ISO 42001
ISO 42001 Como se Certificar

Como se certificar na ISO 42001 no Brasil

A certificação ISO 42001 é emitida por um organismo de certificação acreditado, após auditoria de terceira parte que verifica se o Sistema de Gestão de IA da organização está em conformidade com os requisitos da norma. Este guia descreve todo o processo — do ponto de partida até o certificado.

Como certificar ISO 42001 no Brasil: roadmap de 5 etapas

A certificação não é obrigatória — mas é estratégica

Implementar a ISO 42001 é uma coisa; obter a certificação é outra. A organização pode implementar todos os requisitos da norma sem contratar auditoria externa — isso já traz benefícios práticos. A certificação formal agrega:

  • Evidência verificável por terceiros para clientes, reguladores e parceiros
  • Diferencial competitivo em licitações públicas e contratos B2B
  • Preparação documentada para fiscalizações do PL 2338 e lgpd.com.br/artigos/como-anpd-calcula-multa/" style="color:#1a365d;text-decoration:underline;font-weight:500;">ANPD
  • Credibilidade com investidores e boards que exigem governança de IA

As 6 etapas do processo de certificação

1
Diagnóstico inicial (Gap Analysis)

Avaliação da distância entre a situação atual e os requisitos da norma. Identifica quais cláusulas estão cobertas, quais têm lacunas e quais precisam ser criadas do zero. Tempo típico: 2 a 4 semanas.

2
Implementação

Criação e ajuste de políticas, processos, controles e documentação para cobrir todos os requisitos das Cláusulas 4–10 e dos controles do Anexo A selecionados. Tempo típico: 6 a 12 meses dependendo do tamanho e maturidade.

3
Auditoria interna

Antes da auditoria externa, a organização conduz sua própria auditoria interna (exigida pela Cláusula 9.2) para identificar não conformidades e corrigi-las. O auditor interno deve ser independente do processo auditado. Tempo típico: 2 a 4 semanas.

4
Análise crítica pela direção

A alta direção faz a análise formal do SGAI (Cláusula 9.3) e aprova a adequação do sistema antes da auditoria externa. Esse registro é um documento-chave que o organismo certificador vai solicitar.

5
Auditoria de certificação (2 estágios)

Estágio 1: revisão documental — o auditor externo verifica se a documentação do SGAI está completa e adequada (normalmente remoto). Estágio 2: auditoria no local — verificação da implementação real, entrevistas com funcionários, evidências de operação. Tempo típico: 2 a 5 dias de auditoria no local, dependendo do porte.

6
Emissão do certificado e manutenção

Após aprovação sem não conformidades maiores, o certificado é emitido com validade de 3 anos. Auditorias de manutenção anuais verificam a continuidade do SGAI. Ao final de 3 anos, recertificação completa.

Organismos certificadores no Brasil

A certificação ISO 42001 deve ser realizada por um organismo acreditado pelo INMETRO (Instituto Nacional de Metrologia, Qualidade e Tecnologia) no escopo de sistemas de gestão. Os organismos que já certificam ISO 27001 (gestão de segurança da informação) tendem a ser os primeiros a oferecer ISO 42001, pois as normas compartilham a estrutura HLS.

Bureau Veritas
Acreditado INMETRO · ISO 27001/42001
BSI Group
Britânico · presente no Brasil · ISO 42001
SGS
Suíço · forte em auditoria regulatória
DNV
Norueguês · forte em indústria/energia
TÜV Rheinland
Alemão · forte em tecnologia e segurança
LRQA
Lloyd's Register · ISO 42001 disponível
Como escolher

Verifique no site do INMETRO se o organismo está acreditado especificamente para "ABNT NBR ISO/IEC 42001" ou "Sistemas de Gestão de IA". A acreditação específica é recente — alguns organismos estão no processo. Peça a cópia do escopo de acreditação antes de contratar.

Documentos obrigatórios para a auditoria

O auditor externo vai solicitar esses documentos no Estágio 1. Ter todos prontos antes da auditoria é essencial para não atrasar o processo.

Documentos do nível de gestão
Política de IA aprovada pela alta direção (Cláusula 5.2)
Escopo do SGAI documentado (Cláusula 4.4)
Declaração de Aplicabilidade (SoA) dos 39 controles (Cláusula 6.1.3)
Análise de contexto interno e externo (Cláusula 4.1)
Atas de análise crítica pela direção (Cláusula 9.3)
Objetivos de IA mensuráveis com plano de ação (Cláusula 6.2)
Documentos operacionais
Inventário de sistemas de IA (Controle A.2.4)
Registro de avaliação de riscos de IA (Cláusula 6.1.1)
Avaliações de impacto de IA (AIIA) por sistema (Cláusula 6.1.2)
Documentação técnica dos sistemas de IA — model cards (Controle A.5.4)
Registros de treinamento e competências (Cláusula 7.2)
Registros de monitoramento e métricas de desempenho (Cláusula 9.1)
Relatório de auditoria interna (Cláusula 9.2)
Registro de não conformidades e ações corretivas (Cláusula 10.1)
Contratos com fornecedores de IA com cláusulas de governança (Controle A.7.3)

Tempo médio até a certificação

Perfil da organizaçãoMaturidade atualTempo estimado
Empresa com ISO 27001 ativaAlta4 a 8 meses
Empresa com governança de TI estruturada (COBIT/ITIL)Média8 a 14 meses
Empresa sem gestão formal de IA mas com boa documentaçãoBaixa-média12 a 18 meses
Empresa sem processos formalizados de IABaixa18 a 24 meses

Custos — o que esperar

O custo total de certificação varia muito com o porte da empresa, o número de sistemas de IA em escopo e se a organização contrata consultoria externa. Como referência:

  • Taxa do organismo certificador: R$ 25.000 a R$ 80.000 para o ciclo completo de 3 anos (Estágio 1 + 2 + 2 auditorias de manutenção)
  • Consultoria de implementação: R$ 80.000 a R$ 300.000 dependendo do porte e escopo
  • Implementação interna (sem consultoria): custo de horas internas + eventualmente treinamento, que pode ser significativamente menor
  • Norma técnica (compra da ABNT): R$ 500 a R$ 1.500 para o documento oficial ABNT NBR ISO/IEC 42001

Para análise detalhada de custos e ROI, veja a página Custos e ROI da Certificação ISO 42001.

Manutenção do certificado

A certificação não é permanente. Para manter a validade de 3 anos:

  • Auditoria de manutenção anual (1º e 2º ano) — verifica melhoria contínua e corrige desvios
  • Recertificação completa no 3º ano — novo ciclo de auditoria
  • Notificação ao organismo certificador em caso de mudanças significativas (novo sistema de IA de alto risco, mudança de escopo, incidente grave)
  • Condução de auditoria interna anual como requisito da Cláusula 9.2
Dica prática

Antes de contratar o organismo certificador, faça um Gap Analysis para saber o que falta implementar. Isso evita pagar pela auditoria antes de estar pronto — um não conformidade maior no Estágio 2 exige nova auditoria, dobrando o custo. Um Gap Analysis gratuito está disponível em nosso checklist interativo.