ISO 42001
ISO 42001 Auditoria Interna

Auditoria interna do SGAI: guia prático

A Cláusula 9.2 da ISO 42001 exige que a organização conduza auditorias internas em intervalos planejados para verificar se o Sistema de Gestão de IA está em conformidade e sendo mantido de forma eficaz. A auditoria interna não é formalidade — é o principal mecanismo de detecção de problemas antes da auditoria externa.

Auditoria interna ISO 42001: o que o auditor vai verificar no SGAI

O que a Cláusula 9.2 exige

A norma exige que a organização:

  • Defina um programa de auditoria — frequência, escopo, critérios e métodos
  • Selecione auditores que garantam objetividade e imparcialidade (auditores não auditam seu próprio trabalho)
  • Reporte os resultados para a gestão relevante
  • Retenha informação documentada como evidência do programa e dos resultados
Frequência mínima recomendada

A norma não especifica frequência mínima — apenas "em intervalos planejados". A prática de mercado é anual para cobrir todo o escopo do SGAI. Para organizações buscando certificação, é recomendável fazer a auditoria interna completa antes do Estágio 1 da auditoria externa.

Perfil do auditor interno

Auditar IA é diferente de auditar processos tradicionais. O auditor interno precisa ter — ou buscar — competência em dois eixos:

Competência em sistemas de gestão
  • — Entender a estrutura HLS (cláusulas 4–10)
  • — Saber coletar e avaliar evidências
  • — Classificar não conformidades
  • — Conduzir entrevistas sem viés
Competência técnica em IA
  • — Entender o ciclo de vida de ML
  • — Saber avaliar model cards
  • — Interpretar métricas de desempenho de modelo
  • — Identificar riscos de viés e drift

Para organizações sem auditor interno com perfil técnico em IA, a saída é contratar auditoria interna externa — um auditor independente qualificado que conduza a auditoria interna antes da certificação.

Como montar o programa de auditoria

O programa de auditoria define como as auditorias serão executadas ao longo do ciclo de certificação. Ele deve cobrir, no mínimo:

Elementos do programa de auditoria
Escopo: quais cláusulas, controles e sistemas de IA serão auditados em cada ciclo
Critérios: a norma ISO 42001, as políticas internas e a Declaração de Aplicabilidade
Frequência: anual para o ciclo completo; semestral para áreas de alto risco
Responsabilidade: quem conduz, quem aprova os resultados, quem recebe o relatório
Método: revisão documental, entrevistas, observação direta, testes práticos

Perguntas-chave por cláusula

Use este guia de perguntas para estruturar as entrevistas e a revisão de evidências durante a auditoria interna.

Cláusula 4 — Contexto

Todos os sistemas de IA em uso estão identificados no inventário?
O escopo do SGAI está documentado e reflete a realidade atual da organização?
Partes interessadas com requisitos de IA foram identificadas e seus requisitos mapeados?
Algum sistema de IA novo entrou em operação fora do escopo do SGAI sem avaliação prévia?

Cláusula 5 — Liderança

A política de IA foi comunicada a todos os funcionários que usam ou operam sistemas de IA?
O responsável pelo SGAI tem autoridade real e recursos adequados para exercer o papel?
A alta direção demonstrou comprometimento concreto com o SGAI além de assinar a política?

Cláusula 6 — Planejamento

Todos os sistemas de IA em escopo têm avaliação de risco atualizada?
A Declaração de Aplicabilidade reflete os controles realmente implementados?
Os objetivos de IA têm métricas definidas e estão sendo acompanhados?
Novos sistemas de IA passaram por avaliação de impacto (AIIA) antes de entrar em produção?

Cláusula 8 — Operação

O monitoramento de drift está funcionando para todos os modelos em produção?
Logs de inferência estão sendo mantidos com retenção adequada?
Os controles do Anexo A marcados como aplicáveis na SoA estão de fato implementados?
APIs de IA de terceiros têm contratos com cláusulas de governança e SLA?

Classificação de não conformidades

Nem toda falha é igual. A classificação correta define o prazo e a profundidade da resposta exigida.

TipoDefiniçãoExemplo
NC Maior Ausência total de um requisito obrigatório, ou falha sistemática que compromete a integridade do SGAI Não existe política de IA documentada; não há avaliação de risco para nenhum sistema de IA
NC Menor Requisito implementado, mas com lacunas específicas ou não aplicado de forma consistente Avaliação de risco existe mas não foi atualizada após mudança significativa no modelo
Observação Situação que não é não conformidade hoje, mas representa risco de se tornar uma no futuro Monitoramento de drift configurado mas sem processo definido para tratar alertas
Oportunidade de melhoria Sugestão não obrigatória que aumentaria a eficácia do SGAI Automatizar relatório de fairness que hoje é feito manualmente

Estrutura do relatório de auditoria interna

O relatório é o documento que o auditor externo vai solicitar como evidência de que a Cláusula 9.2 foi cumprida. Ele deve conter:

Elementos obrigatórios do relatório
Objetivo e escopo da auditoria (cláusulas e controles auditados)
Data, local e auditores envolvidos
Evidências coletadas (documentos revisados, pessoas entrevistadas, sistemas observados)
Constatações — conformidades e não conformidades identificadas
Classificação de cada não conformidade (maior/menor/observação)
Conclusão: o SGAI está em conformidade com a ISO 42001? Pronto para auditoria externa?
Plano de ação para cada não conformidade com responsável e prazo

Ações corretivas após a auditoria

A Cláusula 10.1 exige que a organização trate não conformidades com ação corretiva que elimine a causa raiz — não apenas corrija o sintoma. Para cada NC identificada na auditoria interna:

  • Contenção imediata: ação para parar o impacto agora (ex: suspender o sistema até correção)
  • Análise de causa raiz: por que a NC ocorreu? (5 Porquês, Ishikawa)
  • Ação corretiva: elimina a causa raiz para que não se repita
  • Verificação da eficácia: confirmar que a ação corretiva funcionou antes de fechar a NC
Prazo típico para ações corretivas
  • — NC Maior: ação corretiva em até 30 dias (obrigatório antes de auditoria de certificação)
  • — NC Menor: ação corretiva em até 90 dias
  • — Observação: plano de endereçamento no próximo ciclo de auditoria