabilidades sobre IA não definidos formalmente.
A ISO 42001 exige que os algoritmos sejam explicáveis?
Exige que a organização tenha capacidade de explicar as decisões dos sistemas de IA quando questionada — não necessariamente que o modelo seja interpretável tecnicamente. O foco é na responsabilidade: quem pode ser acionado quando o sistema de IA causar dano, e como a decisão pode ser contestada.
Empresas pequenas podem se certificar na ISO 42001?
Sim, a norma é escalável. Uma startup que usa IA em produto pode certificar apenas aquele sistema específico. O custo e esforço são proporcionais ao escopo. O risco de não certificar quando o mercado começa a exigir é maior do que o custo de implementar cedo.
O erro estrutural: tratar IA como projeto de TI
O erro número um, mais comum e mais caro, é tratar governança de IA como problema técnico da área de tecnologia. ISO 42001 não é frame técnico — é framework de gestão organizacional aplicado a tecnologia específica. Quando a alta direção delega tudo ao CTO, o programa nasce mutilado.
O sintoma típico: política escrita pelo time técnico sem participação do jurídico ou da área de negócio. Comitê de governança formal só com gente de TI. Inventário focado em modelos e ignorando a perspectiva de impacto sobre titulares. Auditoria que valida funcionamento técnico mas não a adequação ética e regulatória.
Empresa que faz isso passa a primeira auditoria de certificação? Frequentemente sim — a norma é razoavelmente focada em estrutura formal. Mas falha na sustentação: na primeira mudança regulatória ou no primeiro incidente público, o programa desmorona porque não tem capilaridade organizacional.
Como corrigir: assinatura visível da alta direção na política, presença obrigatória de jurídico no comitê, indicadores reportados ao board, integração formal com processos de gestão de riscos corporativos.
Documentação superficial: o calcanhar de Aquiles
Outro erro recorrente é a documentação genérica. Empresa baixa template padrão, preenche superficialmente, considera trabalho feito. Auditor experiente identifica em 30 minutos: documento sem referências cruzadas a sistemas reais, sem datas de revisão, sem evidência de aplicação prática.
O que diferencia documentação séria: rastreabilidade entre política e procedimentos operacionais; referências a sistemas específicos no inventário; datas de elaboração, revisão e próxima revisão; assinaturas ou aprovações formais; histórico de versões.
Um teste simples: pega qualquer sistema do inventário e tenta rastrear ele através da documentação. Existe AIA específica? Está vinculada à política? Tem evidência de revisão pelo comitê? Os controles operacionais estão implementados? Se a resposta a qualquer pergunta é "não" ou "talvez", a documentação não está pronta.
O custo de fortalecer documentação varia: 200-400 horas-pessoa pra organização que parte de base superficial. Investimento que se paga na primeira auditoria que evita ressalva.
Subestimar dados de treinamento
O terceiro erro estrutural: tratar dados de treinamento como problema operacional menor. Quando na verdade é o ponto onde se concentra a maior parte do risco regulatório real.
A norma exige conhecimento detalhado dos dados de treinamento — origem, base legal, qualidade, representatividade, vieses conhecidos, transformações aplicadas. Empresa que usa datasets públicos sem documentar, ou que treina com dados proprietários sem trilha de proveniência, fica vulnerável a três riscos: questionamento sobre base legal de uso, identificação de vieses não monitorados, contestação dos titulares cujos dados foram usados.
Caso real de 2024: uma empresa de RH foi questionada pela lgpd.com.br/artigos/como-anpd-calcula-multa/" style="color:#1a365d;text-decoration:underline;font-weight:500;">ANPD sobre sistema de triagem de currículos baseado em IA. O sistema demonstrou viés contra mulheres em vagas técnicas. A apuração revelou que o dataset de treinamento foi extraído do histórico de contratações de 10 anos da empresa — período em que a admissão era predominantemente masculina. O modelo aprendeu o viés. A empresa não tinha documentação adequada sobre fontes de dados nem sobre testes de fairness. Pagou multa significativa e teve que suspender o sistema.
O remédio: gestão formal do ciclo de vida dos dados de treinamento, com documentação que sobrevive a auditoria. Trabalho chato. Mas é onde mora o maior risco — e o maior diferencial competitivo de quem leva a sério.